CN111695150B - 一种动态粒度自聚合的安全过滤方法及装置 - Google Patents
一种动态粒度自聚合的安全过滤方法及装置 Download PDFInfo
- Publication number
- CN111695150B CN111695150B CN202010412203.7A CN202010412203A CN111695150B CN 111695150 B CN111695150 B CN 111695150B CN 202010412203 A CN202010412203 A CN 202010412203A CN 111695150 B CN111695150 B CN 111695150B
- Authority
- CN
- China
- Prior art keywords
- addresses
- bits
- equal
- address
- aggregation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明公开了一种动态粒度自聚合的安全过滤方法及装置,由网络节点接收业务管理服务器下发的白名单,获取白名单中业务终端的IP地址,然后根据网络节点本身控制表项的容量,计算动态起始前缀长度,从动态起始前缀长度开始判断是否满足聚合条件,在满足时对白名单的IP地址进行自适应聚合,聚合为对应的网段,根据聚合后的网段地址来生成控制表项。本发明聚合后的网段最符合实际控制表项允许的转发网段,精确实现控制转发,且大大减少了控制表项的数量。
Description
技术领域
本发明属于访问控制技术领域,尤其涉及一种动态粒度自聚合的安全过滤方法及装置。
背景技术
在集中式管理的信息系统中,管理服务器具有所有节点之间的交互信息,从而可以通过对网络节点的集中管控,下发白名单,在网络节点上添加控制表项,实现数据的转发控制。这种控制数据转发的控制表项一般是所有网络节点均支持的访问控制列表。
然而,由于网络节点的控制表项规格有限,采用静态访问控制列表会导致规格超标,无法适用于业务复杂的系统。动态访问控制列表由管理服务器随着与业务终端之间的交互而进行及时的增加/删除表项。即使如此,网络节点的访问控制列表的表项数量依旧十分紧张,从而导致系统无法采用深层控制表项,影响系统的安全性。
在集中式管理的信息系统中,业务管理服务器实现对所有业务终端和网络节点的控制。默认情况下,网络节点只允许网络基础协议数据和业务终端向业务管理服务器的注册消息通行,其他数据报文一概拒绝转发;当业务终端注册通过后,业务管理服务器才通知该业务终端对到业务管理服务器的路径上的所有网络节点对该业务终端放行该业务终端权限范围内可以交互的信令与数据,即增加白名单,当然该白名单必定包含该业务终端的IP地址。但现有技术中,业务管理服务器仅下发白名单,网络节点的访问控制列表的表项数量依旧十分紧张。
发明内容
本申请的目的是提供一种动态粒度自聚合的安全过滤方法及装置,用以减少网络节点的控制表项,解决网络节点的控制表项数量紧张的问题。
为了实现上述目的,本申请技术方案如下:
一种动态粒度自聚合的安全过滤方法,应用于网络节点,包括:
接收业务管理服务器下发的白名单,获取白名单中业务终端的IP地址;
根据网络节点本身控制表项的容量,获取动态起始前缀长度S;
对获取的IP地址进行统计分析,分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;
生成聚合得到的网段地址对应的控制表项,控制数据的转发。
进一步的,所述动态粒度自聚合的安全过滤方法,还包括:
在根据聚合得到的网段地址生成控制表项时,还将该网段地址中不在白名单中的IP地址放入黑名单,生成黑名单控制表项。
进一步的,所述动态粒度自聚合的安全过滤方法,还包括:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果否,则删除聚合得到的网段地址对应的控制表项,生成每个IP地址的单独控制表项。
进一步的,所述动态粒度自聚合的安全过滤方法,还包括:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是,则将退出业务终端的IP地址放入黑名单,生成黑名单控制表项。
进一步的,所述动态起始前缀长度S,通过如下公式计算:
S=IP地址的比特位总数-log2 C
其中,C为网络节点本身控制表项的容量。
本申请还提出了一种动态粒度自聚合的安全过滤装置,应用于网络节点,包括:
通信模块,用于接收业务管理服务器下发的白名单,获取白名单中业务终端的IP地址;
动态起始前缀长度计算模块,用于根据网络节点本身控制表项的容量,获取动态起始前缀长度S;
聚合控制模块,用于对获取的IP地址进行统计分析,分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;生成聚合得到的网段地址对应的控制表项,控制数据的转发。
进一步的,所述聚合控制模块,还用于:
在根据聚合得到的网段地址生成控制表项时,还将该网段地址中不在白名单中的IP地址放入黑名单,生成黑名单控制表项。
