CN112383565A - 一种ipsec通信用抗dos攻击系统 - Google Patents

Abstract

本发明公开了一种IPSEC通信用抗DOS攻击系统，包括公网设备、公网测速单元、综合分析单元、监控模块、网关设备、选通单元、禁止库、来源接收端、主控制器、显示单元和存储单元；本发明通过来源接收端接收到对应的发起指令，并通过选通单元屏蔽掉已经被禁用的IP地址；与此同时借助公网测速单元对公网设备的访问情况进行实时分析，当分析得到公网网速满足要求，出现突变信号时；会借助综合分析单元进行分析处理，得到繁值序列表，并将繁值序列表传输到主控制器，主控制器根据相应规则进行分析，得到攻击对象的IP地址，并将该IP地址禁用，传输到禁止库内；实现对DOS攻击的完全检测和抵抗。

Description

一种IPSEC通信用抗DOS攻击系统

技术领域

本发明属于抗攻击领域，涉及一种抗DOS攻击技术，具体是一种IPSEC通信用抗DOS攻击系统。

背景技术

公开号为CN103152730A的专利公开了一种抗DoS攻击的通用移动通信系统无线接入方法。该方法采用入网凭证、公钥密码体系和随机数等手段验证进入UMTS系统，请求无线资源服务的MS身份，从而阻止了非法MS占用UMTS无线信道资源，抵抗了来自UMTS外部的DoS攻击。该方法有效克服了现有方案将阻止外部DoS攻击的机制放在核心网内部执行的缺陷，同时对现有的无线资源控制协议改动非常少，仅增加少量通信字段，因此对UMTS现有的安全机制是一个有益的补充。

但是其仅仅是借助入网凭证等相关手段来对DOS攻击进行分析，其准确性和针对性不足，在DOS攻击识别上容易存在差异性；缺少一种能够根据对应IP地址发起的指令进行实时分析，并判定其是否为攻击指令的方法；为了解决这一技术问题，现提供一种技术方案。

发明内容

本发明的目的在于提供一种IPSEC通信用抗DOS攻击系统。

本发明的目的可以通过以下技术方案实现：

一种IPSEC通信用抗DOS攻击系统，其特征在于，包括公网设备、公网测速单元、综合分析单元、监控模块、网关设备、选通单元、禁止库、来源接收端、主控制器、显示单元和存储单元；

其中，所述网关设备为用户访问网络的设备，所述公网设备为通过网关设备访问网络的设备，所述来源接收端用于接收外接指令信息，外接指令信息为用户相网关设备发起的命令，包括信息内容和信息来源的IP地址；所述来源接收端用于将外接指令信息传输到选通单元；

所述禁止库内存储有若干禁令地址，禁令地址为被禁止发起命令的IP地址；所述选通单元用于将外接指令信息与禁止库进行比对，当比对到有与禁止地址一致的外接指令信息时，将该外接指令信息标记为垃圾指令信息，所述选通单元在检测到垃圾指令信息时将其删除，不做任何处理；所述选通单元在未比对到有与禁止地址一致的外接指令信息时，将外接指令信息传输到网关设备，所述网关设备接收选通单元传输的外接指令信息并执行该指令信息；

所述公网测速单元用于实时检测公网设备的网络实时访问速度，所述公网测速单元用于将实时访问速度传输到综合分析单元，所述综合分析单元接收公网测速单元传输的实时访问速度，并对实时访问速度进行迟滞分析，迟滞分析的具体步骤为：

步骤一：获取到实时访问速度；

步骤二：从初始时，每间隔预设时间T1获取一次实时访问速度，得到公网设备的实时访问速度，将其标记为Di，i＝1...n，n为大于零的整数，其中Dn表示为最新时刻的实时访问速度；

