针对网络攻击的ACL过滤表项建立方法及装置与流程

文档序号：26357208发布日期：2021-08-20 20:32阅读：167来源：国知局

本发明涉及通信技术领域，尤指一种针对网络攻击的acl过滤表项建立方法及装置。

背景技术：

目前，在网络中经常会出现一些恶意的网络攻击，如地址解析协议(addressresolutionprotocol，arp)攻击、互联网协议(internetprotocol，ip)攻击等，网络攻击会利用大量的报文砸向网络设备的中央处理器(centralprocessingunit，cpu)，大量消耗cpu的资源，使cpu一直处于高负载状态，导致正常的协议流和管理流无法被cpu处理，带来协议震荡或者无法管理。

为了防止网络攻击对cpu的不良影响，通常会在访问控制列表(accesscontrollist，acl)表中建立acl过滤表项来过滤网络攻击对应的攻击报文。在针对网络攻击的acl过滤表项建立过程中，会基于网络攻击对应的攻击报文类型建立acl过滤表项，从而过滤掉该攻击报文类型的所有报文。

由上可见，上述针对网络攻击的acl过滤表项建立方式会过滤掉攻击报文，同时也会过滤掉正常报文，从而影响正常报文的转发。

技术实现要素：

本发明实施例提供一种针对网络攻击的acl过滤表项建立方法及装置，用以解决现有技术中存在的过滤掉攻击报文同时也会过滤掉正常报文，从而影响正常报文的转发的问题。

根据本发明实施例，提供一种针对网络攻击的acl过滤表项建立方法，应用于目标网络包括的核心网络设备中，所述目标网络还包括至少一个其他网络设备，包括：

检测到网络攻击后，确定网络攻击的攻击报文类型；

若接收到所述攻击报文类型的待处理报文，则获取所述待处理报文的五元组信息和虚拟局域网vlan标识，在第一访问控制列表acl表中添加包括所述vlan标识对应的各个端口、所述五元组信息中除源互联网协议ip地址之外的四元组信息和所述源ip地址的子网掩码的acl统计表项，各个acl统计表项包括的端口不同；

基于添加的各个acl统计表项从所述vlan标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口；

通过所述第一攻击源端口发送携带所述五元组信息、设定媒体访问控制mac地址和所述vlan标识的ip请求报文；

若在设定时长内接收到与所述ip请求报文对应的ip响应报文，则在所述第一acl表中删除添加的各个acl统计表项；若在所述设定时长内未接收到所述ip响应报文，则在所述第一acl表中删除添加的各个acl统计表项，并在所述第一acl表中添加包括所述第一攻击源端口和所述五元组信息的acl过滤表项，所述ip响应报文是所述至少一个其他网络设备中接收到所述ip请求报文的第一选定网络设备确定所述ip请求报文携带所述设定mac地址后返回的。

具体的，基于添加的各个acl统计表项从所述vlan标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口，具体包括：

在设定时长内基于各个acl统计表项分别统计对应的端口接收到的携带所述五元组信息的报文的数量；

获取统计的各个数量中的最大数量对应的端口，得到所述五元组信息对应的第一攻击源端口。

根据本发明实施例，还提供一种针对网络攻击的acl过滤表项建立方法，应用于目标网络包括的至少一个其他网络设备中，所述目标网络还包括核心网络设备，包括：

接收携带五元组信息、设定媒体访问控制mac地址和虚拟局域网vlan标识的互联网协议ip请求报文后，在第二访问控制列表acl表中添加包括所述vlan标识对应的各个端口、所述五元组信息中除源ip地址之外的四元组信息和所述源ip地址的子网掩码的acl统计表项，各个acl统计表项对应的端口不同；

基于添加的各个acl统计表项从所述vlan标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口；

通过所述第二攻击源端口转发所述ip请求报文；

若在设定时长内接收到与所述ip请求报文对应的ip响应报文，则在所述第二acl表中删除添加的各个acl统计表项；若在所述设定时长内未接收到所述ip响应报文，则在所述第二acl表中删除添加的各个acl统计表项，并在所述第二acl表中添加包括所述第二攻击源端口和所述五元组信息的acl过滤表项，所述ip响应报文是所述至少一个其他网络设备中接收到所述ip请求报文的第二选定网络设备确定所述ip请求报文携带所述设定mac地址后返回的。

