[发明专利]一种分布式拒绝服务攻击的监控方法和监控设备

权利要求书

1.一种分布式拒绝服务攻击的监控方法，其特征在于，监控实体包括 第一监控实体和第二监控实体，所述第一监控实体与所述第二监控实体通信 连接，所述方法包括：

所述第二监控实体接收所述第一监控实体统计监控的IP集合或IP段 的第一定时时间的通信流量；

所述第二监控实体根据所述统计的IP集合或IP段的第一定时时间的 通信流量和IP集合或IP段的攻击阈值获得所述IP集合或IP段的预判值， 并发送至所述第一监控实体，其中，所述预判值包括预判阈值和攻击比例 值，所述IP集合或IP段的攻击比例值是所述IP集合的攻击阈值与所述 统计的IP集合或IP段的第一定时时间的通信流量的比例值，所述IP集 合或IP段的预判阈值是所述IP集合或IP段的攻击阈值与所述第一监控 实体中的子监控实体数量的比例值；

当所述第一监控实体根据所述IP集合或IP段的预判值确认所述IP 集合或IP段的通信流量异常时，所述第二监控实体接收所述第一监控实 体统计所述IP集合或IP段的第二定时时间的通信流量，其中，所述第一 监控实体根据所述IP集合或IP段的预判值确认所述IP集合或IP段的通 信流量异常的步骤包括：所述第一监控实体每隔所述第二定时时间将所述 IP集合或IP段的当前时刻的通信流量与攻击比例值的乘积跟当前时刻的 前一次第二定时时间统计的所述IP集合或IP段的通信流量进行比较；当 所述IP集合或IP段的当前时刻的通信流量与攻击比例值的乘积大于当前 时刻的前一次第二定时时间统计的所述IP集合或IP段的通信流量，将所 述IP集合或IP段的当前时刻的通信流量与所述预判阈值进行比较；当所 述IP集合或IP段的当前时刻的通信流量大于所述预判阈值，确认所述IP 集合或IP段的通信流量异常；

当所述第二监控实体判断所述统计的所述第二定时时间的IP集合或 IP段的通信流量大于所述IP集合或IP段的攻击阈值时，确认所述IP集 合或IP段受到攻击。

2.根据权利要求1所述的方法，其特征在于，所述第一监控实体包括多 个子监控实体，所述第二监控实体接收所述第一监控实体统计监控的IP集 合或IP段的第一定时时间的通信流量的步骤包括：

创建监控映射关系列表，根据所述监控映射关系列表发送监控信息至 所述第一监控实体的子监控实体，以使所述第一监控实体的子监控实体标 识所监控的IP集合或IP段，其中，所述监控映射关系列表包括监控的IP 集合或IP段信息，所述第一监控实体的子监控实体信息，及所述第一监 控实体的子监控实体监控所述IP集合或IP段的IP信息；

接收所述IP集合或IP段的标识，每隔第一定时时间发送第一上报请 求至所述第一监控实体的子监控实体，以使所述第一监控实体的子监控实 体上报统计的监控的所述IP的第一定时时间的通信流量；

接收所述第一监控实体的子监控实体统计的监控的所述IP的第一定 时时间的通信流量，累加得到所述第一监控实体统计监控的IP集合或IP 段的第一定时时间的通信流量。

3.根据权利要求2所述的方法，其特征在于，所述第二监控实体接收 所述第一监控实体统计所述IP集合或IP段的第二定时时间的通信流量的 步骤包括：

接收所述第一监控实体发送的发生异常的IP集合或IP段的标识；

根据所述标识和监控映射关系列表发送第二上报请求至所述第一监 控实体中的监控所述IP集合或IP段的所有子监控实体；

接收所述所有子监控实体上报所述IP集合或IP段的第二定时时间的 通信流量，累加得到所述第一监控实体统计所述IP集合或IP段的第二定 时时间的通信流量。