CN110855629A - Ip地址的匹配方法、匹配表的生成方法及相关装置 - Google Patents
Ip地址的匹配方法、匹配表的生成方法及相关装置 Download PDFInfo
- Publication number
- CN110855629A CN110855629A CN201911002612.3A CN201911002612A CN110855629A CN 110855629 A CN110855629 A CN 110855629A CN 201911002612 A CN201911002612 A CN 201911002612A CN 110855629 A CN110855629 A CN 110855629A
- Authority
- CN
- China
- Prior art keywords
- matching
- address
- sub
- mask
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及网络安全技术领域,提供一种IP地址的匹配方法、匹配表的生成方法及相关装置,所述方法包括:获取源匹配IP地址;根据源匹配IP地址及多个匹配子表中的当前匹配子表对应的掩码,确定源匹配IP地址是否与当前匹配子表匹配;若源匹配IP地址与当前匹配子表匹配,依据当前匹配子表确定下一匹配子表,并依据源匹配IP地址及与下一匹配子表对应的掩码,确定源匹配IP地址是否与下一匹配子表匹配,直至源匹配IP地址与所有匹配子表均匹配,则判定源匹配IP地址与预设IP地址列表匹配。与相对现有技术相比,本公开实现了源匹配IP地址与预设IP地址列表的快速匹配。
Description
技术领域
本公开涉及网络安全技术领域,具体而言,涉及一种IP地址的匹配方法、匹配表的生成方法及相关装置。
背景技术
分布式拒绝服务攻击DDoS(Distributed Denial of Service,DDoS)是目前黑客惯用的一种网络攻击手段,该网络攻击是利用分布在不同地方、足够数量的傀儡计算机产生数量庞大的攻击数据包,对网络中的一台或者多台目标计算机发起攻击,造成被攻击的计算机无法提供正常的服务。
针对分布式拒绝服务攻击,通常采用配置全局静态黑名单对攻击源发来的报文直接进行阻断,即将攻击源的IP地址放入全局静态黑名单中,当报文来自于全局静态黑名单中的IP地址时,对该报文直接进行阻断,同时,也可以采用配置全局静态白名单对来自正常计算机的报文直接进行放行,即将正常计算机的IP地址放入全局静态白名单中,当报文来自于全局静态白名单中的IP地址时,对该报文直接进行放行。
现有技术中通常将报文中的源IP地址与全局静态黑名单或者全局静态白名单中的IP地址进行逐一匹配,这种匹配方式的匹配效率极低,尤其在全局静态黑名单或者全局静态白名单中的IP地址较多时,匹配效率更会急剧下降。
发明内容
本公开的目的在于提供一种IP地址的匹配方法、匹配表的生成方法及相关装置,依据预设IP地址列表生成匹配表,通过匹配表可以快速实现源匹配IP地址与预设IP地址列表的匹配。
为了实现上述目的,本公开实施例采用的技术方案如下:
第一方面,本公开实施例提供一种IP地址的匹配方法,应用于网络设备,网络设备预先存储有依据预设IP地址列表生成的匹配表,匹配表包括位于不同层的多个匹配子表,每个匹配子表均对应有掩码,掩码按照预设IP地址分段规则生成且每一层对应一个掩码,所述方法包括:获取源匹配IP地址;根据源匹配IP地址及多个匹配子表中的当前匹配子表对应的掩码,确定源匹配IP地址是否与当前匹配子表匹配;若源匹配IP地址与当前匹配子表匹配,则依据当前匹配子表确定下一匹配子表,并依据源匹配IP地址及与下一匹配子表对应的掩码,确定源匹配IP地址是否与下一匹配子表匹配,直至源匹配IP地址与所有匹配子表均匹配,则判定源匹配IP地址与预设IP地址列表匹配;若源匹配IP地址与预设IP地址列表匹配,且预设IP地址列表的类型为黑名单,则对来自源匹配IP地址的报文进行阻断。
第二方面,本公开实施例提供一种匹配表的生成方法,所述方法包括:获取预设IP地址列表中的IP地址;根据按照预设IP地址分段规则生成的多个掩码中的每一掩码及IP地址,确定每一掩码对应的匹配表的匹配子表及IP地址在匹配子表中对应的目标匹配项,其中,匹配表应用于如前述实施方式中任一项所述的IP地址的匹配方法;更新IP地址在每一掩码对应的匹配子表中对应的目标匹配项。
第三方面,本公开实施例提供一种IP地址的匹配装置,应用于网络设备,所述网络设备预先存储有依据预设IP地址列表生成的匹配表,所述匹配表包括位于不同层的多个匹配子表,每个所述匹配子表均对应有掩码,所述掩码按照预设IP地址分段规则生成且每一层对应一个掩码,所述装置包括第一获取模块、匹配模块和阻断模块,其中,第一获取模块用于获取源匹配IP地址;匹配模块用于:根据源匹配IP地址及多个匹配子表中的当前匹配子表对应的掩码,确定源匹配IP地址是否与当前匹配子表匹配;若源匹配IP地址与当前匹配子表匹配,则依据当前匹配子表确定下一匹配子表,并依据源匹配IP地址及与下一匹配子表对应的掩码,确定源匹配IP地址是否与下一匹配子表匹配,直至源匹配IP地址与所有匹配子表均匹配,则判定源匹配IP地址与预设IP地址列表匹配;阻断模块用于若源匹配IP地址与预设IP地址列表匹配,且预设IP地址列表的类型为黑名单,则对来自源匹配IP地址的报文进行阻断。
第四方面,本公开实施例提供一种匹配表的生成装置,所述装置包括第二获取模块和生成模块,其中,第二获取模块用于获取预设IP地址列表中的IP地址;生成模块,用于:根据按照预设IP地址分段规则生成的多个掩码中的每一掩码及IP地址,确定每一掩码对应的匹配表的匹配子表及IP地址在匹配子表中对应的目标匹配项,其中,匹配表应用于如前述实施方式中任一项所述的IP地址的匹配方法;更新IP地址在每一掩码对应的匹配子表中对应的目标匹配项。
第五方面,本公开实施例提供一种网络设备,所述网络设备包括:一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如前述实施方式中任一项所述的IP地址的匹配方法,或者,实现如前述实施方式中任一项所述的匹配表的生成方法。
第六方面,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如前述实施方式中任一项所述的IP地址的匹配方法,或者,实现如前述实施方式中任一项所述的匹配表的生成方法。
