一种分布式拒绝服务攻击的监控方法和监控设备的制作方法

专利名称：一种分布式拒绝服务攻击的监控方法和监控设备的制作方法
技术领域：
本发明实施例涉及计算机领域，特别是涉及一种分布式拒绝服务攻击的 监控方法和监控设备。
背景技术：
随着互联网的不断发展，网络攻击不断出现在互联网中，比较常见为
分布式拒绝服务攻击(Distribution Denial of service, DDOS)。
在现有技术中，为了防止这种DDOS攻击，业界通常在防火墙及入侵 检测系统中，采用动态基线的检测方法来检测是否受到DDOS攻击。通过 模型预测得到某个预测值，再以该预测值作为参考，来计算实际观测值与 该预测值偏离大小，如果偏离超出 一 定范围可以认为受到攻击。
发明人在实现本发明的过程中，发现现有技术至少存在以下缺点现 有技术适用于单个IP的攻击检测，并且现有技术只通过一次检测就可认 为是否受到攻击，其精确度不高。

发明内容
本发明实施例提供一种分布式拒绝服务攻击的监控方法和监控设备， 以提高精确度。
根据本发明的一方面，提供一种分布式拒绝服务攻击的监控方法，所 述监控实体包括第 一监控实体和第二监控实体，所述第 一监控实体与所述第 二监控实体通信连接，所述方法包括
所述第二监控实体接收所述第一监控实体统计监控的IP集合或IP段的第 一定时时间的通信流量；
所述第二监控实体根据所述统计的IP集合或IP段的第一定时时间的 通信流量和IP集合或IP段的攻击阈值获得所述IP集合或IP段的预判阈
值和攻击比例值，并发送至所述第一监控实体；
当所述第一监控实体根据所述IP集合或IP段的预判阈值和攻击比例 值确认所述IP集合或IP段的通信流量异常时，所述第二监控实体接收所 述第一监控实体统计所述IP集合或IP段的第二定时时间的通信流量；
当所述第二监控实体判断所述统计的所述第二定时时间的IP集合或
IP段的通信流量大于所述IP集合或IP段的攻击阈值时，确认所述IP集 合或IP段受到攻击。
根据本发明的另一方面，还提供一种监控设备，包括流量监控模块 和分析模块；
所述分析模块用于接收所述流量监控模块统计监控的IP集合或IP段 的第一定时时间的通信流量，并根据所述统计的IP集合或IP段的第一定 时时间的通信流量和IP集合或IP段的攻击阈值获得所述IP集合或IP段 的预判阈值和攻击比例值；
所述流量监控模块用于根据所述IP集合或IP段的预判阈值和攻击比 例值确认所述IP集合或IP段的通信流量是否异常，当确认发生异常时， 发送统计所述IP集合或IP段的第二定时时间的通信流量至所述分析模 块；
其中，所述分析^^莫块还用于当所述统计的所述第二定时时间的IP集 合或IP段的通信流量大于所述IP集合或IP段的攻击阈值时，确认所述 IP集合或IP段受到攻击。
采用上述提供的监控方法和监控设备，先确认IP集合或IP段的通信 流量是否发生异常，当异常时，再判断该IP集合或IP段的通信流量是否 大于该IP集合或IP段的攻击阈值，从而确认该IP集合或IP段受到攻击，
7从而可以提高精确率。


实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中 的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不 付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
图1为本发明实施例的监控设备的应用环境图； 图2为本发明实施例的监控设备的结构图3为本发明实施例的分布式拒绝服务攻击的监控方法的总体流程
图4为本发明实施例的分布式拒绝服务攻击的监控方法的具体流程图。
具体实施例方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进 行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没 有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的 范围。
图1为本发明实施例的监控设备的应用环境图。