步骤三：当n<X1时，此时不做任何处理；X1为预设值；

步骤四：当n≥X1时，此时进入步骤五的网速分析流程；

步骤五：首先，获取到突变差值Tc；Tc＝Dn-Dn-1；

步骤六：持续性获取Tc并对其进行监控，当Tc≥X2时，此时产生判定信号；否则不做任何处理；X2为预设值且满足X2>0；

步骤七：在产生判定信号时，自动圈定有效范围，有效范围圈定步骤如下：

S1：获取到n值，当n＝X2时，将所有的实时访问速度均圈定为有效范围；

S2：获取到Dn，计算得到Dn的平均值，将其标记为J；

S3：利用公式求取其稳值W，

式中|D_i-J|表示为Di减去J差值的绝对值；

S4：当W≥X3时，此时产生突变信号；

S5：当n>X2时，此时获取到Dn-X2+1...Dn，共X2组Di数据，将对应的Di圈定为有效范围；

S6：求取其均值将其标记为J1；

S7：利用公式求取有效范围内Di的稳值W，

式中|D_i-J₁|表示为Di减去J1差值的绝对值；

S8：当W≥X3时，此时产生突变信号；

所述综合分析单元在产生突变信号时将其传输到监控模块，所述监控模块在接收到综合分析单元传输的突变信号时，会自动获取此时网关设备内所有要求发起动作的指令信息和对应IP地址，将指令信息和IP地址融合形成实时响应信息，并对响应信息进行疑似分析，得到根据繁值Qi对发起对象Fi进行从大到小的排序的繁值序列表；

所述监控模块将繁值序列表返回到综合分析单元，所述综合分析单元接收监控模块传输的繁值序列表并将其传输到主控制器，所述主控制器接收综合分析单元传输的繁值序列表，并对其进行禁象分析得到禁止对象和误信号；

所述主控制器用于将禁止对象传输到禁止库，所述禁止库接收主控制器传输的禁止对象并进行实时存储。

进一步地，所述疑似分析的具体步骤为：

S10：获取到所有的IP地址，将同一IP地址的融合，并将IP地址标记为发起对象，并将发起对象标记为Fi，i＝1...m；m为大于零的正整数；

S20：获取到每一个发起对象的对应的指令信息；

S30：从最新时刻往前推T2时间段，T2为预设值，将该时间段标记为刻度时间段；

S40：获取到每一个发起对象的在刻度时间段内的指令信息的个数，将该个数标记为刻度个数Gi，i＝1...m，Gi与Fi一一对应；

S50：获取到刻度时间段内，所有指令信息需要的运算量，将对应的运算量标记为Yi，i＝1...m，且Yi与Gi、Fi均为一一对应；

S60：利用公式求取所有发起对象Fi在刻度时间段内的繁值Qi；Q＝0.632*Yi+0.368Gi；

S70：根据繁值Qi对发起对象Fi进行从大到小的排序，得到繁值序列表，繁殖序列表包括序列数和对应的发起对象。

进一步地，所述禁象分析的具体步骤为：

S100：获取到繁值序列表；

S200：根据由大到小的顺序，获取到第一个发起对象Fi；

S300：将对应的发起对象Fi标记为暂禁对象，禁止其所有的命令发起，此时网关设备停止响应该发起对象Fi的所有命令；

S400：持续预设时间Ty，Ty为预设值；

S500：利用监控模块和综合分析单元重新分析，得到其稳值W，若稳值W满足≤X4时，此时确认信号；否则进入步骤S600；X4为预设值，且满足X4>X3；

S600：获取第二大的繁值对应的发起对象Fi，重复步骤S300-S600，直到产生确认信号；若所有的发起对象Fi均经历上述过程且无确认信号产生，则产生误信号；

S700：将对应产生确认信号的发起对象Fi标记为禁止对象。

进一步地，所述主控制器用于将禁止对象打上时间戳传输到存储单元进行实时存储。

进一步地，所述主控制器在产生误信号时将其传输到显示单元，所述显示单元接收到主控制器传输的误信号时自动显示“当前突然并非收到攻击引起”字眼。

本发明的有益效果：

本发明通过来源接收端接收到对应的发起指令，并通过选通单元屏蔽掉已经被禁用的IP地址；与此同时借助公网测速单元对公网设备的访问情况进行实时分析，当分析得到公网网速满足要求，出现突变信号时；会借助综合分析单元进行分析处理，得到繁值序列表，并将繁值序列表传输到主控制器，主控制器根据相应规则进行分析，得到攻击对象的IP地址，并将该IP地址禁用，传输到禁止库内；实现对DOS攻击的完全检测和抵抗；本发明简单有效，且易于实用。