相对现有技术,本公开具有以下有益效果:本公开实施例提供的一种IP地址的匹配方法、匹配表的生成方法及相关装置,依据预设IP地址列表生成匹配表,匹配表包括位于不同层的多个匹配子表,每个匹配子表均对应掩码,掩码按照预设IP地址分段规则生成且每一层对应一个掩码,通过将源匹配IP地址与匹配表中的每个匹配子表进行匹配,且通过每个匹配子表可以确定下一个匹配子表,由此实现源匹配IP地址与所有匹配子表的匹配,从而避免了将源匹配IP地址与预设IP地址列表中的IP地址逐一进行匹配导致的匹配效率低的问题,实现了源匹配IP地址与预设IP地址列表的快速匹配,最终达到对来自黑名单中的源匹配IP地址的报文进行快速阻断的目的。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本公开实施例提供的应用场景示意图。
图2示出了本公开实施例提供的网络设备的示意框图。
图3示出了本公开实施例提供的一种IP地址的匹配方法的流程图。
图4示出了本公开实施例提供的预设IP地址分段规则的示意图。
图5示出了本公开实施例提供的另一种IP地址的匹配方法的流程图。
图6示出了本公开实施例提供的根据预设IP地址列表生成的匹配表的示例图。
图7示出了本公开实施例提供的一种匹配表的生成方法的流程图。
图8示出了本公开实施例提供的另一种匹配表的生成方法的流程图。
图9示出了本公开实施例提供的匹配表的生成过程示例图。
图10示出了本公开实施例提供的IP地址的匹配装置100的功能模块图。
图11示出了本公开实施例提供的匹配表的生成装置200的功能模块图。
图标:10-服务器;20-网络清洗设备;30-外部网络;40-网络设备;41-存储器;42-通信接口;43-处理器;44-总线;100-IP地址的匹配装置;110-第一获取模块;120-匹配模块;130-阻断模块;200-匹配表的生成装置;210-第二获取模块;220-生成模块。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围,而是仅仅表示本公开的选定实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本公开的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本公开和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本公开的限制。
此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在不冲突的情况下,本公开的实施例中的特征可以相互结合。
在现有的网络环境中,为了实现针对DDoS攻击的清洗,及时地阻断来自攻击的报文或者及时地放行来自正常客户端的报文,通常在网络设备上预先配置预设IP地址列表,将可以攻击者的IP地址或者正常客户端的IP地址放入预设IP地址列表中,当网络设备收到的报文时,首先将该报文中的源IP地址与预设IP地址列表中的IP地址进行逐个匹配,当预设IP地址列表中存在与该源IP地址一致的IP地址时,即可判定该报文是来源于攻击者还是正常客户端,从而决定对该报文进行阻断还是放行的处理。
通常情况下,由于网络环境的复杂性,预设IP地址列表中的地址个数也相当多,随着地址个数的增多,采用逐个匹配的方式进行IP地址匹配的效率会急剧下降,极大地影响了对DDoS攻击的清洗。
针对这一问题,本公开提供了一种IP地址的匹配方法、匹配表的生成方法及相关装置,可以大大提高IP地址的匹配的效率。下面将对其进行详细描述。
请参考图1,图1示出了本公开实施例提供的应用场景示意图,图1中,服务器10通过网络清洗设备20与外部网络30实现数据包的交换,正常情况下,网络清洗设备20接收来自服务器10发送数据包并转发至外部网络30,或者接收来自外部网络30发送的数据包并转发至服务器10。网络清洗设备20预先存储有依据预设IP地址列表生成的匹配表,匹配表包括多个匹配子表,每个匹配子表均对应有掩码,掩码按照预设IP地址分段规则生成,当发生DDoS攻击时,网络清洗设备20首先解析出接收到的数据包中的源IP地址,然后将该源IP地址与多个匹配子表依次匹配,最终确定该源IP地址是否与预设IP地址列表匹配,根据预设IP地址列表的类型,从而确定对该数据包采取阻断或者放行的处理操作。
在本实施例中,网络清洗设备20可以是具有报文转发功能的虚拟的或者实体的服务器、也可以是专门进行报文转发的路由器、交换机等网络转发设备。其中的匹配表可以预先生成,生成匹配表的方法可以与图1中的网络清洗设备20为同一个设备,也可以与图1中的网络清洗设备20不同的设备。
请参照图2,图2示出了本公开实施例提供的网络设备40的示意框图,网络设备40可以是网络清洗设备20,同时实现上述的IP地址的匹配方法和匹配表的生成方法,也可以一个网络设备40为网络清洗设备20,以实现上述的IP地址的匹配方法,另一个网络设备40为独立于网络清洗设备20的计算机,实现上述的匹配表的生成方法,本公开对此不予限定。
网络设备40还包括存储器41、通信接口42、处理器43和总线44。存储器41、通信接口42,处理器43通过总线44连接。
存储器41用于存储程序,例如上述的IP地址的匹配装置和/或匹配表的生成装置,IP地址的匹配装置和或匹配表的生成装置均包括至少一个可以软件或固件(firmware)的形式存储于存储器41中的软件功能模块,处理器43在接收到执行指令后,执行所述程序以实现上述实施例揭示的IP地址的匹配方法和/或匹配表的生成方法。
存储器41可能包括高速随机存取存储器(RAM:Random Access Memory),也可能还包括非易失存储器(non-volatile memory),例如至少一个磁盘存储器。可选地,存储器41可以是内置于处理器43中的存储装置,也可以是独立于处理器43的存储装置。
通过至少一个通信接口42(可以是有线或者无线)实现网络设备40与其他外部设备的通信连接。
总线44可以是ISA总线、PCI总线或EISA总线等。图2中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
处理器43可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器43中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器43可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
基于图2,本公开实施例提供了一种可以应用于图2中网络设备40的IP地址的匹配方法的流程图,请参照图3,图3示出了本公开实施例提供的IP地址的匹配方法的流程图,该方法包括以下步骤:
步骤S101,获取源匹配IP地址。
在本实施例中,网络设备40预先存储有依据预设IP地址列表生成的匹配表,匹配表包括位于不同层的多个匹配子表,每个匹配子表均对应有掩码,掩码按照预设IP地址分段规则生成且每一层对应一个掩码。