进一步的,所述聚合控制模块,还用于:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果否,则删除聚合得到的网段地址对应的控制表项,生成每个IP地址的单独控制表项。
进一步的,所述聚合控制模块,还用于:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是,则将退出业务终端的IP地址放入黑名单,生成黑名单控制表项。
进一步的,所述动态起始前缀长度S,通过如下公式计算:
S=IP地址的比特位总数-log2 C
其中,C为网络节点本身控制表项的容量。
本申请提出的一种动态粒度自聚合的安全过滤方法及装置,由网络节点接收业务管理服务器下发的白名单,获取白名单中业务终端的IP地址,然后根据网络节点本身控制表项的容量,计算动态起始前缀长度,从动态起始前缀长度开始判断是否满足聚合条件,在满足时对白名单的IP地址进行自适应聚合,聚合为对应的网段,根据聚合后的网段地址来生成控制表项。本发明聚合后的网段最符合实际控制表项允许的转发网段,精确实现控制转发,且大大减少了控制表项的数量。
附图说明
图1为本申请一种动态粒度自聚合的安全过滤方法流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
在集中式管理的信息系统中,随着业务开展,网络节点上白名单允许的控制表项比较多,业务终端到它需要交互的其他终端的路径上网络节点也会增加相应的白名单控制表项。虽然白名单会随着业务的阶段不同而不断增加删除,但网络节点的转发芯片的控制表项依然十分紧张,本申请的总体思路是对网络节点上的控制表项进行必要的聚合处理,以减少控制表项。
在一个实施例中,如图1所示,提供了一种动态粒度自聚合的安全过滤方法,应用于网络节点,包括:
接收业务管理服务器下发的白名单,获取白名单中业务终端的IP地址;
根据网络节点本身控制表项的容量,获取动态起始前缀长度S;
对获取的IP地址进行统计分析,分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;
生成聚合得到的网段地址对应的控制表项,控制数据的转发。
在本实施例中,网络节点负责数据的转发,例如在视频监控系统中,视频管理服务器是业务管理服务器,而摄像机、视频客户端等都是业务终端。摄像机采集视频图像数据,视频客户端查看摄像机采集的视频图像数据,摄像机采集的视频图像数据通过网络节点发送到视频客户端。在网络节点上设置控制表项,控制数据的转发。
通常来说,视频客户端都需要注册到视频管理服务器,在视频客户端查看视频源的视频图像,需要与视频管理服务器进行交互,先进行注册。视频客户端与视频管理服务器之间的网络节点,例如路由器、交换机、网关设备等,首先只允许网络基础协议数据和视频客户端向视频管理服务器的注册消息通行,其他数据报文一概拒绝转发。当视频客户端注册通过后,视频管理服务器向网络节点下发白名单信息,通知路径上的所有网络节点对该业务终端放行该视频客户端权限范围内可以交互的信令与数据,即在网络节点上增加白名单控制表项。同样,对于摄像机也需要先注册到视频管理服务器,摄像机到视频管理服务器之间的网络节点,也同样接收到视频管理服务器下发的白名单,生成白名单控制表项进行数据转发。
以下直接以业务终端、业务管理服务器和网络节点进行说明,不限于具体的应用系统,可以是视频监控系统,也可以是其他通信系统。
在本实施例中,业务管理服务器会向网络节点下发白名单,即通知网络节点对业务终端的数据放行,可以进行转发。白名单中必然包括业务终端的IP地址,网络节点接收业务管理服务器下发的白名单,获取白名单中业务终端的IP地址。
容易理解的是,系统中业务终端很多,因此网络节点可以从业务管理服务器不断下发的白名单中获取多个业务终端对应的IP地址。
例如网络节点A下面会挂若干个摄像机,网络节点A下属网段为20.20.0.0/16,该网段下挂了摄像机IPC1:20.20.20.129/16,IPC2:20.20.20.130/16,IPC3:20.20.20.131/16。
三台摄像机注册通过后,业务管理服务器会向该网络节点A下发关于三个IP地址的白名单,然后由网络节点生成各个IP地址对应的控制表项,下发到网络节点的转发芯片,控制数据的转发。
本申请网络节点分析获取到的业务终端的IP地址,对IP地址进行聚合,将多个单个的控制表项合并为针对一个网段地址的控制表项,以减少网络节点控制表项的数量。
容易理解的是,IP地址有32个比特位,如果从第一位相同开始进行是否聚合的排查,则需要消耗较多的CPU资源,而且也不会得到较好的聚合效果。本申请首先计算出动态起始前缀长度S,对于N小于S的前N比特位相同的IP地址不计算其特征值,不进行聚合,从而避免了不必要的计算和判断,节省了CPU的资源。本申请根据网络节点控制表项的容量,先计算出动态起始前缀长度S,实现动态前缀长度自决策。
而计算出动态起始前缀长度S,可以直接根据网络节点本身控制表项的容量C来进行设计,可以直接根据容量设置对应的起始前缀长度S,例如如果容量为256,则设置起始前缀长度S应该大于等于24位,否则必定不满足后续的判断公式。如果容量为512,则起始前缀大于等于23,以此类推。