具体的，基于添加的各个acl统计表项从所述vlan标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口，具体包括：

在设定时长内基于各个acl统计表项分别统计对应的各个端口接收到的携带所述五元组信息的报文的数量；

获取统计的各个数量中的最大数量对应的端口，得到所述五元组信息对应的第二攻击源端口。

根据本发明实施例，还提供一种针对网络攻击的acl过滤表项建立装置，应用于目标网络包括的核心网络设备中，所述目标网络还包括至少一个其他网络设备，包括：

第一确定模块，用于检测到网络攻击后，确定网络攻击的攻击报文类型；

添加模块，用于若接收到所述攻击报文类型的待处理报文，则获取所述待处理报文的五元组信息和虚拟局域网vlan标识，在第一访问控制列表acl表中添加包括所述vlan标识对应的各个端口、所述五元组信息中除源互联网协议ip地址之外的四元组信息和所述源ip地址的子网掩码的acl统计表项，各个acl统计表项包括的端口不同；

第二确定模块，用于基于添加的各个acl统计表项从所述vlan标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口；

发送模块，用于通过所述第一攻击源端口发送携带所述五元组信息、设定媒体访问控制mac地址和所述vlan标识的ip请求报文；

处理模块，用于若在设定时长内接收到与所述ip请求报文对应的ip响应报文，则在所述第一acl表中删除添加的各个acl统计表项；若在所述设定时长内未接收到所述ip响应报文，则在所述第一acl表中删除添加的各个acl统计表项，并在所述第一acl表中添加包括所述第一攻击源端口和所述五元组信息的acl过滤表项，所述ip响应报文是所述至少一个其他网络设备中接收到所述ip请求报文的第一选定网络设备确定所述ip请求报文携带所述设定mac地址后返回的。

具体的，第二确定模块，用于基于添加的各个acl统计表项从所述vlan标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口，具体用于：

在设定时长内基于各个acl统计表项分别统计对应的端口接收到的携带所述五元组信息的报文的数量；

获取统计的各个数量中的最大数量对应的端口，得到所述五元组信息对应的第一攻击源端口。

根据本发明实施例，还提供一种针对网络攻击的acl过滤表项建立装置，应用于目标网络包括的至少一个其他网络设备中，所述目标网络还包括核心网络设备，包括：

添加模块，用于接收携带五元组信息、设定媒体访问控制mac地址和虚拟局域网vlan标识的互联网协议ip请求报文后，在第二访问控制列表acl表中添加包括所述vlan标识对应的各个端口、所述五元组信息中除源ip地址之外的四元组信息和所述源ip地址的子网掩码的acl统计表项，各个acl统计表项对应的端口不同；

确定模块，用于基于添加的各个acl统计表项从所述vlan标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口；

转发模块，用于通过所述第二攻击源端口转发所述ip请求报文；

处理模块，用于若在设定时长内接收到与所述ip请求报文对应的ip响应报文，则在所述第二acl表中删除添加的各个acl统计表项；若在所述设定时长内未接收到所述ip响应报文，则在所述第二acl表中删除添加的各个acl统计表项，并在所述第二acl表中添加包括所述第二攻击源端口和所述五元组信息的acl过滤表项，所述ip响应报文是所述至少一个其他网络设备中接收到所述ip请求报文的第二选定网络设备确定所述ip请求报文携带所述设定mac地址后返回的。

具体的，所述确定模块，用于基于添加的各个acl统计表项从所述vlan标识对应的各个端口中确定所述五元组信息对应的第二攻击源端口，具体用于：

在设定时长内基于各个acl统计表项分别统计对应的各个端口接收到的携带所述五元组信息的报文的数量；

获取统计的各个数量中的最大数量对应的端口，得到所述五元组信息对应的第二攻击源端口。

根据本发明实施例，还提供一种电子设备，所述电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存储的程序时，实现上述的方法步骤。