预设IP地址列表中可以包括至少一个指定设备的IP地址,例如192.168.1.10,或者至少一个指定的网段地址,例如192.168.0.0。
IP地址是网际IP(Internet Protocol,IP)协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。IP地址包括32个bit,预设IP地址分段规则是一种将此32个bit进行分段的规则,每一段即为一层。图4为本公开实施例提供的预设IP地址分段规则的示意图,图4中,IP地址的32个bit分为4个分段:前16个bit为第一个分段、其后的3个bit为第二个分段、再其后的5个bit为第三个分段,最后的8个bit为第四个分段。每一个分段即每一层对应一个掩码,用于表征该分段对应的bit,例如,图4中第一个分段对应的掩码为:0xffff0000,即前16个bit为1,其他bit为0,同样地,第二个分段对应的掩码为:0x0000e000,第三个分段对应的掩码为:0x00001f00,第四个分段对应的掩码为:0x000000ff。
对于预设IP地址列表中的任一IP地址来说,根据每一分段的掩码可以生成对应的匹配子表,预设IP地址列表中所有IP地址对应的所有匹配子表组成匹配表。
源匹配IP地址为网络设备40收到的数据包中的源IP地址、且需要与匹配表中的匹配子表进行匹配的IP地址。
步骤S102,根据源匹配IP地址及多个匹配子表中的当前匹配子表对应的掩码,确定源匹配IP地址是否与当前匹配子表匹配。
在本实施例中,源匹配IP地址可以按照分段的顺序与掩码对应的匹配子表逐一进行匹配,匹配子表中记录了预设IP地址列表中每一IP地址的每一分段的信息,该信息可以通过源匹配IP地址与匹配子表对应的掩码计算得到,作为一种具体实施方式,该信息可以是源匹配IP地址与匹配子表对应的掩码进行位与运算得到的十进制的数值,例如,预设IP地址列表中的IP地址为192.168.1.10,第一个分段对应的掩码为0xffff0000,该IP地址与该掩码进行位与运算得到该IP地址的前16个bit,为:1100000010101000,将其转换为十进制值为49320。该信息可以记录在通过数组实现的匹配子表中,也可以记录在通过位图实现的匹配子表中。例如,IP地址的第一分段的信息为49320,可以将数组的第49320个元素设置为1,源匹配IP地址192.163.1.0进行匹配时,将源匹配IP地址与第一段的掩码0xffff0000进行位与运算得到十进制的数值49320,此时,数组的第49320个元素为1,则判定源匹配IP地址与该匹配子表匹配,否则,判定源匹配IP地址与该匹配子表不匹配。
步骤S103,若源匹配IP地址与当前匹配子表匹配,则依据当前匹配子表确定下一匹配子表,并依据源匹配IP地址及与下一匹配子表对应的掩码,确定源匹配IP地址是否与下一匹配子表匹配,直至源匹配IP地址与所有匹配子表均匹配,则判定源匹配IP地址与预设IP地址列表匹配。
在本公开实施例中,为了进一步提高匹配效率,在匹配过程中,当源匹配IP地址与当前匹配子表不匹配时,即可判定源匹配IP地址与预设IP地址列表不匹配,此时无需继续下一个匹配子表的匹配,因此,本公开实施例还包括步骤S104。
步骤S104,若源匹配IP地址与当前匹配子表不匹配,则判定源匹配IP地址与预设IP地址列表不匹配。
步骤S105,若源匹配IP地址与预设IP地址列表匹配,且预设IP地址列表的类型为黑名单,则对来自源匹配IP地址的报文进行阻断。
在本公开实施例中,预设IP地址列表的类型可以是预先配置的黑名单,也可以是预先配置的白名单,若预设IP地址列表的类型为黑名单,则网络设备40将所有来自黑名单中的IP地址的报文进行阻断,将未来自黑名单中的IP地址的报文进行放行,若预设IP地址类别的类型为白名单,则网络设备40将所有来自白名单中的IP地址的报文进行放行,将未来自白名单中的IP地址的报文进行阻断。若源匹配IP地址与预设IP地址列表匹配,则认为该源匹配IP地址对应的报文来自于预设IP地址列表中的IP地址。
上述实施例提供的IP地址的匹配方法,一方面,通过将源匹配IP地址逐层与匹配表中的位于每一层的每个匹配子表进行匹配,当源匹配IP地址与位于当前层的当前匹配子表不匹配时,即可将匹配表中与该层具有相同bit位的IP地址直接进行排除,直接判定源匹配IP地址与预设IP地址列表不匹配,由此加快了匹配效率;另一个方面,当源匹配IP地址与位于当前层的当前层的当前匹配子表匹配时,通过该匹配子表即可直接确定下一个匹配子表,实现源匹配IP地址与所有匹配子表的匹配,从而避免了将源匹配IP地址与预设IP地址列表中的IP地址逐一进行匹配导致的匹配效率低的问题,实现了源匹配IP地址与预设IP地址列表的快速匹配,最终达到对来自黑名单中的报文进行快速阻断的目的。
在图3的基础上,请参照图5,步骤S102具体包括:
子步骤S1021,将当前匹配子表对应的掩码和源匹配IP地址进行位运算,得到匹配值。
在本实施例中,匹配值用于表征源匹配IP地址中与掩码对应的段的信息,在判断源匹配IP地址是否与当前匹配子表匹配时,首先将当前匹配子表对应的掩码和源匹配IP地址进行位运算,得到源匹配IP地址中与掩码对应的多个bit,再将此多个bit转换成十进制,即得到匹配值。其中,位运算可以为位与运算,或者位或运算或者位异或运算等。例如,源匹配IP地址为192.168.10.1,将其转为二进制值为:11000000101010000000101000000001,第一分段对应的掩码为:0xffff0000,二者进行位与运算后,得到源匹配IP地址与掩码对应的前16个bit,为:1100000010101000,将其转换为十进制值为49320,则匹配值为49320。
子步骤S1022,将当前匹配子表中标识与匹配值相同的匹配项确定为源匹配IP地址对应的目标匹配项。
在本实施例中,每一匹配子表包括多个匹配项,匹配项的个数与对应的掩码的bit位数相关,是由掩码bit位数个0和1的全排列,例如,掩码的bit位数为3,则对应匹配子表中的匹配项的个数为23=8,即匹配项的个数为8个,每一匹配项包括标识及标志位,其中,匹配项的标识可以是匹配项的编号,例如匹配项的个数为8,则匹配项的编号为0~7。
子步骤S1023,若目标匹配项的标志位被置位,则判定源匹配IP地址与当前匹配子表匹配。
在本实施例中,目标匹配项的标志位被置位可以通过将目标匹配项的标志位设置为一个预设值来实现,例如,将标志位设置为1,代表标志位被置位。
子步骤S1024,若目标匹配项的标志位未被置位,则判定源匹配IP地址与当前匹配子表不匹配。
在本实施例中,目标匹配项的标志位不为预设值时,则代表目标匹配项的标志位未被置位。
在本实施例中,为了快速地找到当前匹配子表相邻的下一个匹配子表,可以将下一个匹配子表的地址预先存储于当前匹配子表中,步骤S103在依据当前匹配子表确定下一匹配子表时,具体可以采用的实施方式可以为:
