[发明专利]一种动态粒度自聚合的安全过滤方法及装置

权利要求书

1.一种动态粒度自聚合的安全过滤方法，应用于网络节点，其特征在于，所述动态粒度自聚合的安全过滤方法，包括：

接收业务管理服务器下发的白名单，获取白名单中业务终端的IP地址；

根据网络节点本身控制表项的容量，获取动态起始前缀长度S；

对获取的IP地址进行统计分析，分别计算前N比特位相同的IP地址对应的特征值，所述特征值等于M/(2^X)，M为前N比特位相同的IP地址的条数，X等于IP地址的比特位总数减去N，判断计算得到的特征值是否大于等于预设阈值T，如果是则将所述前N比特位相同的IP地址聚合为对应的网段地址，其中N为首个比特位开始连续相同的比特位数，N大于等于S；

生成聚合得到的网段地址对应的控制表项，控制数据的转发；

所述动态起始前缀长度S，通过如下公式计算：

S＝IP地址的比特位总数-log₂C

其中，C为网络节点本身控制表项的容量。

2.根据权利要求1所述的动态粒度自聚合的安全过滤方法，其特征在于，所述动态粒度自聚合的安全过滤方法，还包括：

在根据聚合得到的网段地址生成控制表项时，还将该网段地址中不在白名单中的IP地址放入黑名单，生成黑名单控制表项。

3.根据权利要求1所述的动态粒度自聚合的安全过滤方法，其特征在于，所述动态粒度自聚合的安全过滤方法，还包括：

接收业务管理服务器下发的业务终端退出信息，重新计算前N比特位相同的IP地址对应的特征值，所述特征值等于M/(2^X)，M为前N比特位相同的IP地址的条数，X等于IP地址的比特位总数减去N，判断计算得到的特征值是否大于等于预设阈值T，如果否，则删除聚合得到的网段地址对应的控制表项，生成每个IP地址的单独控制表项。

4.根据权利要求3所述的动态粒度自聚合的安全过滤方法，其特征在于，所述动态粒度自聚合的安全过滤方法，还包括：

接收业务管理服务器下发的业务终端退出信息，重新计算前N比特位相同的IP地址对应的特征值，所述特征值等于M/(2^X)，M为前N比特位相同的IP地址的条数，X等于IP地址的比特位总数减去N，判断计算得到的特征值是否大于等于预设阈值T，如果是，则将退出业务终端的IP地址放入黑名单，生成黑名单控制表项。

5.一种动态粒度自聚合的安全过滤装置，应用于网络节点，其特征在于，所述动态粒度自聚合的安全过滤装置，包括：

通信模块，用于接收业务管理服务器下发的白名单，获取白名单中业务终端的IP地址；

动态起始前缀长度计算模块，用于根据网络节点本身控制表项的容量，获取动态起始前缀长度S；

聚合控制模块，用于对获取的IP地址进行统计分析，分别计算前N比特位相同的IP地址对应的特征值，所述特征值等于M/(2^X)，M为前N比特位相同的IP地址的条数，X等于IP地址的比特位总数减去N，判断计算得到的特征值是否大于等于预设阈值T，如果是则将所述前N比特位相同的IP地址聚合为对应的网段地址，其中N为首个比特位开始连续相同的比特位数，N大于等于S；生成聚合得到的网段地址对应的控制表项，控制数据的转发；

所述动态起始前缀长度S，通过如下公式计算：

S＝IP地址的比特位总数-log₂C

其中，C为网络节点本身控制表项的容量。

6.根据权利要求5所述的动态粒度自聚合的安全过滤装置，其特征在于，所述聚合控制模块，还用于：

在根据聚合得到的网段地址生成控制表项时，还将该网段地址中不在白名单中的IP地址放入黑名单，生成黑名单控制表项。