根据本发明实施例，还提供一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法步骤。

本发明有益效果如下：

本发明实施例提供一种针对网络攻击的acl过滤表项建立方法及装置，通过检测到网络攻击后，确定网络攻击的攻击报文类型；若接收到所述攻击报文类型的待处理报文，则获取所述待处理报文的五元组信息和vlan标识，在第一acl表中添加包括所述vlan标识对应的各个端口、所述五元组信息中除源ip地址之外的四元组信息和所述源ip地址的子网掩码的acl统计表项，各个acl统计表项包括的端口不同；基于添加的各个acl统计表项从所述vlan标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口；通过所述第一攻击源端口发送携带所述五元组信息、设定mac地址和所述vlan标识的ip请求报文；若在设定时长内接收到与所述ip请求报文对应的ip响应报文，则在所述第一acl表中删除添加的各个acl统计表项；若在所述设定时长内未接收到所述ip响应报文，则在所述第一acl表中删除添加的各个acl统计表项，并在所述第一acl表中添加包括所述第一攻击源端口和所述五元组信息的acl过滤表项，所述ip响应报文是所述至少一个其他网络设备中接收到所述ip请求报文的第一选定网络设备确定所述ip请求报文携带所述设定mac地址后返回的。该方案中，核心网络设备检测到网络攻击后，对于接收到的网络攻击的攻击报文类型的待处理报文后，会在待处理报文携带的vlan对应的每个端口统计接收到的携带待处理报文的五元组信息的报文的数量，基于统计的数量确定出该五元组信息对应的攻击源端口，然后通过该攻击源端口发送ip请求报文，至少一个其他网络设备中接收到ip请求报文的第一选定网络设备会返回ip响应报文，核心网络若接收到ip响应报文，则无需过滤该五元组信息的报文，进一步由第一选定设备过滤即可，若未接收到ip响应报文，则建立acl过滤表项来过滤该五元组信息的报文，由于基于五元组信息进行报文过滤，而不是基于报文类型进行报文过滤，从而实现仅过滤攻击报文，转发正常报文。

附图说明

图1为本发明实施例中一种以核心网络设备为执行主体的针对网络攻击的acl过滤表项建立方法的流程图；

图2为本发明实施例中一种以至少一个其他网络设备为执行主体的针对网络攻击的acl过滤表项建立方法的流程图；

图3为本发明实施例中与图1对应的针对网络攻击的acl过滤表项建立装置的结构示意图；

图4为本发明实施例中与图2对应的针对网络攻击的acl过滤表项建立装置的结构示意图；

图5为本申请示出的一种电子设备的结构示意图。

具体实施方式

针对现有技术中存在的过滤掉攻击报文同时也会过滤掉正常报文，从而影响正常报文的转发的问题，本发明实施例提供一种针对网络攻击的acl过滤表项建立方法，应用于目标网络包括的核心网络设备和至少一个其他网络设备中，下面分别介绍以核心网络设备和至少一个其他网络设备为执行主体的针对网络攻击的acl过滤表项建立方法。

首先介绍以核心网络设备为执行主体的针对网络攻击的acl过滤表项建立方法，该方法的流程如图1所示，执行步骤如下：

s11：检测到网络攻击后，确定网络攻击的攻击报文类型。

常见的网络攻击包括arp攻击、ip攻击等等，不同的网络攻击，对应不同的攻击报文类型，例如，arp攻击的攻击报文类型为arp报文，ip攻击的攻击报文类型为ip报文。基于此，在检测到网络攻击后，首先需要确定网络攻击的攻击报文类型。

s12：若接收到攻击报文类型的待处理报文，则获取待处理报文的五元组信息和虚拟局域网(virtuallocalareanetwork，vlan)标识，在第一acl表中添加包括vlan标识对应的各个端口、五元组信息中除源ip地址之外的四元组信息和源ip地址的子网掩码的acl统计表项。