从当前匹配子表的目标匹配项中获取地址字段,并依据地址字段确定下一匹配子表。
作为一种具体实施方式,每一匹配项还包括地址字段,该地址字段用于指向与当前匹配子表相邻的下一个匹配子表。通过该地址字段、由源匹配IP地址与下一匹配子表对应的掩码进行位运算得到的匹配值,可以确定该源匹配IP地址在下一匹配子表中的目标匹配项的地址,由此,可以读取该目标匹配项的标志位的值。例如,下一个匹配子表的地址为0x0010,每一个匹配项的长度为16,计算得到的匹配值为2,则目标匹配项对应的地址为0x0010+2*16=0x0030。
需要说明的是,最后一个匹配子表中该地址字段为空,因为最后一个匹配子表没有与其相邻的下一个匹配子表。
为了更清楚地说明匹配的过程,本公开实施例根据图6提供的匹配表的示例图说明IP地址的匹配过程,请参照图6,图6为根据预设IP地址列表生成的匹配表的示例图,该预设IP地址列表中只有一个IP地址为:192.168.10.1,该匹配表一共包括四个匹配子表,对应的掩码按照图4所述的IP地址分段规则生成的,第一匹配子表共65536个匹配项,其中编号为49320的匹配项的标志位被置位,第二匹配子表共8个匹配项,其中编号为0的匹配项的标志位被置位,第三匹配子表共32个匹配项,其中编号为10的匹配项的标志位被置位,第四匹配子表共256个匹配项,其中编号为1的匹配项的标志位被置位。源匹配IP地址为192.168.10.1,将源匹配IP地址与第一匹配子表对应的掩码进行位运算,确定第一匹配子表中编号为49320的匹配项为目标匹配项,由于该目标匹配项被置位,则判定该源匹配IP地址与第一匹配子表匹配,依次对第二匹配子表、第三匹配子表和第四匹配子表进行匹配,四个匹配子表均匹配,则判定该源匹配IP地址与预设IP地址列表匹配。需要说明的是,由于第一匹配子表的目标匹配项中记录了第二匹配子表的地址,因此,可以快速地根据第二匹配子表的地址确定出第二匹配子表的目标匹配项,同理,可以确定第三匹配子表、第四匹配子表的目标匹配项。
上述实施例提供的IP地址的匹配方法,通过将掩码和源匹配IP地址进行位运算,得到匹配值,根据匹配值可以直接找到该源匹配IP地址在该掩码对应的匹配子表中的目标匹配项,并且根据该目标匹配项中地址字段可以直接找到下一个匹配子表,由于无需在匹配过程中进行大量的查找操作,进一步提升了匹配效率。
基于与前述的IP地址的匹配方法相同的发明思路,本公开实施例还提供了一种匹配表的生成方法,利用该匹配表的生成方法生成的匹配表可以用于前述的IP地址的匹配方法中,以实现提升匹配效率的目的。
请参照图7,图7为本公开实施例提供的一种匹配表的生成方法的流程图,该方法包括以下步骤:
步骤S201,获取预设IP地址列表中的IP地址。
在本实施例中,预设IP地址列表可以是用户预先设置的全局静态黑名单,也可以是用于预先设置的全局静态白名单,如果网络设备40收到的报文来自于全局静态黑名单中的IP地址,则需要对该报文进行拦截,如果网络设备40收到的报文来自于全局静态白名单中的IP地址,则需要对该报文进行放行。
步骤S202,根据按照预设IP地址分段规则生成的多个掩码中的每一掩码及IP地址,确定每一掩码对应的匹配表的匹配子表及IP地址在匹配子表中对应的目标匹配项,其中,匹配表应用于如前述实施方式中任一项所述的IP地址的匹配方法。
在本实施例中,预设IP地址分段规则在步骤S101中已经进行了详细说明,此处不再赘述。
需要说明的是,预设IP地址分段规则中的段数可以由用户根据实际需要进行设置,但是不同的段数对内存及匹配性能的影响也有差别,段数越少,匹配的次数也较少,同时消耗的内存越多;段数越多,消耗的内存会变小,同时匹配的次数会随之增多。
步骤S203,更新IP地址在每一掩码对应的匹配子表中对应的目标匹配项。
上述实施例提供的匹配表的生成方法,通过根据预设IP地址列表中的IP地址生成匹配表,从而避免匹配过程中对预设IP地址列表中的每一IP地址均进行逐一匹配导致的匹配效率的降低。
在图7的基础上,请参照图8,步骤S202包括以下子步骤:
子步骤S2021,将每一掩码和IP地址进行位运算,得到匹配值。
子步骤S2022,若存在每一掩码对应的匹配子表,则将匹配子表中标识与匹配值相同的匹配项确定为目标匹配项。
子步骤S2023,若不存在每一掩码对应的匹配子表,则依据每一掩码生成对应的匹配子表并将匹配子表中标识与匹配值相同的匹配项确定为目标匹配项。
在本实施例中,作为一种实施方式,匹配子表可以采用数组表示,数组中的每一个元素为该匹配子表中的一个匹配项,根据每一掩码中为1的bit的个数确定匹配项的个数,具体确定方法上述步骤S1022中已有描述,此处不再赘述。
继续参照图8,步骤S203包括以下子步骤:
子步骤S2031,将目标匹配项的标志位置位。
在本公开实施例中,为了可以从每一掩码的匹配子表直接获取下一个掩码对应的匹配子表,作为一种具体实施方式,本公开实施例将下一个掩码对应的匹配子表的地址记录在每一掩码的目标匹配项中,因此,步骤S203还包括以下子步骤:
子步骤S2032,获取每一掩码的下一个掩码对应的匹配子表的地址。
子步骤S2033,根据每一掩码的下一个掩码对应的匹配子表的地址更新目标匹配项的地址字段。
为了更清楚地说明整个匹配表的生成过程,本公开实施例提供了一个匹配表的生成过程的示例图,请参照图9,图9示出了本公开实施例提供的匹配表的生成过程示例图。
图9基于的预设IP地址列表中包括两个IP地址:192.168.10.1和192.168.20.0,预设IP地址分段规则如上图4所示,第一个分段对应的掩码为0xffff0000,第二个分段对应的掩码为:0x0000e000,第三个分段对应的掩码为:0x00001f00,第四个分段对应的掩码为:0x000000ff。
首先处理预设IP地址列表中的IP地址192.168.10.1,此时,匹配表为空,匹配表中不存在匹配子表,根据第一分段的掩码生成第一分段对应的第一匹配子表,第一匹配子表共65536个匹配项,目标匹配项为编号为49320的匹配项,将该目标匹配项对应的标志位置1,此时得到的匹配表如图9(a)所示,此时,匹配表中只有一个第一匹配子表。
由于不存在第二匹配子表,需要根据第二分段的掩码生成第二分段对应的第二匹配子表,第二匹配子表共8个匹配项,目标匹配项为编号为0的匹配项,将该目标匹配向对应的标志位置1,并将第二分段对应的第二匹配子表的地址记录在第一匹配子表的编号为49320的匹配项中,此时得到的匹配表如图9(b)所示,此时,匹配表中有两个匹配子表:第一匹配子表和第二匹配子表。
依次处理第三分段和第四分段,处理完IP地址192.168.10.1后的匹配表如图9(c)中所示,此时,匹配表中有两个匹配子表:第一匹配子表、第二匹配子表、第三匹配子表和第四匹配子表。