附图说明

为了便于本领域技术人员理解，下面结合附图对本发明作进一步的说明。

图1为本发明IPSEC通信用抗DOS攻击系统的系统框图。

具体实施方式

如图1所示，一种IPSEC通信用抗DOS攻击系统，包括公网设备、公网测速单元、综合分析单元、监控模块、网关设备、选通单元、禁止库、来源接收端、主控制器、显示单元和存储单元；

其中，所述网关设备为用户访问网络的设备，所述公网设备为通过网关设备访问网络的设备，所述来源接收端用于接收外接指令信息，外接指令信息为用户相网关设备发起的命令，包括信息内容和信息来源的IP地址；所述来源接收端用于将外接指令信息传输到选通单元；

所述禁止库内存储有若干禁令地址，禁令地址为被禁止发起命令的IP地址；所述选通单元用于将外接指令信息与禁止库进行比对，当比对到有与禁止地址一致的外接指令信息时，将该外接指令信息标记为垃圾指令信息，所述选通单元在检测到垃圾指令信息时将其删除，不做任何处理；所述选通单元在未比对到有与禁止地址一致的外接指令信息时，将外接指令信息传输到网关设备，所述网关设备接收选通单元传输的外接指令信息并执行该指令信息；

所述公网测速单元用于实时检测公网设备的网络实时访问速度，所述公网测速单元用于将实时访问速度传输到综合分析单元，所述综合分析单元接收公网测速单元传输的实时访问速度，并对实时访问速度进行迟滞分析，迟滞分析的具体步骤为：

步骤一：获取到实时访问速度；

步骤二：从初始时，每间隔预设时间T1获取一次实时访问速度，得到公网设备的实时访问速度，将其标记为Di，i＝1...n，n为大于零的整数，其中Dn表示为最新时刻的实时访问速度；

步骤三：当n<X1时，此时不做任何处理；X1为预设值；

步骤四：当n≥X1时，此时进入步骤五的网速分析流程；

步骤五：首先，获取到突变差值Tc；Tc＝Dn-Dn-1；

步骤六：持续性获取Tc并对其进行监控，当Tc≥X2时，此时产生判定信号；否则不做任何处理；X2为预设值且满足X2>0；

步骤七：在产生判定信号时，自动圈定有效范围，有效范围圈定步骤如下：

S1：获取到n值，当n＝X2时，将所有的实时访问速度均圈定为有效范围；

S2：获取到Dn，计算得到Dn的平均值，将其标记为J；

S3：利用公式求取其稳值W，

式中|D_i-J|表示为Di减去J差值的绝对值；

S4：当W≥X3时，此时产生突变信号；

S5：当n>X2时，此时获取到Dn-X2+1...Dn，共X2组Di数据，将对应的Di圈定为有效范围；

S6：求取其均值将其标记为J1；

S7：利用公式求取有效范围内Di的稳值W，

式中|D_i-J₁|表示为Di减去J1差值的绝对值；

S8：当W≥X3时，此时产生突变信号；

所述综合分析单元在产生突变信号时将其传输到监控模块，所述监控模块在接收到综合分析单元传输的突变信号时，会自动获取此时网关设备内所有要求发起动作的指令信息和对应IP地址，将指令信息和IP地址融合形成实时响应信息，并对响应信息进行疑似分析，疑似分析的具体步骤为：

S10：获取到所有的IP地址，将同一IP地址的融合，并将IP地址标记为发起对象，并将发起对象标记为Fi，i＝1...m；m为大于零的正整数；

S20：获取到每一个发起对象的对应的指令信息；

S30：从最新时刻往前推T2时间段，T2为预设值，将该时间段标记为刻度时间段；

S40：获取到每一个发起对象的在刻度时间段内的指令信息的个数，将该个数标记为刻度个数Gi，i＝1...m，Gi与Fi一一对应；

S50：获取到刻度时间段内，所有指令信息需要的运算量，将对应的运算量标记为Yi，i＝1...m，且Yi与Gi、Fi均为一一对应；

S60：利用公式求取所有发起对象Fi在刻度时间段内的繁值Qi；Q＝0.632*Yi+0.368Gi；

式中，0.632和0.368为对应运算量Yi和刻度个数Gi的权值，因为二者对最终影响结果不同，故此加入权值突出影响；

S70：根据繁值Qi对发起对象Fi进行从大到小的排序，得到繁值序列表，繁殖序列表包括序列数和对应的发起对象；

所述监控模块将繁值序列表返回到综合分析单元，所述综合分析单元接收监控模块传输的繁值序列表并将其传输到主控制器，所述主控制器接收综合分析单元传输的繁值序列表，并对其进行禁象分析，禁象分析的具体步骤为：