为了避免创建过多的acl统计表项，造成资源浪费，可以在核心网络设备的acl表(可以定义为第一acl表)中添加包括vlan标识对应的各个端口、五元组信息中除源ip地址之外的四元组信息和源ip地址的子网掩码的acl统计表项，其中，各个acl统计表项包括的端口不同；源ip地址的子网掩码用于匹配该段网络地址内的攻击报文，这样一段网络地址就可以对应一个acl统计表项，由于ip地址可以是网际协议版本4(internetprotocolversion4，ipv4)地址和ipv6地址，子网掩码也可以是不同的，例如，若是ipv4地址，子网掩码可设置为24，若是ipv6地址，子网掩码可设置为64。

s13：基于添加的各个acl统计表项从vlan标识对应的各个端口中确定五元组信息对应的第一攻击源端口。

可以基于各个acl统计表项从各个端口中确定出五元组信息对应的攻击源端口，该攻击源端口可以定义为第一攻击源端口。

s14：通过第一攻击源端口发送携带五元组信息、设定媒体访问控制(mediaaccesscontroladdress，mac地址)和vlan标识的ip请求报文，确定在设定时长内是否接收到与ip请求报文对于的ip响应报文，若是，则执行s15；若否，则执行s16。

其中，ip响应报文是至少一个其他网络设备中接收到ip请求报文的第一选定网络设备确定ip请求报文携带设定mac地址后返回的；设定时长可以根据实际需要进行设定，可以但不限于设定为0.5秒、1秒等等；设定mac地址可以根据实际需要进行设定，可以但不限于设定为固定值xxxx.xxxx.xxxx。

s15：在第一acl表中删除添加的各个acl统计表项。

若在设定时长内接收到与ip请求报文对应的ip响应报文，说明核心网络设备还连接其他网络设备，可以由其他网络设备进行该五元组信息的报文的过滤，直接在第一acl表中删除添加的各个acl统计表项即可。

s16：在第一acl表中删除添加的各个acl统计表项，并在第一acl表中添加包括第一攻击源端口和五元组信息的acl过滤表项。

若在设定时长内未接收到与ip请求报文对应的ip响应报文，说明核心网络设备未连接其他网络设备，需要进一步过滤该五元组信息的报文，首先在第一acl表中删除添加的各个acl统计表项，然后在第一acl表中添加包括第一攻击源端口和五元组信息的acl过滤表项，然后通过acl过滤表项过滤携带该五元组信息的攻击报文。

该方案中，核心网络设备检测到网络攻击后，对于接收到的网络攻击的攻击报文类型的待处理报文后，会在待处理报文携带的vlan对应的每个端口统计接收到的携带待处理报文的五元组信息的报文的数量，基于统计的数量确定出该五元组信息对应的攻击源端口，然后通过该攻击源端口发送ip请求报文，至少一个其他网络设备中接收到ip请求报文的第一选定网络设备会返回ip响应报文，若接收到ip响应报文，则无需过滤该五元组信息的报文，进一步由第一选定设备过滤即可，若未接收到ip响应报文，则建立acl过滤表项来过滤该五元组信息的报文，由于基于五元组信息进行报文过滤，而不是基于报文类型进行报文过滤，从而实现仅过滤攻击报文，转发正常报文。

具体的，上述s13中的基于添加的各个acl统计表项从vlan标识对应的各个端口中确定五元组信息对应的第一攻击源端口，实现过程具体包括：

在设定时长内基于各个acl统计表项分别统计对应的端口接收到的携带五元组信息的报文的数量；

获取统计的各个数量中的最大数量对应的端口，得到五元组信息对应的第一攻击源端口。

可以将设定时长内接收到的携带五元组信息的报文的各个数量中的最大数量对应的端口，作为五元组信息对应的第一攻击源端口。确定第一攻击源端口的方式有很多种，除了上述方式之外还可以通过其他方式确定第一攻击源端口，例如将第二大数量对应的端口作为第一攻击源端口，其他方式不再一一赘述。

以上介绍了以核心网络设备为执行主体的针对网络攻击的acl过滤表项建立方法，下面介绍以至少一个其他网络设备为执行主体的针对网络攻击的acl过滤表项建立方法，该方法的流程如图2所示，执行步骤如下：

s21：接收携带五元组信息、设定mac地址和vlan标识的ip请求报文后，在第二acl表中添加包括vlan标识对应的各个端口、五元组信息中除源ip地址之外的四元组信息和源ip地址的子网掩码的acl统计表项。