然后,处理预设IP地址列表中的IP地址192.168.20.0,由于IP地址192.168.20.0的第一分段对应的第一匹配子表已经存在,此时,无需再创建第一匹配子表,且此时的目标匹配项为编号为49320的匹配项,该目标匹配项对应的标志位已经置位,也无需再置位,IP地址192.168.20.0的第二分段对应的第二匹配子表也已经存在,且对应的目标匹配项也已经置位,此时,也不需要处理。此时,匹配表如图9(c)所示。
接下来,对于IP地址192.168.20.0的第三分段,此时的目标匹配项为编号为20的匹配项,该匹配项未置位,因此需要将该匹配项置位。此时,匹配表如图9(d)所示。
最后,对于IP地址192.168.20.0的第四分段,此时的目标匹配项为编号为0的匹配项,此时第四分段对应的第四匹配子表不存在,需要创建第四匹配子表,将第四匹配子表中编号为0的匹配项置位,将创建的第四匹配子表的地址记录在第三匹配子表中编号为20的匹配项。此时,匹配表如图9(e)所示,此时第四分段对应的第四匹配子表包括两个子表,每个子表对应预设IP地址列表中的一个IP地址。
为了执行上述实施例及各个可能的实施方式中的相应步骤,下面给出一种IP地址的匹配装置的实现方式。请参阅图10,图10为本公开实施例提供的一种IP地址的匹配装置100的功能模块图。需要说明的是,本实施例所提供的IP地址的匹配装置100,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及指出,可参考上述实施例中的相应内容。该IP地址的匹配装置100应用于网络设备40,网络设备40预先存储有依据预设IP地址列表生成的匹配表,匹配表包括位于不同层的多个匹配子表,每个匹配子表均对应有掩码,掩码按照预设IP地址分段规则生成且每一层对应一个掩码,下面结合图2及图10对该IP地址的匹配装置100进行介绍,该IP地址的匹配装置100包括:第一获取模块110及匹配模块120。
第一获取模块110,用于获取源匹配IP地址。
匹配模块120,用于:根据源匹配IP地址及多个匹配子表中的当前匹配子表对应的掩码,确定源匹配IP地址是否与当前匹配子表匹配;若源匹配IP地址与当前匹配子表匹配,依据当前匹配子表确定下一匹配子表,并依据源匹配IP地址及与下一匹配子表对应的掩码,确定源匹配IP地址是否与下一匹配子表匹配,直至源匹配IP地址与所有匹配子表均匹配,则判定源匹配IP地址与预设IP地址列表匹配。
具体地,每一匹配子表包括多个匹配项,每一匹配项包括标识及标志位,匹配模块120具体可以用于:将当前匹配子表对应的掩码和源匹配IP地址进行位运算,得到匹配值;将当前匹配子表中标识与匹配值相同的匹配项确定为源匹配IP地址对应的目标匹配项;若目标匹配项的标志位被置位,则判定源匹配IP地址与当前匹配子表匹配;若目标匹配项的标志位未被置位,则判定源匹配IP地址与当前匹配子表不匹配。
具体地,每一匹配项还包括地址字段,地址字段用于指向与当前匹配子表相邻的下一个匹配子表,当匹配模块120依据当前匹配子表确定下一匹配子表时,匹配模块120具体用于:从当前匹配子表的目标匹配项中获取地址字段,并依据地址字段确定下一匹配子表。
具体地,匹配模块120还用于若源匹配IP地址与当前匹配子表不匹配,则判定源匹配IP地址与预设IP地址列表不匹配。
阻断模块130,用于若源匹配IP地址与预设IP地址列表匹配,且预设IP地址列表的类型为黑名单,则对来自源匹配IP地址的报文进行阻断。
图10中的IP地址的匹配装置100可以存储于图2中的存储器41中,当图2中的处理器43在接收到执行指令后,执行IP地址的匹配装置100的程序以实现上述实施例揭示的IP地址的匹配方法。
本公开实施例还提供了一种匹配表的生成装置,请参阅图11,图11为本公开实施例提供的一种匹配表的生成装置200的功能模块图。需要说明的是,本实施例所提供的匹配表的生成装置200,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及指出,可参考上述实施例中的相应内容。该匹配表的生成装置200应用于网络设备40,下面结合图2及图11对该匹配表的生成装置200进行介绍,该匹配表的生成装置200包括第二获取模块210及生成模块220。
第二获取模块210,用于获取预设IP地址列表中的IP地址。
生成模块220,用于:根据按照预设IP地址分段规则生成的多个掩码中的每一掩码及IP地址,确定每一掩码对应的匹配表的匹配子表及IP地址在匹配子表中对应的目标匹配项,其中,匹配表应用于如前述实施方式中任一项所述的IP地址的匹配方法;更新IP地址在每一掩码对应的匹配子表中对应的目标匹配项。
具体地,生成模块220具体用于:将每一掩码和IP地址进行位运算,得到匹配值;若存在每一掩码对应的匹配子表,则将匹配子表中标识与匹配值相同的匹配项确定为目标匹配项。
具体地,生成模块220具体用于:若不存在每一掩码对应的匹配子表,则依据每一掩码生成对应的匹配子表并将匹配子表中标识与匹配值相同的匹配项确定为目标匹配项。
具体地,目标匹配项包括标志位,生成模块220在执行更新所述IP地址在所述每一掩码对应的匹配子表中对应的目标匹配项的步骤时,生成模块220具体用于将目标匹配项的标志位置位。
具体地,目标匹配项还包括地址字段,多个掩码依次排列,生成模块220在执行更新IP地址在每一掩码对应的匹配子表中对应的目标匹配项的步骤时,生成模块220具体用于:获取每一掩码的下一个掩码对应的匹配子表的地址;根据每一掩码的下一个掩码对应的匹配子表的地址更新目标匹配项的地址字段。
图11中的匹配表的生成装置200可以存储于图2中的存储器41中,当图2中的处理器43在接收到执行指令后,执行匹配表的生成装置200的程序以实现上述实施例揭示的匹配表的生成方法。
本公开实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器43执行时实现如前述实施方式中任一项所述的IP地址的匹配方法,或者,实现如前述实施方式中任一项所述的匹配表的生成方法。