在本实施例中，用户网域10通过分光i殳备20与4妻入网40通信连接， 分光设备20通过接入网40与网络50通信连接，分光设备20还通过监控 设备30与接入网40通信连接。在本实施例中，用户网域10可以为城域 网，也可以是局域网，即用户网域10为多个IP组成的IP集合或IP段或 IP群。在本实施例中，用户网域10可以包括多个IP集合或IP段。分光设备20用于将用户网域10与接入网40的通信流量镜像到监控设备30， 监控设备30用于监控用户网域10与接入网40的通信流量是否异常，也 可以理解为监控用户网域10是否受到网络攻击。在本实施例中，网络攻 击可以为DDOS攻击。监控设备30还用于当监控用户网域10的通信流量 发生异常时，即用户网域10受到攻击，发送监控结果给接入网40，以使 接入网40做出处理。可以认为是限制通信流量或阻断通信等等。在本实 施例中，通信流量可以是TCP流量，也可以是UDP流量，也可以是TCP和 UDP流量的总和。
图2为本发明实施例的监控设备的结构图。
在本实施例中，监控设备30包括分流模块31、流量监控模块32及分 析模块33。流量监控模块32包括第一流量监控子模块321、第二流量监 控子模块322.....第N流量监控子模块32N。
由于城域网或局域网与接入网4 0的通信流量通常在几十G、或几百G、 或几千G，因此，分流模块31用于将分光设备20镜像的通信流量分流至 流量监控模块32中的子模块，即流量监控模块32中的第一流量监控子模
块321、第二流量监控子模块322.....第N流量监控子模块32N分别接
收分光设备20镜像的通信流量中的部分通信流量，此时，可以理解每个 流量监控子模块相当于一个流量通道。在本实施例中，光流模块31可以 按端口号进行分流，也可以按源地址和目的地址进行分流，分流模块31 采取的分流手段也不限于现有技术。
在本实施例中，当监控设备30需要对用户网域10进行监控时，监控 设备30通过用户界面接收网管的操作信息，该操作信息为监控用户网域 IO的信息，即监控哪些IP集合或IP段的信息，在本实施例中，可以由分 析模块31接收该操作信息。在本实施例中，为了更清楚地进行说明，以 IP集为例。分析模块33用于创建监控映射关系列表，根据监控映射关系 列表发送监控信息至流量监控模块32。监控映射关系列表是监控的IP集
9合信息、流量监控模块32中的流量监控子模块监控该IP集合的IP信息
和流量监控模块32中的流量监控子模块信息的对应映射关系列表，可以 理解为流量监控模块32中的某个流量监控子模块监控某个IP集合，并监 控该IP集合的部分或全部IP。由于IP集合为多个工P组成的群，监控信 息包括监控的IP集合信息和该IP集合的监控的IP信息。在本实施例中， 监控映射关系列表中的流量监控模块32中的流量监控子模块信息可以为 流量监控子模块的标识信息，也可以为流量监控子模块的名称信息。由于 IP集合为一长串的字符串，因此，IP集合信息为字符串信息，每个IP集 合都具有自身的字符串。
在本实施例中，分析模块33还用于根据监控映射关系列表将监控的 IP集合信息和该IP集合的监控的IP信息发送至对应的流量监控模块32 中的流量监控子模块。
在本实施例中，可以为流量监控模块32中的部分流量监控子模块分 配监控的IP,也可以为所有流量监控子模块分配监控的IP。举例说明， 假设用户网域10具有一个IP集合时，IP集合包括10个IP，流量监控模 块32包括3个流量监控子模块，即第一流量监控子模块321、第二流量监 控子模块322及第三流量监控子模块323，分析模块33可以为第一流量监 控子模块321分配IP集合中的任意3个，为第二流量监控子模块322分 配IP集合的剩余7个IP中任意3个，为第三流量监控子模块32 3分配IP 集合的剩余4个。当然，以上只是举例而已。当用户网i^戈10具有多个If〕
集合时，包括第一IP集合、第二IP集合.....第NIP集合。分析模块33
可以先分配IP集合，再分配IP集合中的IP。
流量监控模块32中的第一流量监控子模块321、第二流量监控子模块
322.....第N流量监控子模块32N用于分别接收分析模块33发送的监控
信息，并标识监控信息中的IP集合，及统计该IP集合的IP的通信流量。 在本实施例中，流量监控模块32中的流量监控子模块各自标识监控信息中的IP集合，并各自统计该监控的IP集合的监控的IP的通信流量。在