其他网络设备接收到ip请求报文后，由于ip请求报文中携带设定mac地址，因此可以确定该ip请求报文是针对网络攻击发送的，因此，首先在acl表(可以定义为第二acl表)中添加包括vlan标识对应的各个端口、五元组信息中除源ip地址之外的四元组信息和源ip地址的子网掩码的acl统计表项。

其中，源ip地址的子网掩码用于匹配该段网络地址内的攻击报文，这样一段网络地址就可以对应一个acl统计表项，由于ip地址可以是网际协议版本4(internetprotocolversion4，ipv4)地址和ipv6地址，子网掩码也可以是不同的，例如，若是ipv4地址，子网掩码可设置为24，若是ipv6地址，子网掩码可设置为64；各个acl统计表项对应的端口不同；设定mac地址可以根据实际需要进行设定，可以但不限于设定为固定值xxxx.xxxx.xxxx。

s22：基于添加的各个acl统计表项从vlan标识对应的各个端口中确定五元组信息对应的第二攻击源端口。

可以基于各个acl统计表项从各个端口中确定出五元组信息对应的攻击源端口，该攻击源端口可以定义为第二攻击源端口。

s23：通过第二攻击源端口转发ip请求报文，确定在设定时长内是否接收到与ip请求报文对于的ip响应报文，若是，则执行s24；若否，则执行s25。

其中，ip响应报文是至少一个其他网络设备中接收到ip请求报文的选定网络设备(可以定义为第二选定网络设备)确定ip请求报文携带设定mac地址后返回的。

s24：在第二acl表中删除添加的各个acl统计表项。

若在设定时长内接收到与ip请求报文对应的ip响应报文，说明其他网络设备还连接其他网络设备，可以由连接的其他网络设备进行该五元组信息的报文的过滤，直接在第二acl表中删除添加的各个acl统计表项即可。

s25：在第二acl表中删除添加的各个acl统计表项，并在第二acl表中添加包括第二攻击源端口和五元组信息的acl过滤表项。

若在设定时长内未接收到与ip请求报文对应的ip响应报文，说明其他网络设备未连接其他网络设备，需要进一步过滤该五元组信息的报文，首先在第二acl表中删除添加的各个acl统计表项，然后在第二acl表中添加包括第二攻击源端口和五元组信息的acl过滤表项。

该方案中，至少一个其他网络设备接收到ip请求报文后，会在ip请求报文携带的vlan对应的每个端口统计接收到的携带待处理报文的五元组信息的报文的数量，基于统计的数量确定出该五元组信息对应的攻击源端口，然后通过该攻击源端口发送ip请求报文，至少一个其他网络设备中接收到ip请求报文的第二选定网络设备会返回ip响应报文，若接收到ip响应报文，则无需过滤该五元组信息的报文，进一步由第二选定设备过滤即可，若未接收到ip响应报文，则建立acl过滤表项来过滤该五元组信息的报文，由于基于五元组信息进行报文过滤，而不是基于报文类型进行报文过滤，从而实现仅过滤攻击报文，转发正常报文。

具体的，上述s22中的基于添加的各个acl统计表项从vlan标识对应的各个端口中确定五元组信息对应的第二攻击源端口，实现方式具体包括：

在设定时长内基于各个acl统计表项分别统计对应的各个端口接收到的携带五元组信息的报文的数量；

获取统计的各个数量中的最大数量对应的端口，得到五元组信息对应的第二攻击源端口。

可以将设定时长内接收到的携带五元组信息的报文的各个数量中的最大数量对应的端口，作为五元组信息对应的第二攻击源端口。确定第二攻击源端口的方式有很多种，除了上述方式之外还可以通过其他方式确定第二攻击源端口，例如将第二大数量对应的端口作为第二攻击源端口，其他方式不再一一赘述。

基于同一发明构思，本发明实施例提供一种针对网络攻击的acl过滤表项建立装置，与如图1所示的方法相对应，应用于目标网络包括的核心网络设备中，目标网络还包括至少一个其他网络设备，该装置的结构如图3所示，包括：