综上所述,本公开实施例提供一种IP地址的匹配方法、匹配表的生成方法及相关装置,所述IP地址的匹配方法应用于网络设备,网络设备预先存储有依据预设IP地址列表生成的匹配表,匹配表包括位于不同层的多个匹配子表,每个匹配子表均对应有掩码,掩码按照预设IP地址分段规则生成且每一层对应一个掩码,所述方法包括:获取源匹配IP地址;根据源匹配IP地址及多个匹配子表中的当前匹配子表对应的掩码,确定源匹配IP地址是否与当前匹配子表匹配;若源匹配IP地址与当前匹配子表匹配,依据当前匹配子表确定下一匹配子表,并依据源匹配IP地址及与下一匹配子表对应的掩码,确定源匹配IP地址是否与下一匹配子表匹配,直至源匹配IP地址与所有匹配子表均匹配,则判定源匹配IP地址与预设IP地址列表匹配;若源匹配IP地址与预设IP地址列表匹配,且预设IP地址列表的类型为黑名单,则对来自源匹配IP地址的报文进行阻断。相对现有技术,本公开具有以下有益效果:本公开实施例提供的一种IP地址的匹配方法、匹配表的生成方法及相关装置,依据预设IP地址列表生成匹配表,匹配表包括位于不同层的多个匹配子表,每个匹配子表均对应掩码,掩码按照预设IP地址分段规则生成且每一层对应一个掩码,通过将源匹配IP地址与匹配表中的每个匹配子表进行匹配,且通过每个匹配子表可以确定下一个匹配子表,由此实现源匹配IP地址与所有匹配子表的匹配,从而避免了将源匹配IP地址与预设IP地址列表中的IP地址逐一进行匹配导致的匹配效率低的问题,实现了源匹配IP地址与预设IP地址列表的快速匹配,最终达到快速对来自黑名单中的报文的进行阻断的目的。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以所述权利要求的保护范围为准。
Claims (13)
1.一种IP地址的匹配方法,其特征在于,应用于网络设备,所述网络设备预先存储有依据预设IP地址列表生成的匹配表,所述匹配表包括位于不同层的多个匹配子表,每个所述匹配子表均对应有掩码,所述掩码按照预设IP地址分段规则生成且每一层对应一个掩码,所述方法包括:
获取源匹配IP地址;
根据所述源匹配IP地址及所述多个匹配子表中的当前匹配子表对应的掩码,确定所述源匹配IP地址是否与所述当前匹配子表匹配;
若所述源匹配IP地址与所述当前匹配子表匹配,则依据所述当前匹配子表确定下一匹配子表,并依据所述源匹配IP地址及与所述下一匹配子表对应的掩码,确定所述源匹配IP地址是否与所述下一匹配子表匹配,直至所述源匹配IP地址与所有匹配子表均匹配,则判定所述源匹配IP地址与所述预设IP地址列表匹配;
若所述源匹配IP地址与所述预设IP地址列表匹配,且所述预设IP地址列表的类型为黑名单,则对来自所述源匹配IP地址的报文进行阻断。
2.如权利要求1所述的IP地址的匹配方法,其特征在于,每一所述匹配子表包括多个匹配项,每一所述匹配项包括标识及标志位,所述根据所述源匹配IP地址及所述多个匹配子表中的当前匹配子表对应的掩码,确定所述源匹配IP地址是否与所述当前匹配子表匹配的步骤,包括:
将当前匹配子表对应的掩码和所述源匹配IP地址进行位运算,得到匹配值;
将所述当前匹配子表中标识与所述匹配值相同的匹配项确定为所述源匹配IP地址对应的目标匹配项;
若所述目标匹配项的标志位被置位,则判定所述源匹配IP地址与所述当前匹配子表匹配;
若所述目标匹配项的标志位未被置位,则判定所述源匹配IP地址与所述当前匹配子表不匹配。
3.如权利要求2所述的IP地址的匹配方法,其特征在于,每一所述匹配项还包括地址字段,所述地址字段用于指向与当前匹配子表相邻的下一个匹配子表,所述依据所述当前匹配子表确定下一匹配子表的步骤包括:
从所述当前匹配子表的所述目标匹配项中获取所述地址字段,并依据所述地址字段确定所述下一匹配子表。
4.如权利要求1所述的IP地址的匹配方法,其特征在于,所述方法还包括:
若所述源匹配IP地址与所述当前匹配子表不匹配,则判定所述源匹配IP地址与所述预设IP地址列表不匹配。
5.一种匹配表的生成方法,其特征在于,所述方法包括:
获取预设IP地址列表中的IP地址;
根据按照预设IP地址分段规则生成的多个掩码中的每一掩码及所述IP地址,确定所述每一掩码对应的所述匹配表的匹配子表及所述IP地址在所述匹配子表中对应的目标匹配项,其中,所述匹配表应用于如权利要求1~4中任一项所述的IP地址的匹配方法;
更新所述IP地址在所述每一掩码对应的匹配子表中对应的目标匹配项。
6.如权利要求5所述的匹配表的生成方法,其特征在于,所述根据按照预设IP地址分段规则生成的多个掩码中的每一掩码及所述IP地址,确定所述每一掩码对应的所述匹配表的匹配子表及所述IP地址在所述匹配子表中对应的目标匹配项的步骤,包括:
将所述每一掩码和所述IP地址进行位运算,得到匹配值;
若存在所述每一掩码对应的匹配子表,则将所述匹配子表中标识与所述匹配值相同的匹配项确定为所述目标匹配项。
7.如权利要求6所述的匹配表的生成方法,其特征在于,所述根据按照预设分段规则生成的多个掩码中的每一掩码及所述IP地址,确定所述每一掩码对应的所述匹配表的匹配子表及所述IP地址在所述匹配子表中对应的目标匹配项的步骤还包括:
若不存在所述每一掩码对应的匹配子表,则依据所述每一掩码生成对应的匹配子表并将所述匹配子表中标识与所述匹配值相同的匹配项确定为所述目标匹配项。
8.如权利要求5所述的匹配表的生成方法,其特征在于,所述目标匹配项包括标志位,所述更新所述IP地址在所述每一掩码对应的匹配子表中对应的目标匹配项的步骤,包括:
将所述目标匹配项的标志位置位。
9.如权利要求5所述的匹配表的生成方法,其特征在于,所述目标匹配项还包括地址字段,所述多个掩码依次排列,所述更新所述IP地址在所述每一掩码对应的匹配子表中对应的目标匹配项的步骤,包括:
获取所述每一掩码的下一个掩码对应的匹配子表的地址;
根据所述每一掩码的下一个掩码对应的匹配子表的地址更新所述目标匹配项的地址字段。
10.一种IP地址的匹配装置,其特征在于,应用于网络设备,所述网络设备预先存储有依据预设IP地址列表生成的匹配表,所述匹配表包括位于不同层的多个匹配子表,每个所述匹配子表均对应有掩码,所述掩码按照预设IP地址分段规则生成且每一层对应一个掩码,所述装置包括:
第一获取模块,用于获取源匹配IP地址;
匹配模块,用于:
根据所述源匹配IP地址及所述多个匹配子表中的当前匹配子表对应的掩码,确定所述源匹配IP地址是否与所述当前匹配子表匹配;
若所述源匹配IP地址与所述当前匹配子表匹配,则依据所述当前匹配子表确定下一匹配子表,并依据所述源匹配IP地址及与所述下一匹配子表对应的掩码,确定所述源匹配IP地址是否与所述下一匹配子表匹配,直至所述源匹配IP地址与所有匹配子表均匹配,则判定所述源匹配IP地址与所述预设IP地址列表匹配;
阻断模块,用于若所述源匹配IP地址与所述预设IP地址列表匹配,且所述预设IP地址列表的类型为黑名单,则对来自所述源匹配IP地址的报文进行阻断。
11.一种匹配表的生成装置,其特征在于,所述装置包括:
第二获取模块,用于获取预设IP地址列表中的IP地址;
生成模块,用于:
根据按照预设IP地址分段规则生成的多个掩码中的每一掩码及所述IP地址,确定所述每一掩码对应的所述匹配表的匹配子表及所述IP地址在所述匹配子表中对应的目标匹配项,其中,所述匹配表应用于如权利要求1~4中任一项所述的IP地址的匹配方法;
更新所述IP地址在所述每一掩码对应的匹配子表中对应的目标匹配项。