本实施例中，流量监控模块W中的第一流量监控子模块321、第二流量监
控子模块322.....第N流量监控子模块32N还用于当标识监控信息中的
IP集合后，将该IP集合的标识发送至分析模块33存储于监控映射关系列 表。在本实施例中，由于IP集合为一长串的字符串，因此，对IP集合进 行标识，方便操作。举例说明，若第一流量监控子模块321监控第一 IP 集合，则对第一 IP集合用数字或字母进行标识。若第二流量监控子模块 322也监控第一 IP集合，则对第一 IP集合采用与第一流量监控子模块321 相同的标识，即流量监控模块32针对同一个IP集合采用相同的数字或字 母进行标识，可以在流量监控模块32内部设置一个具有管理第一流量监
控子模块321、第二流量监控子模块322.....第N流量监控子模块32N
功能的模块，来管理标识的规则。
在本实施例中，分析模块33还用于每隔第一定时时间向流量监控模
块32中的第一流量监控子模块321、第二流量监控子模块322 .....第N
流量监控子模块32N发送第一上报请求。在本实施例中，第一定时时间可 以为160秒，当然，可以理解的是，也可以另外设置时间。该第一上报请 求用于通知流量监控模块32中的流量监控子模块将每隔第一定时时间统 计的监控的IP集合的流量上报给分析模块33。
流量监控模块32中的第一流量监控子模块321、第二流量监控子模块
322 .....第N流量监控子模块32N还用于接收分析模块33发送的第一上
报请求后，将该第一定时时间内统计的通信流量发送于分析模块33。
分析模块33还用于统计流量监控模块32发送的通信流量，根据统计 的通信流量和IP集合的攻击阈值获得该IP集合的预判值。在本实施例中， 所述预判值包括预判阈值和攻击比例值，攻击比例值为工P集合的攻击阈值 与该统计的通信流量的比例值，攻击比例值=该IP集合的攻击阈值/该统 计的通信流量；预判阔值为IP集合的攻击阈值与监控该IP集合的流量监
ii控子模块的总数的比例值，即预判阈值=IP集合的攻击阈值/监控该IP 集合的流量监控子模块的总数。在本实施例中，监控设备30刚开始监控 时，IP集合的攻击阈值为通过网管预先设置，也可以随时进行更新。
分析模块33还用于根据监控映射关系列表将IP集合的预判阈值和攻 击比例值发送至对应的流量监控模块32中的流量监控子模块。
流量监控模块32中的第一流量监控子模块321、第二流量监控子模块
322.....第N流量监控子模块32N还用于每隔第二定时时间根据IP集合
的预判阈值和攻击比例值判断当前监控的IP集合的通信流量是否异常。 在本实施例中，流量监控模块32中的第一流量监控子模块321、第二流量
监控子模块322.....第N流量监控子模块32N还用于每隔第二定时时间
统计监控的IP集合的通信流量，并每隔第二定时时间将监控的IP集合的 当前时刻的通信流量与攻击比例值的乘积跟当前时刻的前 一 次第二定时 时间统计的监控的IP集合的通信流量进行比较。在本实施例中，监控的 IP集合的当前时刻的通信流量为当前监控的IP集合的实时通信流量。在 本实施例中，此时的第二定时时间可以为16秒，当然也可以为其他时间 值。可以理解为流量监控模块32中的子模块每第二定时时间判断一次， 即每过16秒就判断一次，当过16秒后，就将当前时刻监控的IP集合的 通信流量与攻击比例值的乘积与当前时刻的前16秒统计的监控的IP集合 的通信流量进行比较。
当当前监控的IP集合的通信流量与该IP集合的攻击比例值的乘积大 于前一次第二定时时间统计的该监控的IP集合的通信流量时，将该当前 监控的IP集合的通信流量与该IP集合的预判阈值进行比较。当该当前监 控的IP集合的通信流量大于该IP集合的预判阈值时，即预判该IP集合 的通信流量发生异常，发送预判结果至分析模块33。在本实施例中，预判 结果包括发生异常的该IP集合的标识。在本实施例中，流量监控模块32 中子模块各自单独进行判断，并将判断结果发送至分析模块33。分析模块33还用于当收到预判结果时，根据监控映射关系列表向监 控该IP集合的流量监控子模块发送第二上报请求，以获取该IP集合的所
有通信流量。在本实施例中，分析模块33根据预判结果中的IP集合的标