本申请给出了一种具体的实施例,动态起始前缀长度S,通过如下公式计算:
S=IP地址的比特位总数-log2 C
其中,C为网络节点本身控制表项的容量。
在计算时,对控制表项容量以2为底数的对数值取整,再用32减该值所获得的差作为动态起始前缀长度S。通过这样的计算,可以快速确定动态起始前缀长度S,后续的计算和判断时,对于N值小于S的前N比特位相同的IP地址,不计算其特征值和判断。
例如,该网络节点A收到白名单后,对IP地址进行统计分析。假设网络节点A的控制表项容量为256,计算得到的S等于24,则从第24位开始计算。
在本实施例中很容易发现三个IP地址前面30比特位相同,可以进行聚合。对于上述IP地址,其IP地址的比特位总数为32,其中N(首个比特位开始连续相同的比特位数)为30,总共有三条IP地址,则M等于3。
则:特征值=M/(2(32-30))=3/4
假设设定的阈值T为50%,则可以发现上述三个IP地址满足聚合条件,对他们进行聚合,聚合为对应的网段地址。对于上述三个IP地址,可以聚合成20.20.20.128/30这一网段。
20.20.20.128/30这一网段包括四个主机地址,分别为:20.20.20.128~20.20.20.131。因此可以将阈值T设为50%,即需要聚合的IP地址占该网段地址池的比例为50%。本申请在设置阈值T时,考虑聚合后网段地址的地址池的IP地址数量,一般以占该网段地址的地址池的比例为40%~80%为宜。聚合后的网段地址可以为包括需要聚合的IP地址中IP地址的最小网段,关于聚合后的网段地址,以下不再赘述。
在进行IP地址聚合后,网络节点根据聚合得到的网段地址生成控制表项,控制数据的转发。
例如,对于摄像机,网络节点A设置控制表项,允许20.20.20.128/30这一网段的摄像机通过本网络节点发送数据。
而对于接收数据的视频客户端,需要从网络节点接收数据时,网络节点在进行聚合后,可以设置控制表项,允许向聚合后的网段地址发送数据。
需要说明的是,如果计算的特征值小于预设阈值T,则以每个IP地址单独生成控制表项,进行转发。关于每个IP地址的单独控制表项,属于现有比较成熟的技术,这里不再赘述。
本实施例,网络节点只需向自身转发芯片下发关于20.20.20.128/30的网段控制表项,同时从转发芯片中删除上述三个IP地址对应的分散的控制表项,从而减少了2个控制表项,节约了控制表项。
在另一个实施例中,为了进一步增加安全性,可以同时增加黑名单,以填补聚合后网段造成的“窟窿”。例如,上述的聚合后网段控制表项可能导致20.20.20.128的非法终端的流量入侵,则可以在网络节点中增加一个关于20.20.20.128的黑名单控制表项,从而避免隐患。如此,总体上还是节约了1个控制表项。
即,本申请一种动态粒度自聚合的安全过滤方法,还包括:
在根据聚合得到的网段地址生成控制表项时,还将该网段地址中不在白名单中的IP地址放入黑名单,生成黑名单控制表项。
对于聚合后的网段地址20.20.20.128/30,网络节点允许这一网段通过本网络节点发送数据,然而由于该网段包括4个IP地址,其中20.20.20.128,不是白名单中的IP地址,需要将其加入黑名单,并生成对应的黑名单控制表项,拒绝转发20.20.20.128的数据。
在另一个实施例中,业务管理服务器在获知业务终端退出时,例如20.20.20.129的业务终端退出,业务管理服务器在接收到退出消息后,就感知到业务终端退出,需要对下发的白名单进行调整,从白名单中删除退出的业务终端。网络节点在收到后,需要对聚合的网段地址重新进行分析。
即,本申请一种动态粒度自聚合的安全过滤方法,还包括:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果否,则删除聚合得到的网段地址对应的控制表项,生成每个IP地址的单独控制表项。
仍然以网络节点A为例,网络节点A下属网段为20.20.0.0/16,该网段下挂了摄像机IPC1:20.20.20.129/16,IPC2:20.20.20.130/16,IPC3:20.20.20.131/16。当IPC1退出后,M等于2,重新计算特征值:
特征值=M/(2(32-30))=2/4
可见此时,仍然等于阈值T(50%),可以继续采用聚合网段20.20.20.128/30来生成控制表项。而如果IPC2也退出,则M等于1,计算的解说是特征值等于1/4,小于阈值T,此时就需要删除聚合网段地址20.20.20.128/30对应的控制表项,仅生成IPC3的IP地址对应的控制表项,允许IPC3的数据通过。
容易理解的是,在业务终端退出后,如果网络节点在比较特征值后,仍然维持原来的网段地址对应的控制表项不变,则可以将退出的业务终端的IP地址放入黑名单,并生成对应的黑名单控制表项。
即,本申请动态粒度自聚合的安全过滤方法,还包括:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是,则将退出业务终端的IP地址放入黑名单,生成黑名单控制表项。