第一确定模块31，用于检测到网络攻击后，确定网络攻击的攻击报文类型；

添加模块32，用于若接收到攻击报文类型的待处理报文，则获取待处理报文的五元组信息和虚拟局域网vlan标识，在第一访问控制列表acl表中添加包括vlan标识对应的各个端口、五元组信息中除源互联网协议ip地址之外的四元组信息和源ip地址的子网掩码的acl统计表项，各个acl统计表项包括的端口不同；

第二确定模块33，用于基于添加的各个acl统计表项从vlan标识对应的各个端口中确定五元组信息对应的第一攻击源端口；

发送模块34，用于通过第一攻击源端口发送携带五元组信息、设定媒体访问控制mac地址和vlan标识的ip请求报文；

处理模块35，用于若在设定时长内接收到与ip请求报文对应的ip响应报文，则在第一acl表中删除添加的各个acl统计表项；若在设定时长内未接收到ip响应报文，则在第一acl表中删除添加的各个acl统计表项，并在第一acl表中添加包括第一攻击源端口和五元组信息的acl过滤表项，ip响应报文是至少一个其他网络设备中接收到ip请求报文的第一选定网络设备确定ip请求报文携带设定mac地址后返回的。

具体的，第二确定模块33，用于基于添加的各个acl统计表项从vlan标识对应的各个端口中确定五元组信息对应的第一攻击源端口，具体用于：

在设定时长内基于各个acl统计表项分别统计对应的端口接收到的携带五元组信息的报文的数量；

获取统计的各个数量中的最大数量对应的端口，得到五元组信息对应的第一攻击源端口。

基于同一发明构思，本发明实施例提供一种针对网络攻击的acl过滤表项建立装置，与如图2所示的方法相对应，应用于目标网络包括的至少一个其他网络设备中，目标网络还包括核心网络设备，该装置的结构如图4所示，包括：

添加模块41，用于接收携带五元组信息、设定媒体访问控制mac地址和虚拟局域网vlan标识的互联网协议ip请求报文后，在第二访问控制列表acl表中添加包括vlan标识对应的各个端口、五元组信息中除源ip地址之外的四元组信息和源ip地址的子网掩码的acl统计表项，各个acl统计表项对应的端口不同；

确定模块42，用于基于添加的各个acl统计表项从vlan标识对应的各个端口中确定五元组信息对应的第二攻击源端口；

转发模块43，用于通过第二攻击源端口转发ip请求报文；

处理模块44，用于若在设定时长内接收到与ip请求报文对应的ip响应报文，则在第二acl表中删除添加的各个acl统计表项；若在设定时长内未接收到ip响应报文，则在第二acl表中删除添加的各个acl统计表项，并在第二acl表中添加包括第二攻击源端口和五元组信息的acl过滤表项，ip响应报文是至少一个其他网络设备中接收到ip请求报文的第二选定网络设备确定ip请求报文携带设定mac地址后返回的。

具体的，确定模块42，用于基于添加的各个acl统计表项从vlan标识对应的各个端口中确定五元组信息对应的第二攻击源端口，具体用于：

在设定时长内基于各个acl统计表项分别统计对应的各个端口接收到的携带五元组信息的报文的数量；

获取统计的各个数量中的最大数量对应的端口，得到五元组信息对应的第二攻击源端口。

本申请实施例还提供了一种电子设备，请参见图5所示，包括处理器510、通信接口520、存储器530和通信总线540，其中，处理器510，通信接口520，存储器530通过通信总线540完成相互间的通信。

存储器530，用于存放计算机程序；

处理器510，用于执行存储器530上所存放的程序时，实现上述实施例中任一所述的针对网络攻击的acl过滤表项建立方法。

通信接口520用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(randomaccessmemory，ram)，也可以包括非易失性存储器(non-volatilememory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(digitalsignalprocessing，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

相应地，本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的针对网络攻击的acl过滤表项建立方法。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的可选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：陈金楚
技术所有人：锐捷网络股份有限公司
我是此专利的发明人

上一篇：一种汽车座椅坐垫解锁机构的制作方法
上一篇：一种服装面料色牢度件检测设备及其检测方法与流程

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。