[发明专利]一种IPSEC通信用抗DOS攻击系统

说明书

本发明公开了一种IPSEC通信用抗DOS攻击系统，包括公网设备、公网测速单元、综合分析单元、监控模块、网关设备、选通单元、禁止库、来源接收端、主控制器、显示单元和存储单元；本发明通过来源接收端接收到对应的发起指令，并通过选通单元屏蔽掉已经被禁用的IP地址；与此同时借助公网测速单元对公网设备的访问情况进行实时分析，当分析得到公网网速满足要求，出现突变信号时；会借助综合分析单元进行分析处理，得到繁值序列表，并将繁值序列表传输到主控制器，主控制器根据相应规则进行分析，得到攻击对象的IP地址，并将该IP地址禁用，传输到禁止库内；实现对DOS攻击的完全检测和抵抗。

技术领域

本发明属于抗攻击领域，涉及一种抗DOS攻击技术，具体是一种IPSEC通信用抗DOS攻击系统。

背景技术

公开号为CN103152730A的专利公开了一种抗DoS攻击的通用移动通信系统无线接入方法。该方法采用入网凭证、公钥密码体系和随机数等手段验证进入UMTS系统，请求无线资源服务的MS身份，从而阻止了非法MS占用UMTS无线信道资源，抵抗了来自UMTS外部的DoS攻击。该方法有效克服了现有方案将阻止外部DoS攻击的机制放在核心网内部执行的缺陷，同时对现有的无线资源控制协议改动非常少，仅增加少量通信字段，因此对UMTS现有的安全机制是一个有益的补充。

但是其仅仅是借助入网凭证等相关手段来对DOS攻击进行分析，其准确性和针对性不足，在DOS攻击识别上容易存在差异性；缺少一种能够根据对应IP地址发起的指令进行实时分析，并判定其是否为攻击指令的方法；为了解决这一技术问题，现提供一种技术方案。

发明内容

本发明的目的在于提供一种IPSEC通信用抗DOS攻击系统。

本发明的目的可以通过以下技术方案实现：

一种IPSEC通信用抗DOS攻击系统，其特征在于，包括公网设备、公网测速单元、综合分析单元、监控模块、网关设备、选通单元、禁止库、来源接收端、主控制器、显示单元和存储单元；

其中，所述网关设备为用户访问网络的设备，所述公网设备为通过网关设备访问网络的设备，所述来源接收端用于接收外接指令信息，外接指令信息为用户向网关设备发起的命令，包括信息内容和信息来源的IP地址；所述来源接收端用于将外接指令信息传输到选通单元；

所述禁止库内存储有若干禁令地址，禁令地址为被禁止发起命令的IP地址；所述选通单元用于将外接指令信息与禁止库进行比对，当比对到有与禁令地址一致的外接指令信息时，将该外接指令信息标记为垃圾指令信息，所述选通单元在检测到垃圾指令信息时将其删除，不做任何处理；所述选通单元在未比对到有与禁令地址一致的外接指令信息时，将外接指令信息传输到网关设备，所述网关设备接收选通单元传输的外接指令信息并执行该指令信息；

所述公网测速单元用于实时检测公网设备的网络实时访问速度，所述公网测速单元用于将实时访问速度传输到综合分析单元，所述综合分析单元接收公网测速单元传输的实时访问速度，并对实时访问速度进行迟滞分析，迟滞分析的具体步骤为：

步骤一：获取到实时访问速度；

步骤二：从初始时，每间隔预设时间T1获取一次实时访问速度，得到公网设备的实时访问速度，将其标记为Di，i＝1...n，n为大于零的整数，其中Dn表示为最新时刻的实时访问速度；

步骤三：当nX1时，此时不做任何处理；X1为预设值；

步骤四：当n≥X1时，此时进入步骤五的网速分析流程；

步骤五：首先，获取到突变差值Tc；Tc＝D_n-D_n-1；

步骤六：持续性获取Tc并对其进行监控，当Tc≥X2时，此时产生判定信号；否则不做任何处理；X2为预设值且满足X20；