例如IPC1:20.20.20.129/16退出,特征值仍然等于阈值T(50%),可以继续采用聚合网段20.20.20.128/30来生成控制表项,此时将20.20.20.129放入黑名单,拒绝对其进行数据转发。
本申请技术方案由网络节点对白名单的IP地址进行自适应聚合,实现动态前缀长度自决策。也就是说IP地址的前N比特位相同是动态自决策的,通过比较IP地址的前面相同的比特位来决定N的值,从而聚合为对应的网段,聚合后的网段最符合实际控制表项允许的转发网段,精确实现控制转发,且大大减少了控制表项的数量。
在另一个实施例中,本申请还提供了一种动态粒度自聚合的安全过滤装置,应用于网络节点,包括:
通信模块,用于接收业务管理服务器下发的白名单,获取白名单中业务终端的IP地址;
动态起始前缀长度计算模块,用于根据网络节点本身控制表项的容量,获取动态起始前缀长度S;
聚合控制模块,用于对获取的IP地址进行统计分析,分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N位比特相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;生成聚合得到的网段地址对应的控制表项,控制数据的转发。
关于动态粒度自聚合的安全过滤装置的具体限定可以参见上文中对于动态粒度自聚合的安全过滤方法的限定,在此不再赘述。上述动态粒度自聚合的安全过滤装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
与上述方法对应的,本申请动态粒度自聚合的安全过滤装置的一个实施例,所述聚合控制模块,还用于:
在根据聚合得到的网段地址生成控制表项时,还将该网段地址中不在白名单中的IP地址放入黑名单,生成黑名单控制表项。
本申请动态粒度自聚合的安全过滤装置的一个实施例,所述聚合控制模块,还用于:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果否,则删除聚合得到的网段地址对应的控制表项,生成每个IP地址的单独控制表项。
本申请动态粒度自聚合的安全过滤装置的一个实施例,所述聚合控制模块,还用于:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于前N比特位相同的IP地址的条数M除以2的X次方,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是,则将退出业务终端的IP地址放入黑名单,生成黑名单控制表项。
本申请动态粒度自聚合的安全过滤装置的一个实施例,所述动态起始前缀长度S,通过如下公式计算:
S=IP地址的比特位总数-log2 C
其中,C为网络节点本身控制表项的容量。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种动态粒度自聚合的安全过滤方法,应用于网络节点,其特征在于,所述动态粒度自聚合的安全过滤方法,包括:
接收业务管理服务器下发的白名单,获取白名单中业务终端的IP地址;
根据网络节点本身控制表项的容量,获取动态起始前缀长度S;
对获取的IP地址进行统计分析,分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于M/(2X),M为前N比特位相同的IP地址的条数,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N比特位相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;
生成聚合得到的网段地址对应的控制表项,控制数据的转发;
所述动态起始前缀长度S,通过如下公式计算:
S=IP地址的比特位总数-log2C
其中,C为网络节点本身控制表项的容量。
2.根据权利要求1所述的动态粒度自聚合的安全过滤方法,其特征在于,所述动态粒度自聚合的安全过滤方法,还包括:
在根据聚合得到的网段地址生成控制表项时,还将该网段地址中不在白名单中的IP地址放入黑名单,生成黑名单控制表项。
3.根据权利要求1所述的动态粒度自聚合的安全过滤方法,其特征在于,所述动态粒度自聚合的安全过滤方法,还包括:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于M/(2X),M为前N比特位相同的IP地址的条数,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果否,则删除聚合得到的网段地址对应的控制表项,生成每个IP地址的单独控制表项。
4.根据权利要求3所述的动态粒度自聚合的安全过滤方法,其特征在于,所述动态粒度自聚合的安全过滤方法,还包括:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于M/(2X),M为前N比特位相同的IP地址的条数,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是,则将退出业务终端的IP地址放入黑名单,生成黑名单控制表项。