S100：获取到繁值序列表；

S200：根据由大到小的顺序，获取到第一个发起对象Fi；

S300：将对应的发起对象Fi标记为暂禁对象，禁止其所有的命令发起，此时网关设备停止响应该发起对象Fi的所有命令；

S400：持续预设时间Ty，Ty为预设值；

S500：利用监控模块和综合分析单元重新分析，得到其稳值W，若稳值W满足≤X4时，此时确认信号；否则进入步骤S600；X4为预设值，且满足X4>X3；

S600：获取第二大的繁值对应的发起对象Fi，重复步骤S300-S600，直到产生确认信号；若所有的发起对象Fi均经历上述过程且无确认信号产生，则产生误信号；

S700：将对应产生确认信号的发起对象Fi标记为禁止对象；

所述主控制器用于将禁止对象传输到禁止库，所述禁止库接收主控制器传输的禁止对象并进行实时存储；

所述主控制器用于将禁止对象打上时间戳传输到存储单元进行实时存储；

所述主控制器在产生误信号时将其传输到显示单元，所述显示单元接收到主控制器传输的误信号时自动显示“当前突然并非收到攻击引起”字眼。

一种IPSEC通信用抗DOS攻击系统，在工作时，首先通过来源接收端接收到对应的发起指令，并通过选通单元屏蔽掉已经被禁用的IP地址；与此同时借助公网测速单元对公网设备的访问情况进行实时分析，当分析得到公网网速满足要求，出现突变信号时；会借助综合分析单元进行分析处理，得到繁值序列表，并将繁值序列表传输到主控制器，主控制器根据相应规则进行分析，得到攻击对象的IP地址，并将该IP地址禁用，传输到禁止库内；实现对DOS攻击的完全检测和抵抗；本发明简单有效，且易于实用。

以上内容仅仅是对本发明结构所作的举例和说明，所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离发明的结构或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。

Claims (5)

1.一种IPSEC通信用抗DOS攻击系统，其特征在于，包括公网设备、公网测速单元、综合分析单元、监控模块、网关设备、选通单元、禁止库、来源接收端、主控制器、显示单元和存储单元；

其中，所述网关设备为用户访问网络的设备，所述公网设备为通过网关设备访问网络的设备，所述来源接收端用于接收外接指令信息，外接指令信息为用户相网关设备发起的命令，包括信息内容和信息来源的IP地址；所述来源接收端用于将外接指令信息传输到选通单元；

所述禁止库内存储有若干禁令地址，禁令地址为被禁止发起命令的IP地址；所述选通单元用于将外接指令信息与禁止库进行比对，当比对到有与禁止地址一致的外接指令信息时，将该外接指令信息标记为垃圾指令信息，所述选通单元在检测到垃圾指令信息时将其删除，不做任何处理；所述选通单元在未比对到有与禁止地址一致的外接指令信息时，将外接指令信息传输到网关设备，所述网关设备接收选通单元传输的外接指令信息并执行该指令信息；

所述公网测速单元用于实时检测公网设备的网络实时访问速度，所述公网测速单元用于将实时访问速度传输到综合分析单元，所述综合分析单元接收公网测速单元传输的实时访问速度，并对实时访问速度进行迟滞分析，迟滞分析的具体步骤为：

步骤一：获取到实时访问速度；

步骤二：从初始时，每间隔预设时间T1获取一次实时访问速度，得到公网设备的实时访问速度，将其标记为Di，i＝1...n，n为大于零的整数，其中Dn表示为最新时刻的实时访问速度；