识查找监控该IP集合的流量监控子模块。该第二上报请求包括该IP集合
的标识。
流量监控模块32中的子模块还用于接收该第二上报请求后，根据第 二上报请求中的该IP集合的标识，将前一次第二定时时间统计的该监控 该IP集合的通信流量发送至分析模块33。由于每个子模块可能同时监控 多个IP集合，因此，需要先确认是上报哪个IP集合的通信流量。
分析模块33还用于统计流量监控模块32发送的该前一次第二定时时 间统计的该IP集合的通信流量，并当统计完成后，判断该IP集合是否受 到攻击。在本实施例中，将统计后的该IP集合的总通信流量与该IP集合 的攻击阈值进行比较，若统计后的该IP集合的总通信流量大于该IP集合 的攻击阈值，则判断该IP集合受到攻击。当分析模块33还用于当判断该 IP集合受到攻击时，发送该判断结果给接入网40。也可以理解为发送监 控结果给接入网4 0。
在本实施例中，分析模块33和流量监控模块32也可以单独作为一个 设备，比如将流量监控模块32作为第一监控实体，分析模块33作为第二 监控实体，从而监控设备30可以作为一个监控实体，也可以认为是一个 监控系统，当流量监控模块32和分析模块33作为监控实体时，其监控的 功能与其作为模块时的功能是相同。
本发明实施例提供的监控设备，先通过流量监控模块中的子模块对IP 集合或IP段进行预判断，当预判断受到攻击时，再统计该IP集合或IP 段的所有通信流量，再进行一次判断，跟现有技术相比，比现有技术多了 一次判断，从而可以提高精确率；并且跟现有技术用于检测IP集合或I P段相比，由于本发明实施例，是针对IP集合或IP段进行判断，而无须
13判断每个IP是否受到攻击，从而可以提高检测的效率。
图3为本发明实施例的分布式拒绝服务攻击的监控方法的总体流程 图。在本实施例中，所述方法应用于监控实体监控IP集合或IP段，所述监 控实体包括第一监控实体和第二监控实体，所述第一监控实体与所述第二监 控实体通信连接，所述第一监控实体包括多个子监控实体，在本实施例中， 以IP集合作为实施例进行说明，IP段的实施例方式跟IP集合相同，在此 不再赘述。
在本实施例中，步骤S400，第二监控实体接收所述第一监控实体统计 监控的IP集合的第一定时时间的通信流量。
步骤S402,第二监控实体根据所述统计的IP集合的第一定时时间的 通信流量和IP集合的攻击阈值获得所述IP集合的预判值，并发送至所述 第一监控实体。
步骤S404,第一监控实体根据该IP集合的预判值判断该IP集合的通 信流量是否异常。
若判断异常，则执行步骤S406;若判断没有异常，则执行步骤S4()()。
步骤S406，第二监控实体接收所述第一监控实体统计所述IP集合的 第二定时时间的通信流量。
步骤S408,第二监控实体判断该IP集合的通信流量是否大于该IP集 合的攻击阈值，也可以理解为该IP集合是否受到攻击。
若判断该IP集合的通信流量大于该IP集合的攻击阈值，即判断该IP 集合受到攻击，则执行步骤S410;若判断该IP集合的通信流量不大于该 IP集合的攻击阔值，即该IP集合没有受到攻击，则执行步骤S404。
步骤S410，将判断结果发送于接入网，也可理解为将监控结果发送于 接入网。
图4为本发明实施例的分布式拒绝服务攻击的监控方法的具体流程 图。在本实施例应用于两个监控实体，分别为第一监控实体和第二监控实
14体，第一监控实体包括多个子监控实体。当该两个监控实体开始工作时， 第二监控实体首先创建监控映射关系列表，监控映射关系列表是监控的IP 集合信息、该IP集合的监控的IP信息和第一监控实体中的子监控实体信 息的对应映射关系列表。第二监控实体根据该监控映射关系列表发送监控 的IP集合信息及监控的IP信息至第一监控实体中的子监控实体。
步骤S500,获得需要监控的IP集合信息及该IP集合的监控的IP信
息。在本实施例中，由于IP集合是由多个IP组成的群，第一监控实体中 的子监控实体需要分别获得各自监控的IP集合信息及该IP集合的监控的 IP信息。在本实施例中，子监控实体可以监控某个IP集合中的部分IP， 也可以监控该IP集合中的所有IP，因此，需要获得具体监控的IP。
步骤S502，标识该IP集合，并发送IP集合的标识至第二监控实体存 储于监控映射关系列表。
步骤S504，所述第二监控实体接收该IP集合的标识，每隔第一定时 时间发送第一上报请求至所述第一监控实体的子监控实体。
步骤S506，当第一监控实体接收到第二监控实体的每隔第一定时时间 发送的第一上报请求时，发送该第一定时时间统计的该监控的IP集合的 通信流量至第二监控实体。在本实施例中，第一定时时间可以为160秒， 当然也可以为其他时间值。在本实施例中，每个子监控实体发送该第一定 时时间统计的该监控的IP集合的监控的IP的通信流量至第二监控实体。
步骤S508，第二监控实体根据接收的该IP集合的通信流量和该IP集 合的攻击阈值获得该IP集合的预判值，并发送该IP集合的预判阈值和攻 击比例值至第一监控实体。在本实施例中，第二监控实体接收所述第一监 控实体的子监控实体统计的监控的所述IP的第一定时时间的通信流量， 累加得到所述第一监控实体统计监控的IP集合或IP段的第一定时时间的
通信流量o
步骤S510，第一监控实体中的子监控实体根据该IP集合的预判值判断该IP集合的通信流量是否异常。在本实施例中，所述预判值包括预判阈 值和攻击比例值，所述IP集合或IP段的攻击比例值是所述IP集合的攻 击阈值与所述统计的IP集合或IP段的第一定时时间的通信流量的比例 值，所述IP集合或IP段的预判阈值是所述IP集合或IP段的攻击阈值与 所述第一监控实体中的子监控实体数量的比例值。将当前监控的IP集合 的当前时刻的通信流量与攻击比例值的乘积与每隔第二定时时间统计的 监控的IP集合的通信流量进行比较。进一步，将当前监控的IP集合的当 前时刻的通信流量与攻击比例值的乘积与当前时刻的前 一 次第二定时时 间统计的监控的IP集合的通信流量进行比较，在本实施例中，第二定时 时间可以为16秒。在本实施例中，当前监控的IP集合的当前时刻的通信 流量为当前监控的IP集合的实时通信流量。当当前监控的IP集合的当前 时刻的通信流量与该IP集合的攻击比例值的乘积不大于前一次第二定时 时间统计的该监控的IP集合的通信流量时，即预判该IP集合的通信流量
没有异常，执行步骤S506;当当前监控的IP集合的当前时刻的通信流量 与该IP集合的攻击比例值的乘积大于前一次第二定时时间统计的该监控 的IP集合的通信流量时，将该当前监控的IP集合的当前时刻的通信流量 与该IP集合的预判阈值进行比较。当该当前监控的IP集合的当前时刻的 通信流量大于该IP集合的预判阈值时，即预判该IP集合的通信流量异常， 则执行步骤S512。当判断该当前监控的IP集合的当前时刻的通信流量不 大于该IP集合的预判阈值时，即该IP集合的通信流量没有异常，则执行 步骤S5 06。
步骤S512，发送预判结果至第二监控实体。在本实施例中，预判结果 包括该IP集合的标识。
步骤S514,接收该预判结果，根据该预判结果中的IP集合的标识和 监控映射关系列表向监控该IP集合的子监控实体发送第二上报请求。该 第二上报请求包括该IP集合的标识。由于子监控实体可能同时监控多个
16IP集合，因此，需要通过IP集合的标识确认需要上传的IP集合的通信流 量。
步骤S516,子监控实体根据该第二上报请求中的IP集合的标识将在
前一次第二定时时间统计的该IP集合的所有通信流量发送至第二监控实 体，以统计该IP集合的总通信流量。在本实施例中，第二监控实体接收 所述所有子监控实体上报所述IP集合或IP段的第二定时时间的通信流 量，累加得到所述第一监控实体统计所述IP集合或IP段的第二定时时间 的通信流量。
步骤S518，判断该IP集合的所有通信流量是否大于该IP集合的攻击 阈值，也可以理解为该IP集合是否受到攻击。在本实施例中，第二监控 实体先统计在前一次第二定时时间的该IP集合的总通信流量，再将统计 后的该IP集合的总通信流量与该IP集合的攻击阈值进行比较，若统计后 的该IP集合的总通信流量大于该IP集合的攻击阈值，则判断该IP集合 受到攻击，则执行步骤S520。若统计后的该IP集合的总通信流量不大于 该IP集合的攻击阈值，则判断该IP集合没有受到攻击，则执行步骤S51()。
步骤S520，将判断结果发送至接入网，也可以理解为将监控结果发送 至4妻入网。
本发明实施例提供的监控方法，先通过第 一 监控实体中的子监控实体 对IP集合或IP段进行预判断，当预判断受到攻击时，再由统计该IP集 合或IP段的所有通信流量，再由第二监控实体进行一次判断，跟现有技 术相比，比现有技术多了一次判断，从而可以提高精确率；并且跟现有技 术用于检测IP集合或I P段相比，由于本发明实施例，是针对IP集合或 IP段进行判断，而无须判断每个IP是否受到攻击，从而可以提高检测的 效率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分 流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法 的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆
体(Read-Only Memory, ROM)或随才几存4诸i己忆体(Random Access Memory, RAM)等。
最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进 行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技 术人员应当理解其依然可以对本发明的技术方案进行修改或者等同替换， 而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的 精神和范围。
权利要求
1、一种分布式拒绝服务攻击的监控方法，其特征在于，所述监控实体包括第一监控实体和第二监控实体，所述第一监控实体与所述第二监控实体通信连接，所述方法包括所述第二监控实体接收所述第一监控实体统计监控的IP集合或IP段的第一定时时间的通信流量；所述第二监控实体根据所述统计的IP集合或IP段的第一定时时间的通信流量和IP集合或IP段的攻击阈值获得所述IP集合或IP段的预判值，并发送至所述第一监控实体；当所述第一监控实体根据所述IP集合或IP段的预判值确认所述IP集合或IP段的通信流量异常时，所述第二监控实体接收所述第一监控实体统计所述IP集合或IP段的第二定时时间的通信流量；当所述第二监控实体判断所述统计的所述第二定时时间的IP集合或IP段的通信流量大于所述IP集合或IP段的攻击阈值时，确认所述IP集合或IP段受到攻击。
2、 根据权利要求1所述的方法，其特征在于，所述预判值包括预判阈值 和攻击比例值，所述IP集合或IP段的攻击比例值是所述IP集合的攻击 阈值与所述统计的IP集合或IP段的第一定时时间的通信流量的比例值， 所述IP集合或IP段的预判阈值是所述IP集合或IP段的攻击阈值与所述 第 一监控实体中的子监控实体数量的比例值。
3、 根据权利要求2所述的方法，其特征在于，所述述第一监控实体根 据所述IP集合或IP段的预判值确认所述IP集合或IP段的通信流量异常 的步骤包括所述第一监控实体每隔所述第二定时时间将所述IP集合或IP段的当 前时刻的通信流量与攻击比例值的乘积跟当前时刻的前一次第二定时时 间统计的所述IP集合或IP段的通信流量进行比较；当所述IP集合或IP段的当前时刻的通信流量与攻击比例值的乘积大 于当前时刻的前一次第二定时时间统计的所述IP集合或IP段的通信流 量，将所述IP集合或IP段的当前时刻的通信流量与所述预判阈值进行比较；当所述IP集合或IP段的当前时刻的通信流量大于所述预判阈值，确 认所述IP集合或IP段的通信流量异常。
4、 根据权利要求1所述的方法，其特征在于，所述第一监控实体包括多 个子监控实体，所述第二监控实体接收所述第一监控实体统计监控的IP集 合或IP段的第一定时时间的通信流量的步骤包括创建监控映射关系列表，根据所述监控映射关系列表发送监控信息至 所述第 一监控实体的子监控实体，以使所述第 一监控实体的子监控实体标 识所监控的IP集合或IP段，其中，所述监控映射关系列表包括监控的IP 集合或工P段信息，所述第一监控实体的子监控实体信息，及所述第一监 控实体的子监控实体监控所述IP集合或IP段的IP信息；接收所述IP集合或IP段的标识，每隔第一定时时间发送第一上报请 求至所述第一监控实体的子监控实体，以使所述第一监控实体的子监控实 体上报统计的监控的所述IP的第一定时时间的通信流量；接收所述第一监控实体的子监控实体统计的监控的所述IP的第一定 时时间的通信流量，累加得到所述第一监控实体统计监控的IP集合或IP 段的第 一 定时时间的通信流量。
5、 根据权利要求4所迷的方法，其特征在于，所述第二监控实体接收 所述第一监控实体统计所述IP集合或IP段的第二定时时间的通信流量的 步骤包括接收所述第一监控实体发送的发生异常的IP集合或IP段的标识； 根据所述标识和监控映射关系列表发送第二上报请求至所述第 一 监 控实体中的监控所述IP集合或IP段的所有子监控实体；接收所述所有子监控实体上报所述IP集合或IP段的第二定时时间的 通信流量，累加得到所述第一监控实体统计所述IP集合或IP段的第二定 时时间的通信流量。
6、 一种监控设备，其特征在于，包括流量监控模块和分析模块； 所述分析模块用于接收所述流量监控模块统计监控的IP集合或IP段的第一定时时间的通信流量，并根据所述统计的IP集合或IP段的第一定 时时间的通信流量和IP集合或IP段的攻击阈值获得所述IP集合或IP段 的预判值；所述流量监控模块用于根据所述IP集合或IP段的预判值确认所述！P 集合或IP段的通信流量是否异常，当确认发生异常时，发送统计所述IP 集合或IP段的第二定时时间的通信流量至所述分析模块；其中，所述分析模块还用于当所述统计的所述第二定时时间的IP集 合或IP段的通信流量大于所述IP集合或IP段的攻击阈值时，确认所述 IP集合或IP段受到攻击。
7、 根据权利要求6所述的监控设备，其特征在于，所述预判值包括预 判阈值和攻击比例值，所述流量监控模块还用于每隔所述第二定时时间将 所述IP集合或IP ^:的当前时刻的通信流量与攻击比例值的乘积跟当前时 刻的前一次第二定时时间统计的所述IP集合或IP段的通信流量进行比 较，当所述IP集合或IP段的当前时刻的通信流量与攻击比例值的乘积大 于当前时刻的前一次第二定时时间统计的所述IP集合或IP段的通信流 量，将所述IP集合或IP段的当前时刻的通信流量与所述预判阈值进行比 较，当所述IP集合或IP段的当前时刻的通信流量大于所述预判阈值，确 认所述IP集合或IP段的通信流量异常。
8、 根据权利要求6所述的监控设备，其特征在于，所述流量监控模块包 括多个流量监控子才莫块，所述分析模块还用于创建监控映射关系列表，根掂 所述监控映射关系列表发送监控信息至所述流量监控模块中的流量监控子模块，所述监控映射关系列表包括监控的IP集合或IP段信息，所述流量 监控模块中的流量监控子模块信息，及所述流量监控模块中的流量监控子 模块监控所述IP集合或IP段的IP信息。
9、 根据权利要求8所述的监控设备，其特征在于，所述流量监控模块 还用于标识监控的IP集合或IP段，并发送所述分析模块；所述分析模块还用于接收所述IP集合或IP段的标识，并每隔第一定 时时间发送第一上报请求至所述流量监控模块，及接收所述流量监控模块 统计的所述IP集合或IP段的第一定时时间的通信流量。
10、 根据权利要求8所述的监控设备，其特征在于，所述流量监控模块 还用于当确认发生异常时，发送发生异常的IP集合或IP段的标识至所述 分析模块；所述分析模块还用于根据所述标识和监控映射关系列表发送第二上 报请求至所述流量监控模块中的监控所述IP集合或IP段的所有子模块， 并接收所述流量监控模块中的所有子模块发送的所述IP集合或TP段的第 二定时时间的所有通信流量。
全文摘要
本发明实施方式公开一种分布式拒绝服务攻击的监控方法，包括第一监控实体和第二监控实体，包括接收第一监控实体统计监控的IP集合或IP段的第一定时时间的通信流量；第二监控实体根据统计的IP集合或IP段的第一定时时间的通信流量和IP集合或IP段的攻击阈值获得IP集合或IP段的预判值，并发送至第一监控实体；当根据IP集合或IP段的预判值确认IP集合或IP段的通信流量异常时，第二监控实体接收第一监控实体统计IP集合或IP段的第二定时时间的通信流量；当判断统计的第二定时时间的IP集合或IP段的通信流量大于IP集合或IP段的攻击阈值时，确认IP集合或IP段受到攻击。本发明实施方式还提供监控设备，以提高检测效率和精确度。
文档编号H04L12/26GK101540761SQ20091005909
公开日2009年9月23日 申请日期2009年4月24日 优先权日2009年4月24日
发明者强 刘, 林 都 申请人:成都市华为赛门铁克科技有限公司