5.一种动态粒度自聚合的安全过滤装置,应用于网络节点,其特征在于,所述动态粒度自聚合的安全过滤装置,包括:
通信模块,用于接收业务管理服务器下发的白名单,获取白名单中业务终端的IP地址;
动态起始前缀长度计算模块,用于根据网络节点本身控制表项的容量,获取动态起始前缀长度S;
聚合控制模块,用于对获取的IP地址进行统计分析,分别计算前N比特位相同的IP地址对应的特征值,所述特征值等于M/(2X),M为前N比特位相同的IP地址的条数,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是则将所述前N比特位相同的IP地址聚合为对应的网段地址,其中N为首个比特位开始连续相同的比特位数,N大于等于S;生成聚合得到的网段地址对应的控制表项,控制数据的转发;
所述动态起始前缀长度S,通过如下公式计算:
S=IP地址的比特位总数-log2C
其中,C为网络节点本身控制表项的容量。
6.根据权利要求5所述的动态粒度自聚合的安全过滤装置,其特征在于,所述聚合控制模块,还用于:
在根据聚合得到的网段地址生成控制表项时,还将该网段地址中不在白名单中的IP地址放入黑名单,生成黑名单控制表项。
7.根据权利要求5所述的动态粒度自聚合的安全过滤装置,其特征在于,所述聚合控制模块,还用于:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于M/(2X),M为前N比特位相同的IP地址的条数,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果否,则删除聚合得到的网段地址对应的控制表项,生成每个IP地址的单独控制表项。
8.根据权利要求7所述的动态粒度自聚合的安全过滤装置,其特征在于,所述聚合控制模块,还用于:
接收业务管理服务器下发的业务终端退出信息,重新计算前N比特位相同的IP地址对应的特征值,所述特征值等于M/(2X),M为前N比特位相同的IP地址的条数,X等于IP地址的比特位总数减去N,判断计算得到的特征值是否大于等于预设阈值T,如果是,则将退出业务终端的IP地址放入黑名单,生成黑名单控制表项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010412203.7A CN111695150B (zh) | 2020-05-15 | 2020-05-15 | 一种动态粒度自聚合的安全过滤方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010412203.7A CN111695150B (zh) | 2020-05-15 | 2020-05-15 | 一种动态粒度自聚合的安全过滤方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111695150A CN111695150A (zh) | 2020-09-22 |
CN111695150B true CN111695150B (zh) | 2023-07-28 |
Family
ID=72477772
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010412203.7A Active CN111695150B (zh) | 2020-05-15 | 2020-05-15 | 一种动态粒度自聚合的安全过滤方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111695150B (zh) |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6377577B1 (en) * | 1998-06-30 | 2002-04-23 | Cisco Technology, Inc. | Access control list processing in hardware |
RU2233473C2 (ru) * | 2000-12-22 | 2004-07-27 | Самсунг Электроникс Ко., Лтд. | Устройство и способ выполнения высокоскоростного поиска маршрутов протокола интернет и управления таблицами маршрутизации/пересылки |
WO2009117920A1 (zh) * | 2008-03-28 | 2009-10-01 | 华为技术有限公司 | 网络流量采样方法和系统 |
CN102045379A (zh) * | 2009-10-15 | 2011-05-04 | 杭州华三通信技术有限公司 | 一种进行ip存储的方法、系统和存储设备 |
CN102158497A (zh) * | 2011-05-11 | 2011-08-17 | 中国人民解放军国防科学技术大学 | Ip地址过滤方法及装置 |