12.一种网络设备,其特征在于,所述网络设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1~4中任一项所述的IP地址的匹配方法,或者,实现如权利要求5~9中任一项所述的匹配表的生成方法。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1~4中任一项所述的IP地址的匹配方法,或者,如权利要求5~9中任一项所述的匹配表的生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911002612.3A CN110855629B (zh) | 2019-10-21 | 2019-10-21 | Ip地址的匹配方法、匹配表的生成方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911002612.3A CN110855629B (zh) | 2019-10-21 | 2019-10-21 | Ip地址的匹配方法、匹配表的生成方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110855629A true CN110855629A (zh) | 2020-02-28 |
| CN110855629B CN110855629B (zh) | 2022-02-11 |
Family
ID=69597819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911002612.3A Active CN110855629B (zh) | 2019-10-21 | 2019-10-21 | Ip地址的匹配方法、匹配表的生成方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110855629B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111736982A (zh) * | 2020-05-12 | 2020-10-02 | 深圳震有科技股份有限公司 | 一种5g数据转发平面的数据转发处理方法和服务器 |
| CN112367262A (zh) * | 2020-08-20 | 2021-02-12 | 国家计算机网络与信息安全管理中心 | 一种五元组规则的匹配方法及装置 |
| CN112491876A (zh) * | 2020-11-26 | 2021-03-12 | 杭州迪普科技股份有限公司 | 地理位置的访问控制方法及装置 |
| CN112887333A (zh) * | 2021-03-02 | 2021-06-01 | 深信服科技股份有限公司 | 一种异常设备检测方法、装置、电子设备及可读存储介质 |
| CN113609125A (zh) * | 2021-06-24 | 2021-11-05 | 北京华云安信息技术有限公司 | Ip地址匹配方法、装置、设备和计算机可读存储介质 |
| CN114006868A (zh) * | 2021-10-30 | 2022-02-01 | 杭州迪普信息技术有限公司 | 流量筛选方法及装置 |
| CN114143083A (zh) * | 2021-11-30 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 黑名单策略匹配方法、装置、电子设备及存储介质 |
| CN114745327A (zh) * | 2022-06-10 | 2022-07-12 | 鹏城实验室 | 业务数据转发方法、装置、设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152354A (zh) * | 2013-03-19 | 2013-06-12 | 北京奇虎科技有限公司 | 对危险网站进行提示的方法、系统及客户端设备 |
| CN103581023A (zh) * | 2013-11-06 | 2014-02-12 | 盛科网络(苏州)有限公司 | 实现最长掩码匹配的方法及装置 |
| US20160182452A1 (en) * | 2014-12-22 | 2016-06-23 | Unisys Corporation | Systems and methods of geo-location based community of interest |
| CN106131086A (zh) * | 2016-08-31 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种访问控制列表的匹配方法及装置 |
| CN109617927A (zh) * | 2019-01-30 | 2019-04-12 | 新华三信息安全技术有限公司 | 一种匹配安全策略的方法及装置 |
| CN109905413A (zh) * | 2019-04-30 | 2019-06-18 | 新华三信息安全技术有限公司 | 一种ip地址的匹配方法及装置 |
| CN109981656A (zh) * | 2019-03-29 | 2019-07-05 | 成都知道创宇信息技术有限公司 | 一种基于cdn节点日志的cc防护方法 |
| CN110351397A (zh) * | 2019-05-30 | 2019-10-18 | 湖北微源卓越科技有限公司 | 一种匹配ip网段的方法及装置 |
-
2019
- 2019-10-21 CN CN201911002612.3A patent/CN110855629B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152354A (zh) * | 2013-03-19 | 2013-06-12 | 北京奇虎科技有限公司 | 对危险网站进行提示的方法、系统及客户端设备 |
| CN103581023A (zh) * | 2013-11-06 | 2014-02-12 | 盛科网络(苏州)有限公司 | 实现最长掩码匹配的方法及装置 |
| US20160182452A1 (en) * | 2014-12-22 | 2016-06-23 | Unisys Corporation | Systems and methods of geo-location based community of interest |
| CN106131086A (zh) * | 2016-08-31 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种访问控制列表的匹配方法及装置 |
