本申請公開了一種大容量IP地址攔截方法和設備，其中，該方法包括：步驟1，提取IP數據包中的待檢測IP地址，其中，任一個待檢測IP地址包括源IP地址和目的IP地址；步驟2，根據待檢測IP地址和預設內存地址位數，計算整數尋址地址；步驟3，采用尋址方式，生成動作向量地址空間，查詢整數尋址地址對應的操作位信息；步驟4，根據操作位信息，處理IP數據包，其中，操作位信息包括放行和丟包。通過本申請中的技術方案，可以將IP動作匹配的時間復雜度降低到Θ(1)，即隨著惡意IP攔截策略數量的增多，IP動作策略匹配時間不會增長，提高了惡意IP地址攔截的準確性，解決了為保障網絡安全導致訪問延遲上升，破壞用戶體驗的問題。

技術領域

本申請涉及網絡安全的技術領域，具體而言，涉及一種大容量IP地址攔截方法以及一種大容量IP地址攔截設備。

背景技術

防火墻內部存在一個策略清單，每個策略清單包括一項由協議、源IP、源端口、目的IP以及目的端口構成的五元組以及對應動作，如：放行、丟包。運行中的防火墻，需要對每一項五元組都消耗定量的內存資源用以建立“策略匹配數據結構”，并且對每一個數據包，均需按順序對五元組進行逐一匹配。隨著被攔截惡意IP地址增多，防火墻將消耗更多的內存資源，建立惡意IP對應的五元組，且策略匹配消耗的時間將隨攔截規模線性增長，即網絡延遲將隨著攔截規模線性增長，導致用戶等待時長將線性增長，造成用戶體驗變差。

而現有技術中，防火墻沒有存儲大容量的惡意IP地址的能力，同時，也存在著軟件瓶頸，造成被迫犧牲網絡安全，以滿足用戶體驗，降低網絡延遲。

發明內容

本申請的目的在于：將IP動作匹配的時間復雜度降低到Θ(1)，提高了惡意IP地址攔截的準確性，解決了為保障網絡安全導致訪問延遲上升，破壞用戶體驗的問題。

本申請第一方面的技術方案是：提供了一種大容量IP地址攔截方法，該方法包括：步驟1，提取IP數據包中的待檢測IP地址，其中，任一個待檢測IP地址包括源IP地址和目的IP地址；步驟2，根據待檢測IP地址和IP地址段內存位數，計算整數尋址地址；步驟3，采用尋址方式，生成動作向量地址空間，查詢整數尋址地址對應的操作位信息；步驟4，根據操作位信息，處理IP數據包，其中，操作位信息包括放行和丟包。

上述任一項技術方案中，進一步地，步驟3中，具體包括：步驟31，當判定尋址方式為按位尋址時，根據動作向量地址空間的預設起始地址，計算整數尋址地址對應的位狀態地址；步驟32，根據位狀態地址，查詢操作位信息。

上述任一項技術方案中，進一步地，步驟3中，具體還包括：步驟33，當判定尋址方式為按塊尋址時，計算整數尋址地址在動作向量地址空間中、對應的塊索引編號和塊內偏移量；步驟34，根據塊索引編號和塊內偏移量，查詢操作位信息。

上述任一項技術方案中，進一步地，還包括：更新動作向量地址空間中的地址信息和操作位信息。

本申請第二方面的技術方案是：提供了一種大容量IP地址攔截設備，該設備包括：地址抽取模塊，計算模塊，動作決斷模塊和動作執行模塊；地址抽取模塊用于提取IP數據包中的待檢測IP地址，其中，任一個待檢測IP地址包括源IP地址和目的IP地址；計算模塊用于根據待檢測IP地址和IP地址段內存位數，計算整數尋址地址；動作決斷模塊用于采用尋址方式，生成動作向量地址空間，查詢整數尋址地址對應的操作位信息；動作執行模塊用于根據操作位信息，處理IP數據包，其中，操作位信息包括放行和丟包。

上述任一項技術方案中，進一步地，動作決斷模塊被配置為：當判定尋址方式為按位尋址時，根據動作向量地址空間的預設起始地址，計算整數尋址地址對應的位狀態地址；根據位狀態地址，查詢操作位信息。

上述任一項技術方案中，進一步地，動作決斷模塊還被配置為：當判定尋址方式為按塊尋址時，計算整數尋址地址在動作向量地址空間中、對應的塊索引編號和塊內偏移量；根據塊索引編號和塊內偏移量，查詢操作位信息。