CN102546526A (zh) * | 2010-12-11 | 2012-07-04 | 上海博达数据通信有限公司 | 一种可同时对ip和mac进行访问控制的acl以及过滤方法 |
CN103051609A (zh) * | 2012-12-07 | 2013-04-17 | 东软集团股份有限公司 | 网关设备及由其执行的网络访问控制的可视化交互方法 |
CN103384223A (zh) * | 2013-07-23 | 2013-11-06 | 迈普通信技术股份有限公司 | 一种流表项更新方法及设备 |
CN103475746A (zh) * | 2013-08-09 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种终端服务方法及装置 |
CN104994158A (zh) * | 2015-06-30 | 2015-10-21 | 青岛海尔智能家电科技有限公司 | 一种通过集中式网关安全控制家电的方法 |
CN105553876A (zh) * | 2014-11-04 | 2016-05-04 | 华为技术有限公司 | 报文处理的方法及网络节点 |
CN107835188A (zh) * | 2017-11-27 | 2018-03-23 | 浙江宇视科技有限公司 | 一种基于sdn的设备安全接入方法及系统 |
CN107948273A (zh) * | 2017-11-21 | 2018-04-20 | 浙江宇视科技有限公司 | 一种基于sdn的负载分担和安全访问方法及系统 |
CN109561049A (zh) * | 2017-09-26 | 2019-04-02 | 浙江宇视科技有限公司 | 一种基于监控业务的动态准入方法及装置 |
CN110022281A (zh) * | 2018-01-08 | 2019-07-16 | 中国移动通信有限公司研究院 | 访问控制列表容量的测试方法、设备和计算机存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4550557B2 (ja) * | 2004-11-24 | 2010-09-22 | 株式会社日立製作所 | フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク |
-
2020
- 2020-05-15 CN CN202010412203.7A patent/CN111695150B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6377577B1 (en) * | 1998-06-30 | 2002-04-23 | Cisco Technology, Inc. | Access control list processing in hardware |
RU2233473C2 (ru) * | 2000-12-22 | 2004-07-27 | Самсунг Электроникс Ко., Лтд. | Устройство и способ выполнения высокоскоростного поиска маршрутов протокола интернет и управления таблицами маршрутизации/пересылки |
WO2009117920A1 (zh) * | 2008-03-28 | 2009-10-01 | 华为技术有限公司 | 网络流量采样方法和系统 |
CN102045379A (zh) * | 2009-10-15 | 2011-05-04 | 杭州华三通信技术有限公司 | 一种进行ip存储的方法、系统和存储设备 |
CN102546526A (zh) * | 2010-12-11 | 2012-07-04 | 上海博达数据通信有限公司 | 一种可同时对ip和mac进行访问控制的acl以及过滤方法 |
CN102158497A (zh) * | 2011-05-11 | 2011-08-17 | 中国人民解放军国防科学技术大学 | Ip地址过滤方法及装置 |
CN103051609A (zh) * | 2012-12-07 | 2013-04-17 | 东软集团股份有限公司 | 网关设备及由其执行的网络访问控制的可视化交互方法 |
CN103384223A (zh) * | 2013-07-23 | 2013-11-06 | 迈普通信技术股份有限公司 | 一种流表项更新方法及设备 |
CN103475746A (zh) * | 2013-08-09 | 2013-12-25 | 杭州华三通信技术有限公司 | 一种终端服务方法及装置 |
CN105553876A (zh) * | 2014-11-04 | 2016-05-04 | 华为技术有限公司 | 报文处理的方法及网络节点 |