| CN109617927A (zh) * | 2019-01-30 | 2019-04-12 | 新华三信息安全技术有限公司 | 一种匹配安全策略的方法及装置 |
| CN109981656A (zh) * | 2019-03-29 | 2019-07-05 | 成都知道创宇信息技术有限公司 | 一种基于cdn节点日志的cc防护方法 |
| CN109905413A (zh) * | 2019-04-30 | 2019-06-18 | 新华三信息安全技术有限公司 | 一种ip地址的匹配方法及装置 |
| CN110351397A (zh) * | 2019-05-30 | 2019-10-18 | 湖北微源卓越科技有限公司 | 一种匹配ip网段的方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111736982A (zh) * | 2020-05-12 | 2020-10-02 | 深圳震有科技股份有限公司 | 一种5g数据转发平面的数据转发处理方法和服务器 |
| CN111736982B (zh) * | 2020-05-12 | 2023-12-08 | 深圳震有科技股份有限公司 | 一种5g数据转发平面的数据转发处理方法和服务器 |
| CN112367262A (zh) * | 2020-08-20 | 2021-02-12 | 国家计算机网络与信息安全管理中心 | 一种五元组规则的匹配方法及装置 |
| CN112491876A (zh) * | 2020-11-26 | 2021-03-12 | 杭州迪普科技股份有限公司 | 地理位置的访问控制方法及装置 |
| CN112887333A (zh) * | 2021-03-02 | 2021-06-01 | 深信服科技股份有限公司 | 一种异常设备检测方法、装置、电子设备及可读存储介质 |
| CN113609125A (zh) * | 2021-06-24 | 2021-11-05 | 北京华云安信息技术有限公司 | Ip地址匹配方法、装置、设备和计算机可读存储介质 |
| CN113609125B (zh) * | 2021-06-24 | 2023-10-27 | 北京华云安信息技术有限公司 | Ip地址匹配方法、装置、设备和计算机可读存储介质 |
| CN114006868A (zh) * | 2021-10-30 | 2022-02-01 | 杭州迪普信息技术有限公司 | 流量筛选方法及装置 |
| CN114006868B (zh) * | 2021-10-30 | 2024-04-26 | 杭州迪普信息技术有限公司 | 流量筛选方法及装置 |
| CN114143083A (zh) * | 2021-11-30 | 2022-03-04 | 北京天融信网络安全技术有限公司 | 黑名单策略匹配方法、装置、电子设备及存储介质 |
| CN114143083B (zh) * | 2021-11-30 | 2023-11-14 | 北京天融信网络安全技术有限公司 | 黑名单策略匹配方法、装置、电子设备及存储介质 |
| CN114745327A (zh) * | 2022-06-10 | 2022-07-12 | 鹏城实验室 | 业务数据转发方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110855629B (zh) | 2022-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110855629B (zh) | Ip地址的匹配方法、匹配表的生成方法及相关装置 | |
| CN110177046B (zh) | 基于拟态思想的安全交换芯片、实现方法及网络交换设备 | |
| US10341378B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| WO2017076193A1 (zh) | 一种处理客户端请求的方法和装置 | |
| CN108965259B (zh) | 一种区块链恶意节点发现与隔离方法及装置 | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN109643360B (zh) | 用于储存于集成电路上的认证固件的系统和方法 | |
| JP2015533243A (ja) | データストリームにおいてデータパターンを検出する装置、方法、及びネットワークサーバ | |
| CN111460458A (zh) | 一种数据处理方法、相关装置及计算机可存储介质 | |
| CN112001376B (zh) | 基于开源组件的指纹识别方法、装置、设备及存储介质 | |
| CN111367923A (zh) | 数据处理方法、装置、节点设备及存储介质 | |
| US20220360577A1 (en) | Systems and methods for applying attestation tokens to lisp messages | |
| US10482290B1 (en) | Virtual polymorphic hardware engine | |
| CN112235104B (zh) | 一种数据加密传输方法、系统、终端及存储介质 | |
| CN107770183B (zh) | 一种数据传输方法与装置 | |
| CN112583827A (zh) | 一种数据泄露检测方法及装置 | |
| CN107736003B (zh) | 用于保护域名安全的方法和设备 | |
| CN110719263B (zh) | 多租户dns安全管理方法、装置及存储介质 | |
| WO2021027504A1 (zh) | 基于共识协议的信息处理方法及相关装置 | |
| Guangjia et al. | Using multi‐address generation and duplicate address detection to prevent DoS in IPv6 | |
| EP2815350B1 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| CN111865876A (zh) | 网络的访问控制方法和设备 | |
| CN112769863B (zh) | 一种业务请求报文数据的处理方法、装置、电子设备及可读存储介质 | |
| CN109462609B (zh) | 一种arp抑制表项生成方法和装置 | |
| CN116366292B (zh) | 报文处理方法、系统、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |