一种大容量IP地址拦截方法和设备技术

本申请公开了一种大容量IP地址拦截方法和设备，其中，该方法包括：步骤1，提取IP数据包中的待检测IP地址，其中，任一个待检测IP地址包括源IP地址和目的IP地址；步骤2，根据待检测IP地址和预设内存地址位数，计算整数寻址地址；步骤3，采用寻址方式，生成动作向量地址空间，查询整数寻址地址对应的操作位信息；步骤4，根据操作位信息，处理IP数据包，其中，操作位信息包括放行和丢包。通过本申请中的技术方案，可以将IP动作匹配的时间复杂度降低到Θ(1)，即随着恶意IP拦截策略数量的增多，IP动作策略匹配时间不会增长，提高了恶意IP地址拦截的准确性，解决了为保障网络安全导致访问延迟上升，破坏用户体验的问题。

A Large Capacity IP Address Interception Method and Device

This application discloses a high-capacity IP address interception method and device, which includes: step 1, extracting IP addresses to be detected in IP data packets, in which any IP address to be detected includes source IP address and destination IP address; step 2, calculating integer address according to the IP address to be detected and the preset memory address number; step 3, using addressing method, generating dynamic address Make the vector address space, query the operation bit information corresponding to the integer address; Step 4, according to the operation bit information, process IP data packets, where the operation bit information includes release and packet loss. Through the technical scheme in this application, the time complexity of IP action matching can be reduced to(1). That is, with the increase of the number of malicious IP interception strategies, the time of IP action strategy matching will not increase, which improves the accuracy of malicious IP address interception, and solves the problem of increasing access delay and destroying user experience in order to ensure network security.

【技术实现步骤摘要】
一种大容量IP地址拦截方法和设备
本申请涉及网络安全的
，具体而言，涉及一种大容量IP地址拦截方法以及一种大容量IP地址拦截设备。
技术介绍
防火墙内部存在一个策略清单，每个策略清单包括一项由协议、源IP、源端口、目的IP以及目的端口构成的五元组以及对应动作，如：放行、丢包。运行中的防火墙，需要对每一项五元组都消耗定量的内存资源用以建立“策略匹配数据结构”，并且对每一个数据包，均需按顺序对五元组进行逐一匹配。随着被拦截恶意IP地址增多，防火墙将消耗更多的内存资源，建立恶意IP对应的五元组，且策略匹配消耗的时间将随拦截规模线性增长，即网络延迟将随着拦截规模线性增长，导致用户等待时长将线性增长，造成用户体验变差。而现有技术中，防火墙没有存储大容量的恶意IP地址的能力，同时，也存在着软件瓶颈，造成被迫牺牲网络安全，以满足用户体验，降低网络延迟。
技术实现思路
本申请的目的在于：将IP动作匹配的时间复杂度降低到Θ(1)，提高了恶意IP地址拦截的准确性，解决了为保障网络安全导致访问延迟上升，破坏用户体验的问题。本申请第一方面的技术方案是：提供了一种大容量IP地址拦截方法，该方法包括：步骤1，本文档来自技高网...

【技术保护点】
1.一种大容量IP地址拦截方法，其特征在于，该方法包括：步骤1，提取IP数据包中的待检测IP地址，其中，任一个所述待检测IP地址包括源IP地址和目的IP地址；步骤2，根据所述待检测IP地址和预设内存地址位数，计算整数寻址地址；步骤3，采用寻址方式，生成动作向量地址空间，查询所述整数寻址地址对应的操作位信息；步骤4，根据所述操作位信息，处理所述IP数据包，其中，所述操作位信息包括放行和丢包。

【技术特征摘要】
1.一种大容量IP地址拦截方法，其特征在于，该方法包括：步骤1，提取IP数据包中的待检测IP地址，其中，任一个所述待检测IP地址包括源IP地址和目的IP地址；步骤2，根据所述待检测IP地址和预设内存地址位数，计算整数寻址地址；步骤3，采用寻址方式，生成动作向量地址空间，查询所述整数寻址地址对应的操作位信息；步骤4，根据所述操作位信息，处理所述IP数据包，其中，所述操作位信息包括放行和丢包。2.如权利要求1所述的大容量IP地址拦截方法，其特征在于，所述步骤3中，具体包括：步骤31，当判定所述寻址方式为按位寻址时，根据所述动作向量地址空间的预设起始地址，计算所述整数寻址地址对应的位状态地址；步骤32，根据所述位状态地址，查询所述操作位信息。3.如权利要求2所述的大容量IP地址拦截方法，其特征在于，所述步骤3中，具体还包括：步骤33，当判定所述寻址方式为按块寻址时，计算所述整数寻址地址在所述动作向量地址空间中、对应的块索引编号和块内偏移量；步骤34，根据所述块索引编号和所述块内偏移量，查询所述操作位信息。4.如权利要求1所述的大容量IP地址拦截方法，其特征在于，还包括：更新所述动作向量地址空间中的地址信息和所述操作位信息。5.一种大容量IP地址拦截设备，其特征在于，该设备...

【专利技术属性】
技术研发人员：张亚昊，刘安，胡威，李静，程杰，郭永和，王婵，卢晓梅，庞进，
申请(专利权)人：国家电网公司信息通信分公司，
类型：发明
国别省市：北京,11