步骤三：当n<X1时，此时不做任何处理；X1为预设值；

步骤四：当n≥X1时，此时进入步骤五的网速分析流程；

步骤五：首先，获取到突变差值Tc；Tc＝Dn-Dn-1；

步骤六：持续性获取Tc并对其进行监控，当Tc≥X2时，此时产生判定信号；否则不做任何处理；X2为预设值且满足X2>0；

步骤七：在产生判定信号时，自动圈定有效范围，有效范围圈定步骤如下：

S1：获取到n值，当n＝X2时，将所有的实时访问速度均圈定为有效范围；

S2：获取到Dn，计算得到Dn的平均值，将其标记为J；

S3：利用公式求取其稳值W，

式中|D_i-J|表示为Di减去J差值的绝对值；

S4：当W≥X3时，此时产生突变信号；

S5：当n>X2时，此时获取到Dn-X2+1...Dn，共X2组Di数据，将对应的Di圈定为有效范围；

S6：求取其均值将其标记为J1；

S7：利用公式求取有效范围内Di的稳值W，

式中|D_i-J₁|表示为Di减去J1差值的绝对值；

S8：当W≥X3时，此时产生突变信号；

所述综合分析单元在产生突变信号时将其传输到监控模块，所述监控模块在接收到综合分析单元传输的突变信号时，会自动获取此时网关设备内所有要求发起动作的指令信息和对应IP地址，将指令信息和IP地址融合形成实时响应信息，并对响应信息进行疑似分析，得到根据繁值Qi对发起对象Fi进行从大到小的排序的繁值序列表；

所述监控模块将繁值序列表返回到综合分析单元，所述综合分析单元接收监控模块传输的繁值序列表并将其传输到主控制器，所述主控制器接收综合分析单元传输的繁值序列表，并对其进行禁象分析得到禁止对象和误信号；

所述主控制器用于将禁止对象传输到禁止库，所述禁止库接收主控制器传输的禁止对象并进行实时存储。

2.根据权利要求1所述的一种IPSEC通信用抗DOS攻击系统，其特征在于，所述疑似分析的具体步骤为：

S10：获取到所有的IP地址，将同一IP地址的融合，并将IP地址标记为发起对象，并将发起对象标记为Fi，i＝1...m；m为大于零的正整数；

S20：获取到每一个发起对象的对应的指令信息；

S30：从最新时刻往前推T2时间段，T2为预设值，将该时间段标记为刻度时间段；

S40：获取到每一个发起对象的在刻度时间段内的指令信息的个数，将该个数标记为刻度个数Gi，i＝1...m，Gi与Fi一一对应；

S50：获取到刻度时间段内，所有指令信息需要的运算量，将对应的运算量标记为Yi，i＝1...m，且Yi与Gi、Fi均为一一对应；

S60：利用公式求取所有发起对象Fi在刻度时间段内的繁值Qi；Q＝0.632*Yi+0.368Gi；

S70：根据繁值Qi对发起对象Fi进行从大到小的排序，得到繁值序列表，繁殖序列表包括序列数和对应的发起对象。

3.根据权利要求1所述的一种IPSEC通信用抗DOS攻击系统，其特征在于，所述禁象分析的具体步骤为：

S100：获取到繁值序列表；

S200：根据由大到小的顺序，获取到第一个发起对象Fi；

S300：将对应的发起对象Fi标记为暂禁对象，禁止其所有的命令发起，此时网关设备停止响应该发起对象Fi的所有命令；

S400：持续预设时间Ty，Ty为预设值；

S500：利用监控模块和综合分析单元重新分析，得到其稳值W，若稳值W满足≤X4时，此时确认信号；否则进入步骤S600；X4为预设值，且满足X4>X3；

S600：获取第二大的繁值对应的发起对象Fi，重复步骤S300-S600，直到产生确认信号；若所有的发起对象Fi均经历上述过程且无确认信号产生，则产生误信号；

S700：将对应产生确认信号的发起对象Fi标记为禁止对象。

4.根据权利要求1所述的一种IPSEC通信用抗DOS攻击系统，其特征在于，所述主控制器用于将禁止对象打上时间戳传输到存储单元进行实时存储。

5.根据权利要求1所述的一种IPSEC通信用抗DOS攻击系统，其特征在于，所述主控制器在产生误信号时将其传输到显示单元，所述显示单元接收到主控制器传输的误信号时自动显示“当前突然并非收到攻击引起”字眼。

Images