技術(shù)領(lǐng)域

本發(fā)明屬于防火墻技術(shù)領(lǐng)域，尤其涉及一種基于優(yōu)先級Trie樹的動態(tài)IP匹配模型。

背景技術(shù)

Web防火墻可以很好的解決互聯(lián)網(wǎng)平臺監(jiān)管問題。在Web防火墻工作過程中，需要根據(jù)數(shù)據(jù)流的IP地址進(jìn)行篩選，并對相應(yīng)的數(shù)據(jù)流進(jìn)行安全控制。由于Internet規(guī)模的不斷擴大，Web防火墻中IP安全規(guī)則的更新愈加頻繁的發(fā)生。這就在Web防火墻對IP地址進(jìn)行篩選過程中，引入了一個問題：如何處理Web 防火墻中IP安全規(guī)則的大量事實更新。

最常用的IP匹配算法就是基于二進(jìn)制Trie樹的算法。在IP最長前綴匹配算法中最基本的Trie樹為二進(jìn)制Trie。前綴匹配算法是對比特串進(jìn)行逐位比較，而比特串的每一位只包含兩種情況，那就是0和1，對應(yīng)二進(jìn)制Trie樹中的左結(jié)點和右結(jié)點。在二進(jìn)制Trie樹中，將一次Trie樹的操作分為多個步驟。在Trie 樹的構(gòu)建或更新過程中，需要根據(jù)前綴各比特的值決定分支的走向。在IP最長前綴匹配過程中，需要根據(jù)地址各比特的值決定分支的走向。

綜上所述，當(dāng)前IP匹配算法的缺點是查找效率低下，開銷大。

發(fā)明內(nèi)容

為解決上述問題，本發(fā)明提供一種基于優(yōu)先級Trie樹的動態(tài)IP匹配模型，克服了當(dāng)前Web防火墻中IP匹配模塊的以下缺點，即查找效率低下，開銷比較大。

本發(fā)明的基于優(yōu)先級Trie樹的動態(tài)IP匹配模型，其包括以下步驟：

步驟1：BIPT匹配模型的構(gòu)建過程，具體包括：

步驟11，劃分前綴；

設(shè)前綴P的長度為l，則該前綴P表示為P＝P₀P₁...P_l-1*；以長度k(k＜l)對前綴 P進(jìn)行劃分，分為長度大于劃分點k的第一前綴集合和長度小于劃分點k的第二前綴集合，賦予第一前綴集合內(nèi)每個前綴一個索引值，賦予第二前綴集合內(nèi)每個前綴一個索引后綴，且所有的索引后綴相同；

以Pre_k(P)來表示有索引值的前綴，則Pre_k(P)＝(P₀P₁...P_k-1)₂；以Par_k(P)表示有索引后綴的前綴，則Par_k(P)＝P_kP_k+1...P_l-1*；

步驟12，構(gòu)建B*索引樹；

將第一前綴集合內(nèi)的前綴P根據(jù)索引值掛載到B*索引樹上相應(yīng)的B*結(jié)點中，并用BIPT[i]表示，且0≤i≤2^k-1；將第二前綴集合內(nèi)的所有前綴掛載到B*索引樹上的一個共同的B*結(jié)點中，并用BIPT[-1]表示；

步驟2：BIPT樹的前綴插入操作；

步驟21：對每一個前綴P，先求前綴P的長度，如果其長度大于劃分點k，則設(shè)置起始查找結(jié)點為根結(jié)點并進(jìn)行步驟22；否則將前綴插入BIPT[-1]對應(yīng)的優(yōu)先級Trie樹中并終止前綴插入操作；

步驟22：在B*索引樹的給定結(jié)點中進(jìn)行查找，直到葉子結(jié)點；在索引結(jié)點中若Pre(p)＜k₁，則選擇索引結(jié)點的第1個分支進(jìn)行查找，并執(zhí)行步驟23；若 k_i≤Pre(p)≤k_i+1，則選擇索引結(jié)點的第i個分支進(jìn)行查找，并執(zhí)行步驟23；若 k_n(x)＜Pre(p)，則選擇索引結(jié)點的第n(x)個分支進(jìn)行查找，并執(zhí)行步驟23；并記錄查找路徑中所搜索的給定結(jié)點以及給定結(jié)點中分支的選擇；

其中規(guī)定k_i(x)是結(jié)點x的第i個索引值，c_j(x)是結(jié)點x的第j個孩子指針，其中i和j滿足1≤i≤n(x)并且1≤j≤n(x)。在結(jié)點中的索引值存在如下關(guān)系：

k₁(x)＜k₂(x)＜...＜k_n(x)(x)

步驟23：查找索引結(jié)點中是否有與B*索引樹的給定結(jié)點的索引值相同的關(guān)鍵字，如果有，則直接在該B*索引樹的給定結(jié)點優(yōu)先級Trie樹中插入索引后綴，并結(jié)束插入操作；否則執(zhí)行步驟24；