CN104994158A (zh) * | 2015-06-30 | 2015-10-21 | 青岛海尔智能家电科技有限公司 | 一种通过集中式网关安全控制家电的方法 |
CN109561049A (zh) * | 2017-09-26 | 2019-04-02 | 浙江宇视科技有限公司 | 一种基于监控业务的动态准入方法及装置 |
CN107948273A (zh) * | 2017-11-21 | 2018-04-20 | 浙江宇视科技有限公司 | 一种基于sdn的负载分担和安全访问方法及系统 |
CN107835188A (zh) * | 2017-11-27 | 2018-03-23 | 浙江宇视科技有限公司 | 一种基于sdn的设备安全接入方法及系统 |
CN110022281A (zh) * | 2018-01-08 | 2019-07-16 | 中国移动通信有限公司研究院 | 访问控制列表容量的测试方法、设备和计算机存储介质 |
Non-Patent Citations (2)
Title |
---|
冯涛.软件定义网络(SDN)网络管理关键技术研究.《信息科技》.2017,全文. * |
李伟.基于状态检测的防火墙技术研究与实现.《信息科技》.2007,全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN111695150A (zh) | 2020-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Dao et al. | Securing heterogeneous IoT with intelligent DDoS attack behavior learning | |
WO2021207922A1 (zh) | 报文传输方法、装置及系统 | |
RU2583723C2 (ru) | Способ и устройство для управления передачей сервиса | |
US8437352B2 (en) | Method and system for power control based on application awareness in a packet network switch | |
US20210250771A1 (en) | Method For Determining Class Information And Apparatus | |
CN107592284B (zh) | 防DoS/DDoS攻击的装置和方法 | |
CN108712329A (zh) | 一种基于Elasticsearch的服务网关及日志记录检索装置 | |
CN106130962B (zh) | 一种报文处理方法和装置 | |
CN107493276B (zh) | 一种网络安全防护的方法及装置 | |
WO2020083272A1 (zh) | 处理策略的生成方法、系统及存储介质 | |
US10305879B2 (en) | Restricting fake multicast service announcements | |
WO2020253735A1 (zh) | 一种拥塞控制方法及装置 | |
CN108566344B (zh) | 一种报文处理方法和装置 | |
CN107682267B (zh) | Linux设备的网络数据转发方法及系统 | |
US20220286409A1 (en) | Method and apparatus for configuring quality of service policy for service, and computing device | |
JPWO2012124207A1 (ja) | 通信システム、基地局、サイバー攻撃対処方法 | |
Xuan et al. | A Gateway-based Defense System for Distributed Denial-of-Service Attacks in High-Speed Networks | |
CN105337970A (zh) | 路由器、服务器以及两者协同的网络访问控制方法 | |
KR20180046894A (ko) | Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 | |
CN115484047A (zh) | 云平台中的泛洪攻击的识别方法、装置、设备及存储介质 | |
CN111695150B (zh) | 一种动态粒度自聚合的安全过滤方法及装置 | |
WO2017000861A1 (zh) | 交换机虚拟局域网中mac地址的学习方法及装置 | |
CN111695149B (zh) | 一种基于云协同的安全过滤方法 | |
CN107948273B (zh) | 一种基于sdn的负载分担和安全访问方法及系统 | |
CN107835188B (zh) | 一种基于sdn的设备安全接入方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |