專利名稱:一種分布式拒絕服務(wù)攻擊的監(jiān)控方法和監(jiān)控設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及計(jì)算機(jī)領(lǐng)域���,特別是涉及一種分布式拒絕服務(wù)攻擊的 監(jiān)控方法和監(jiān)控設(shè)備����。
背景技術(shù):
隨著互聯(lián)網(wǎng)的不斷發(fā)展,網(wǎng)絡(luò)攻擊不斷出現(xiàn)在互聯(lián)網(wǎng)中���,比較常見(jiàn)為
分布式拒絕服務(wù)攻擊(Distribution Denial of service, DDOS)����。
在現(xiàn)有技術(shù)中����,為了防止這種DDOS攻擊,業(yè)界通常在防火墻及入侵 檢測(cè)系統(tǒng)中�����,采用動(dòng)態(tài)基線的檢測(cè)方法來(lái)檢測(cè)是否受到DDOS攻擊��。通過(guò) 模型預(yù)測(cè)得到某個(gè)預(yù)測(cè)值�,再以該預(yù)測(cè)值作為參考����,來(lái)計(jì)算實(shí)際觀測(cè)值與 該預(yù)測(cè)值偏離大小,如果偏離超出 一 定范圍可以認(rèn)為受到攻擊。
發(fā)明人在實(shí)現(xiàn)本發(fā)明的過(guò)程中���,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺點(diǎn)現(xiàn) 有技術(shù)適用于單個(gè)IP的攻擊檢測(cè)���,并且現(xiàn)有技術(shù)只通過(guò)一次檢測(cè)就可認(rèn) 為是否受到攻擊,其精確度不高�。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種分布式拒絕服務(wù)攻擊的監(jiān)控方法和監(jiān)控設(shè)備, 以提高精確度���。
根據(jù)本發(fā)明的一方面�,提供一種分布式拒絕服務(wù)攻擊的監(jiān)控方法���,所 述監(jiān)控實(shí)體包括第 一監(jiān)控實(shí)體和第二監(jiān)控實(shí)體�,所述第 一監(jiān)控實(shí)體與所述第 二監(jiān)控實(shí)體通信連接���,所述方法包括
所述第二監(jiān)控實(shí)體接收所述第一監(jiān)控實(shí)體統(tǒng)計(jì)監(jiān)控的IP集合或IP段的第 一定時(shí)時(shí)間的通信流量���;
所述第二監(jiān)控實(shí)體根據(jù)所述統(tǒng)計(jì)的IP集合或IP段的第一定時(shí)時(shí)間的 通信流量和IP集合或IP段的攻擊閾值獲得所述IP集合或IP段的預(yù)判閾
值和攻擊比例值,并發(fā)送至所述第一監(jiān)控實(shí)體����;
當(dāng)所述第一監(jiān)控實(shí)體根據(jù)所述IP集合或IP段的預(yù)判閾值和攻擊比例 值確認(rèn)所述IP集合或IP段的通信流量異常時(shí),所述第二監(jiān)控實(shí)體接收所 述第一監(jiān)控實(shí)體統(tǒng)計(jì)所述IP集合或IP段的第二定時(shí)時(shí)間的通信流量;
當(dāng)所述第二監(jiān)控實(shí)體判斷所述統(tǒng)計(jì)的所述第二定時(shí)時(shí)間的IP集合或
IP段的通信流量大于所述IP集合或IP段的攻擊閾值時(shí)���,確認(rèn)所述IP集 合或IP段受到攻擊���。
根據(jù)本發(fā)明的另一方面,還提供一種監(jiān)控設(shè)備�,包括流量監(jiān)控模塊 和分析模塊;
所述分析模塊用于接收所述流量監(jiān)控模塊統(tǒng)計(jì)監(jiān)控的IP集合或IP段 的第一定時(shí)時(shí)間的通信流量����,并根據(jù)所述統(tǒng)計(jì)的IP集合或IP段的第一定 時(shí)時(shí)間的通信流量和IP集合或IP段的攻擊閾值獲得所述IP集合或IP段 的預(yù)判閾值和攻擊比例值;
所述流量監(jiān)控模塊用于根據(jù)所述IP集合或IP段的預(yù)判閾值和攻擊比 例值確認(rèn)所述IP集合或IP段的通信流量是否異常���,當(dāng)確認(rèn)發(fā)生異常時(shí)�����, 發(fā)送統(tǒng)計(jì)所述IP集合或IP段的第二定時(shí)時(shí)間的通信流量至所述分析模 塊��;
其中,所述分析^^莫塊還用于當(dāng)所述統(tǒng)計(jì)的所述第二定時(shí)時(shí)間的IP集 合或IP段的通信流量大于所述IP集合或IP段的攻擊閾值時(shí)�,確認(rèn)所述 IP集合或IP段受到攻擊。
采用上述提供的監(jiān)控方法和監(jiān)控設(shè)備�,先確認(rèn)IP集合或IP段的通信 流量是否發(fā)生異常,當(dāng)異常時(shí),再判斷該IP集合或IP段的通信流量是否 大于該IP集合或IP段的攻擊閾值�,從而確認(rèn)該IP集合或IP段受到攻擊,
7從而可以提高精確率�。
實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地����,下面描述中 的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不 付出創(chuàng)造性勞動(dòng)性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實(shí)施例的監(jiān)控設(shè)備的應(yīng)用環(huán)境圖����; 圖2為本發(fā)明實(shí)施例的監(jiān)控設(shè)備的結(jié)構(gòu)圖3為本發(fā)明實(shí)施例的分布式拒絕服務(wù)攻擊的監(jiān)控方法的總體流程
圖4為本發(fā)明實(shí)施例的分布式拒絕服務(wù)攻擊的監(jiān)控方法的具體流程圖。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn) 行清楚�、完整地描述,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����, 而不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒(méi) 有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的 范圍�����。
圖1為本發(fā)明實(shí)施例的監(jiān)控設(shè)備的應(yīng)用環(huán)境圖��。
在本實(shí)施例中�,用戶網(wǎng)域10通過(guò)分光i殳備20與4妻入網(wǎng)40通信連接, 分光設(shè)備20通過(guò)接入網(wǎng)40與網(wǎng)絡(luò)50通信連接�,分光設(shè)備20還通過(guò)監(jiān)控 設(shè)備30與接入網(wǎng)40通信連接����。在本實(shí)施例中�����,用戶網(wǎng)域10可以為城域 網(wǎng)����,也可以是局域網(wǎng)�����,即用戶網(wǎng)域10為多個(gè)IP組成的IP集合或IP段或 IP群����。在本實(shí)施例中,用戶網(wǎng)域10可以包括多個(gè)IP集合或IP段�。分光設(shè)備20用于將用戶網(wǎng)域10與接入網(wǎng)40的通信流量鏡像到監(jiān)控設(shè)備30, 監(jiān)控設(shè)備30用于監(jiān)控用戶網(wǎng)域10與接入網(wǎng)40的通信流量是否異常���,也 可以理解為監(jiān)控用戶網(wǎng)域10是否受到網(wǎng)絡(luò)攻擊�。在本實(shí)施例中�,網(wǎng)絡(luò)攻 擊可以為DDOS攻擊。監(jiān)控設(shè)備30還用于當(dāng)監(jiān)控用戶網(wǎng)域10的通信流量 發(fā)生異常時(shí)�����,即用戶網(wǎng)域10受到攻擊,發(fā)送監(jiān)控結(jié)果給接入網(wǎng)40�����,以使 接入網(wǎng)40做出處理����。可以認(rèn)為是限制通信流量或阻斷通信等等�。在本實(shí) 施例中,通信流量可以是TCP流量�����,也可以是UDP流量��,也可以是TCP和 UDP流量的總和�。
圖2為本發(fā)明實(shí)施例的監(jiān)控設(shè)備的結(jié)構(gòu)圖。
在本實(shí)施例中����,監(jiān)控設(shè)備30包括分流模塊31、流量監(jiān)控模塊32及分 析模塊33�����。流量監(jiān)控模塊32包括第一流量監(jiān)控子模塊321���、第二流量監(jiān) 控子模塊322.....第N流量監(jiān)控子模塊32N��。
由于城域網(wǎng)或局域網(wǎng)與接入網(wǎng)4 0的通信流量通常在幾十G�、或幾百G�����、 或幾千G�����,因此��,分流模塊31用于將分光設(shè)備20鏡像的通信流量分流至 流量監(jiān)控模塊32中的子模塊���,即流量監(jiān)控模塊32中的第一流量監(jiān)控子模
塊321�、第二流量監(jiān)控子模塊322.....第N流量監(jiān)控子模塊32N分別接
收分光設(shè)備20鏡像的通信流量中的部分通信流量�,此時(shí),可以理解每個(gè) 流量監(jiān)控子模塊相當(dāng)于一個(gè)流量通道��。在本實(shí)施例中,光流模塊31可以 按端口號(hào)進(jìn)行分流�,也可以按源地址和目的地址進(jìn)行分流,分流模塊31 采取的分流手段也不限于現(xiàn)有技術(shù)�����。
在本實(shí)施例中�,當(dāng)監(jiān)控設(shè)備30需要對(duì)用戶網(wǎng)域10進(jìn)行監(jiān)控時(shí),監(jiān)控 設(shè)備30通過(guò)用戶界面接收網(wǎng)管的操作信息�,該操作信息為監(jiān)控用戶網(wǎng)域 IO的信息,即監(jiān)控哪些IP集合或IP段的信息�����,在本實(shí)施例中�,可以由分 析模塊31接收該操作信息。在本實(shí)施例中���,為了更清楚地進(jìn)行說(shuō)明�����,以 IP集為例�。分析模塊33用于創(chuàng)建監(jiān)控映射關(guān)系列表,根據(jù)監(jiān)控映射關(guān)系 列表發(fā)送監(jiān)控信息至流量監(jiān)控模塊32����。監(jiān)控映射關(guān)系列表是監(jiān)控的IP集
9合信息、流量監(jiān)控模塊32中的流量監(jiān)控子模塊監(jiān)控該IP集合的IP信息
和流量監(jiān)控模塊32中的流量監(jiān)控子模塊信息的對(duì)應(yīng)映射關(guān)系列表�����,可以 理解為流量監(jiān)控模塊32中的某個(gè)流量監(jiān)控子模塊監(jiān)控某個(gè)IP集合��,并監(jiān) 控該IP集合的部分或全部IP�����。由于IP集合為多個(gè)工P組成的群�,監(jiān)控信 息包括監(jiān)控的IP集合信息和該IP集合的監(jiān)控的IP信息����。在本實(shí)施例中, 監(jiān)控映射關(guān)系列表中的流量監(jiān)控模塊32中的流量監(jiān)控子模塊信息可以為 流量監(jiān)控子模塊的標(biāo)識(shí)信息����,也可以為流量監(jiān)控子模塊的名稱信息。由于 IP集合為一長(zhǎng)串的字符串����,因此�,IP集合信息為字符串信息��,每個(gè)IP集 合都具有自身的字符串���。
在本實(shí)施例中�����,分析模塊33還用于根據(jù)監(jiān)控映射關(guān)系列表將監(jiān)控的 IP集合信息和該IP集合的監(jiān)控的IP信息發(fā)送至對(duì)應(yīng)的流量監(jiān)控模塊32 中的流量監(jiān)控子模塊��。
在本實(shí)施例中��,可以為流量監(jiān)控模塊32中的部分流量監(jiān)控子模塊分 配監(jiān)控的IP,也可以為所有流量監(jiān)控子模塊分配監(jiān)控的IP��。舉例說(shuō)明����, 假設(shè)用戶網(wǎng)域10具有一個(gè)IP集合時(shí)��,IP集合包括10個(gè)IP���,流量監(jiān)控模 塊32包括3個(gè)流量監(jiān)控子模塊�����,即第一流量監(jiān)控子模塊321�、第二流量監(jiān) 控子模塊322及第三流量監(jiān)控子模塊323,分析模塊33可以為第一流量監(jiān) 控子模塊321分配IP集合中的任意3個(gè)�����,為第二流量監(jiān)控子模塊322分 配IP集合的剩余7個(gè)IP中任意3個(gè)�����,為第三流量監(jiān)控子模塊32 3分配IP 集合的剩余4個(gè)���。當(dāng)然,以上只是舉例而已���。當(dāng)用戶網(wǎng)i^戈10具有多個(gè)If〕
集合時(shí)���,包括第一IP集合、第二IP集合.....第NIP集合����。分析模塊33
可以先分配IP集合,再分配IP集合中的IP。
流量監(jiān)控模塊32中的第一流量監(jiān)控子模塊321��、第二流量監(jiān)控子模塊
322.....第N流量監(jiān)控子模塊32N用于分別接收分析模塊33發(fā)送的監(jiān)控
信息�,并標(biāo)識(shí)監(jiān)控信息中的IP集合,及統(tǒng)計(jì)該IP集合的IP的通信流量��。 在本實(shí)施例中�,流量監(jiān)控模塊32中的流量監(jiān)控子模塊各自標(biāo)識(shí)監(jiān)控信息中的IP集合,并各自統(tǒng)計(jì)該監(jiān)控的IP集合的監(jiān)控的IP的通信流量���。在
本實(shí)施例中�,流量監(jiān)控模塊W中的第一流量監(jiān)控子模塊321��、第二流量監(jiān)
控子模塊322.....第N流量監(jiān)控子模塊32N還用于當(dāng)標(biāo)識(shí)監(jiān)控信息中的
IP集合后����,將該IP集合的標(biāo)識(shí)發(fā)送至分析模塊33存儲(chǔ)于監(jiān)控映射關(guān)系列 表。在本實(shí)施例中�����,由于IP集合為一長(zhǎng)串的字符串�����,因此,對(duì)IP集合進(jìn) 行標(biāo)識(shí)����,方便操作。舉例說(shuō)明����,若第一流量監(jiān)控子模塊321監(jiān)控第一 IP 集合,則對(duì)第一 IP集合用數(shù)字或字母進(jìn)行標(biāo)識(shí)����。若第二流量監(jiān)控子模塊 322也監(jiān)控第一 IP集合,則對(duì)第一 IP集合采用與第一流量監(jiān)控子模塊321 相同的標(biāo)識(shí)���,即流量監(jiān)控模塊32針對(duì)同一個(gè)IP集合采用相同的數(shù)字或字 母進(jìn)行標(biāo)識(shí)��,可以在流量監(jiān)控模塊32內(nèi)部設(shè)置一個(gè)具有管理第一流量監(jiān)
控子模塊321、第二流量監(jiān)控子模塊322.....第N流量監(jiān)控子模塊32N
功能的模塊����,來(lái)管理標(biāo)識(shí)的規(guī)則。
在本實(shí)施例中��,分析模塊33還用于每隔第一定時(shí)時(shí)間向流量監(jiān)控模
塊32中的第一流量監(jiān)控子模塊321�、第二流量監(jiān)控子模塊322 .....第N
流量監(jiān)控子模塊32N發(fā)送第一上報(bào)請(qǐng)求��。在本實(shí)施例中��,第一定時(shí)時(shí)間可 以為160秒��,當(dāng)然���,可以理解的是,也可以另外設(shè)置時(shí)間��。該第一上報(bào)請(qǐng) 求用于通知流量監(jiān)控模塊32中的流量監(jiān)控子模塊將每隔第一定時(shí)時(shí)間統(tǒng) 計(jì)的監(jiān)控的IP集合的流量上報(bào)給分析模塊33��。
流量監(jiān)控模塊32中的第一流量監(jiān)控子模塊321���、第二流量監(jiān)控子模塊
322 .....第N流量監(jiān)控子模塊32N還用于接收分析模塊33發(fā)送的第一上
報(bào)請(qǐng)求后����,將該第一定時(shí)時(shí)間內(nèi)統(tǒng)計(jì)的通信流量發(fā)送于分析模塊33���。
分析模塊33還用于統(tǒng)計(jì)流量監(jiān)控模塊32發(fā)送的通信流量��,根據(jù)統(tǒng)計(jì) 的通信流量和IP集合的攻擊閾值獲得該IP集合的預(yù)判值�����。在本實(shí)施例中����, 所述預(yù)判值包括預(yù)判閾值和攻擊比例值,攻擊比例值為工P集合的攻擊閾值 與該統(tǒng)計(jì)的通信流量的比例值����,攻擊比例值=該IP集合的攻擊閾值/該統(tǒng) 計(jì)的通信流量;預(yù)判闊值為IP集合的攻擊閾值與監(jiān)控該IP集合的流量監(jiān)
ii控子模塊的總數(shù)的比例值����,即預(yù)判閾值=IP集合的攻擊閾值/監(jiān)控該IP 集合的流量監(jiān)控子模塊的總數(shù)。在本實(shí)施例中��,監(jiān)控設(shè)備30剛開(kāi)始監(jiān)控 時(shí)��,IP集合的攻擊閾值為通過(guò)網(wǎng)管預(yù)先設(shè)置����,也可以隨時(shí)進(jìn)行更新。
分析模塊33還用于根據(jù)監(jiān)控映射關(guān)系列表將IP集合的預(yù)判閾值和攻 擊比例值發(fā)送至對(duì)應(yīng)的流量監(jiān)控模塊32中的流量監(jiān)控子模塊���。
流量監(jiān)控模塊32中的第一流量監(jiān)控子模塊321、第二流量監(jiān)控子模塊
322.....第N流量監(jiān)控子模塊32N還用于每隔第二定時(shí)時(shí)間根據(jù)IP集合
的預(yù)判閾值和攻擊比例值判斷當(dāng)前監(jiān)控的IP集合的通信流量是否異常��。 在本實(shí)施例中,流量監(jiān)控模塊32中的第一流量監(jiān)控子模塊321���、第二流量
監(jiān)控子模塊322.....第N流量監(jiān)控子模塊32N還用于每隔第二定時(shí)時(shí)間
統(tǒng)計(jì)監(jiān)控的IP集合的通信流量�����,并每隔第二定時(shí)時(shí)間將監(jiān)控的IP集合的 當(dāng)前時(shí)刻的通信流量與攻擊比例值的乘積跟當(dāng)前時(shí)刻的前 一 次第二定時(shí) 時(shí)間統(tǒng)計(jì)的監(jiān)控的IP集合的通信流量進(jìn)行比較����。在本實(shí)施例中�,監(jiān)控的 IP集合的當(dāng)前時(shí)刻的通信流量為當(dāng)前監(jiān)控的IP集合的實(shí)時(shí)通信流量。在 本實(shí)施例中��,此時(shí)的第二定時(shí)時(shí)間可以為16秒���,當(dāng)然也可以為其他時(shí)間 值��?��?梢岳斫鉃榱髁勘O(jiān)控模塊32中的子模塊每第二定時(shí)時(shí)間判斷一次, 即每過(guò)16秒就判斷一次�����,當(dāng)過(guò)16秒后,就將當(dāng)前時(shí)刻監(jiān)控的IP集合的 通信流量與攻擊比例值的乘積與當(dāng)前時(shí)刻的前16秒統(tǒng)計(jì)的監(jiān)控的IP集合 的通信流量進(jìn)行比較�。
當(dāng)當(dāng)前監(jiān)控的IP集合的通信流量與該IP集合的攻擊比例值的乘積大 于前一次第二定時(shí)時(shí)間統(tǒng)計(jì)的該監(jiān)控的IP集合的通信流量時(shí),將該當(dāng)前 監(jiān)控的IP集合的通信流量與該IP集合的預(yù)判閾值進(jìn)行比較�。當(dāng)該當(dāng)前監(jiān) 控的IP集合的通信流量大于該IP集合的預(yù)判閾值時(shí),即預(yù)判該IP集合 的通信流量發(fā)生異常��,發(fā)送預(yù)判結(jié)果至分析模塊33�。在本實(shí)施例中,預(yù)判 結(jié)果包括發(fā)生異常的該IP集合的標(biāo)識(shí)����。在本實(shí)施例中,流量監(jiān)控模塊32 中子模塊各自單獨(dú)進(jìn)行判斷��,并將判斷結(jié)果發(fā)送至分析模塊33�����。分析模塊33還用于當(dāng)收到預(yù)判結(jié)果時(shí)�,根據(jù)監(jiān)控映射關(guān)系列表向監(jiān) 控該IP集合的流量監(jiān)控子模塊發(fā)送第二上報(bào)請(qǐng)求,以獲取該IP集合的所
有通信流量�����。在本實(shí)施例中�,分析模塊33根據(jù)預(yù)判結(jié)果中的IP集合的標(biāo)
識(shí)查找監(jiān)控該IP集合的流量監(jiān)控子模塊。該第二上報(bào)請(qǐng)求包括該IP集合
的標(biāo)識(shí)����。
流量監(jiān)控模塊32中的子模塊還用于接收該第二上報(bào)請(qǐng)求后,根據(jù)第 二上報(bào)請(qǐng)求中的該IP集合的標(biāo)識(shí)�,將前一次第二定時(shí)時(shí)間統(tǒng)計(jì)的該監(jiān)控 該IP集合的通信流量發(fā)送至分析模塊33。由于每個(gè)子模塊可能同時(shí)監(jiān)控 多個(gè)IP集合����,因此,需要先確認(rèn)是上報(bào)哪個(gè)IP集合的通信流量��。
分析模塊33還用于統(tǒng)計(jì)流量監(jiān)控模塊32發(fā)送的該前一次第二定時(shí)時(shí) 間統(tǒng)計(jì)的該IP集合的通信流量��,并當(dāng)統(tǒng)計(jì)完成后�����,判斷該IP集合是否受 到攻擊�。在本實(shí)施例中,將統(tǒng)計(jì)后的該IP集合的總通信流量與該IP集合 的攻擊閾值進(jìn)行比較���,若統(tǒng)計(jì)后的該IP集合的總通信流量大于該IP集合 的攻擊閾值�,則判斷該IP集合受到攻擊。當(dāng)分析模塊33還用于當(dāng)判斷該 IP集合受到攻擊時(shí)����,發(fā)送該判斷結(jié)果給接入網(wǎng)40。也可以理解為發(fā)送監(jiān) 控結(jié)果給接入網(wǎng)4 0�。
在本實(shí)施例中,分析模塊33和流量監(jiān)控模塊32也可以單獨(dú)作為一個(gè) 設(shè)備��,比如將流量監(jiān)控模塊32作為第一監(jiān)控實(shí)體����,分析模塊33作為第二 監(jiān)控實(shí)體,從而監(jiān)控設(shè)備30可以作為一個(gè)監(jiān)控實(shí)體�,也可以認(rèn)為是一個(gè) 監(jiān)控系統(tǒng),當(dāng)流量監(jiān)控模塊32和分析模塊33作為監(jiān)控實(shí)體時(shí)����,其監(jiān)控的 功能與其作為模塊時(shí)的功能是相同。
本發(fā)明實(shí)施例提供的監(jiān)控設(shè)備����,先通過(guò)流量監(jiān)控模塊中的子模塊對(duì)IP 集合或IP段進(jìn)行預(yù)判斷,當(dāng)預(yù)判斷受到攻擊時(shí)��,再統(tǒng)計(jì)該IP集合或IP 段的所有通信流量����,再進(jìn)行一次判斷�,跟現(xiàn)有技術(shù)相比�����,比現(xiàn)有技術(shù)多了 一次判斷��,從而可以提高精確率���;并且跟現(xiàn)有技術(shù)用于檢測(cè)IP集合或I P段相比,由于本發(fā)明實(shí)施例��,是針對(duì)IP集合或IP段進(jìn)行判斷����,而無(wú)須
13判斷每個(gè)IP是否受到攻擊,從而可以提高檢測(cè)的效率���。
圖3為本發(fā)明實(shí)施例的分布式拒絕服務(wù)攻擊的監(jiān)控方法的總體流程 圖�����。在本實(shí)施例中���,所述方法應(yīng)用于監(jiān)控實(shí)體監(jiān)控IP集合或IP段�����,所述監(jiān) 控實(shí)體包括第一監(jiān)控實(shí)體和第二監(jiān)控實(shí)體����,所述第一監(jiān)控實(shí)體與所述第二監(jiān) 控實(shí)體通信連接���,所述第一監(jiān)控實(shí)體包括多個(gè)子監(jiān)控實(shí)體�����,在本實(shí)施例中����, 以IP集合作為實(shí)施例進(jìn)行說(shuō)明���,IP段的實(shí)施例方式跟IP集合相同����,在此 不再贅述���。
在本實(shí)施例中�����,步驟S400���,第二監(jiān)控實(shí)體接收所述第一監(jiān)控實(shí)體統(tǒng)計(jì) 監(jiān)控的IP集合的第一定時(shí)時(shí)間的通信流量���。
步驟S402,第二監(jiān)控實(shí)體根據(jù)所述統(tǒng)計(jì)的IP集合的第一定時(shí)時(shí)間的 通信流量和IP集合的攻擊閾值獲得所述IP集合的預(yù)判值����,并發(fā)送至所述 第一監(jiān)控實(shí)體。
步驟S404,第一監(jiān)控實(shí)體根據(jù)該IP集合的預(yù)判值判斷該IP集合的通 信流量是否異常�。
若判斷異常,則執(zhí)行步驟S406;若判斷沒(méi)有異常�,則執(zhí)行步驟S4()()。
步驟S406����,第二監(jiān)控實(shí)體接收所述第一監(jiān)控實(shí)體統(tǒng)計(jì)所述IP集合的 第二定時(shí)時(shí)間的通信流量。
步驟S408,第二監(jiān)控實(shí)體判斷該IP集合的通信流量是否大于該IP集 合的攻擊閾值��,也可以理解為該IP集合是否受到攻擊���。
若判斷該IP集合的通信流量大于該IP集合的攻擊閾值��,即判斷該IP 集合受到攻擊����,則執(zhí)行步驟S410;若判斷該IP集合的通信流量不大于該 IP集合的攻擊闊值,即該IP集合沒(méi)有受到攻擊�����,則執(zhí)行步驟S404����。
步驟S410,將判斷結(jié)果發(fā)送于接入網(wǎng)�����,也可理解為將監(jiān)控結(jié)果發(fā)送于 接入網(wǎng)��。
圖4為本發(fā)明實(shí)施例的分布式拒絕服務(wù)攻擊的監(jiān)控方法的具體流程 圖����。在本實(shí)施例應(yīng)用于兩個(gè)監(jiān)控實(shí)體,分別為第一監(jiān)控實(shí)體和第二監(jiān)控實(shí)
14體�,第一監(jiān)控實(shí)體包括多個(gè)子監(jiān)控實(shí)體���。當(dāng)該兩個(gè)監(jiān)控實(shí)體開(kāi)始工作時(shí), 第二監(jiān)控實(shí)體首先創(chuàng)建監(jiān)控映射關(guān)系列表��,監(jiān)控映射關(guān)系列表是監(jiān)控的IP 集合信息��、該IP集合的監(jiān)控的IP信息和第一監(jiān)控實(shí)體中的子監(jiān)控實(shí)體信 息的對(duì)應(yīng)映射關(guān)系列表����。第二監(jiān)控實(shí)體根據(jù)該監(jiān)控映射關(guān)系列表發(fā)送監(jiān)控 的IP集合信息及監(jiān)控的IP信息至第一監(jiān)控實(shí)體中的子監(jiān)控實(shí)體。
步驟S500,獲得需要監(jiān)控的IP集合信息及該IP集合的監(jiān)控的IP信
息����。在本實(shí)施例中��,由于IP集合是由多個(gè)IP組成的群�����,第一監(jiān)控實(shí)體中 的子監(jiān)控實(shí)體需要分別獲得各自監(jiān)控的IP集合信息及該IP集合的監(jiān)控的 IP信息��。在本實(shí)施例中�����,子監(jiān)控實(shí)體可以監(jiān)控某個(gè)IP集合中的部分IP, 也可以監(jiān)控該IP集合中的所有IP�,因此,需要獲得具體監(jiān)控的IP��。
步驟S502����,標(biāo)識(shí)該IP集合,并發(fā)送IP集合的標(biāo)識(shí)至第二監(jiān)控實(shí)體存 儲(chǔ)于監(jiān)控映射關(guān)系列表���。
步驟S504����,所述第二監(jiān)控實(shí)體接收該IP集合的標(biāo)識(shí)�,每隔第一定時(shí) 時(shí)間發(fā)送第一上報(bào)請(qǐng)求至所述第一監(jiān)控實(shí)體的子監(jiān)控實(shí)體。
步驟S506����,當(dāng)?shù)谝槐O(jiān)控實(shí)體接收到第二監(jiān)控實(shí)體的每隔第一定時(shí)時(shí)間 發(fā)送的第一上報(bào)請(qǐng)求時(shí),發(fā)送該第一定時(shí)時(shí)間統(tǒng)計(jì)的該監(jiān)控的IP集合的 通信流量至第二監(jiān)控實(shí)體�。在本實(shí)施例中,第一定時(shí)時(shí)間可以為160秒���, 當(dāng)然也可以為其他時(shí)間值��。在本實(shí)施例中��,每個(gè)子監(jiān)控實(shí)體發(fā)送該第一定 時(shí)時(shí)間統(tǒng)計(jì)的該監(jiān)控的IP集合的監(jiān)控的IP的通信流量至第二監(jiān)控實(shí)體����。
步驟S508,第二監(jiān)控實(shí)體根據(jù)接收的該IP集合的通信流量和該IP集 合的攻擊閾值獲得該IP集合的預(yù)判值�����,并發(fā)送該IP集合的預(yù)判閾值和攻 擊比例值至第一監(jiān)控實(shí)體��。在本實(shí)施例中�����,第二監(jiān)控實(shí)體接收所述第一監(jiān) 控實(shí)體的子監(jiān)控實(shí)體統(tǒng)計(jì)的監(jiān)控的所述IP的第一定時(shí)時(shí)間的通信流量���, 累加得到所述第一監(jiān)控實(shí)體統(tǒng)計(jì)監(jiān)控的IP集合或IP段的第一定時(shí)時(shí)間的
通信流量o
步驟S510,第一監(jiān)控實(shí)體中的子監(jiān)控實(shí)體根據(jù)該IP集合的預(yù)判值判斷該IP集合的通信流量是否異常���。在本實(shí)施例中���,所述預(yù)判值包括預(yù)判閾 值和攻擊比例值��,所述IP集合或IP段的攻擊比例值是所述IP集合的攻 擊閾值與所述統(tǒng)計(jì)的IP集合或IP段的第一定時(shí)時(shí)間的通信流量的比例 值�,所述IP集合或IP段的預(yù)判閾值是所述IP集合或IP段的攻擊閾值與 所述第一監(jiān)控實(shí)體中的子監(jiān)控實(shí)體數(shù)量的比例值�����。將當(dāng)前監(jiān)控的IP集合 的當(dāng)前時(shí)刻的通信流量與攻擊比例值的乘積與每隔第二定時(shí)時(shí)間統(tǒng)計(jì)的 監(jiān)控的IP集合的通信流量進(jìn)行比較��。進(jìn)一步����,將當(dāng)前監(jiān)控的IP集合的當(dāng) 前時(shí)刻的通信流量與攻擊比例值的乘積與當(dāng)前時(shí)刻的前 一 次第二定時(shí)時(shí) 間統(tǒng)計(jì)的監(jiān)控的IP集合的通信流量進(jìn)行比較,在本實(shí)施例中����,第二定時(shí) 時(shí)間可以為16秒。在本實(shí)施例中��,當(dāng)前監(jiān)控的IP集合的當(dāng)前時(shí)刻的通信 流量為當(dāng)前監(jiān)控的IP集合的實(shí)時(shí)通信流量�。當(dāng)當(dāng)前監(jiān)控的IP集合的當(dāng)前 時(shí)刻的通信流量與該IP集合的攻擊比例值的乘積不大于前一次第二定時(shí) 時(shí)間統(tǒng)計(jì)的該監(jiān)控的IP集合的通信流量時(shí),即預(yù)判該IP集合的通信流量
沒(méi)有異常���,執(zhí)行步驟S506;當(dāng)當(dāng)前監(jiān)控的IP集合的當(dāng)前時(shí)刻的通信流量 與該IP集合的攻擊比例值的乘積大于前一次第二定時(shí)時(shí)間統(tǒng)計(jì)的該監(jiān)控 的IP集合的通信流量時(shí)���,將該當(dāng)前監(jiān)控的IP集合的當(dāng)前時(shí)刻的通信流量 與該IP集合的預(yù)判閾值進(jìn)行比較���。當(dāng)該當(dāng)前監(jiān)控的IP集合的當(dāng)前時(shí)刻的 通信流量大于該IP集合的預(yù)判閾值時(shí),即預(yù)判該IP集合的通信流量異常����, 則執(zhí)行步驟S512。當(dāng)判斷該當(dāng)前監(jiān)控的IP集合的當(dāng)前時(shí)刻的通信流量不 大于該IP集合的預(yù)判閾值時(shí)�����,即該IP集合的通信流量沒(méi)有異常����,則執(zhí)行 步驟S5 06。
步驟S512�����,發(fā)送預(yù)判結(jié)果至第二監(jiān)控實(shí)體�����。在本實(shí)施例中���,預(yù)判結(jié)果 包括該IP集合的標(biāo)識(shí)�。
步驟S514,接收該預(yù)判結(jié)果���,根據(jù)該預(yù)判結(jié)果中的IP集合的標(biāo)識(shí)和 監(jiān)控映射關(guān)系列表向監(jiān)控該IP集合的子監(jiān)控實(shí)體發(fā)送第二上報(bào)請(qǐng)求�。該 第二上報(bào)請(qǐng)求包括該IP集合的標(biāo)識(shí)��。由于子監(jiān)控實(shí)體可能同時(shí)監(jiān)控多個(gè)
16IP集合���,因此�,需要通過(guò)IP集合的標(biāo)識(shí)確認(rèn)需要上傳的IP集合的通信流 量����。
步驟S516,子監(jiān)控實(shí)體根據(jù)該第二上報(bào)請(qǐng)求中的IP集合的標(biāo)識(shí)將在
前一次第二定時(shí)時(shí)間統(tǒng)計(jì)的該IP集合的所有通信流量發(fā)送至第二監(jiān)控實(shí) 體,以統(tǒng)計(jì)該IP集合的總通信流量����。在本實(shí)施例中,第二監(jiān)控實(shí)體接收 所述所有子監(jiān)控實(shí)體上報(bào)所述IP集合或IP段的第二定時(shí)時(shí)間的通信流 量����,累加得到所述第一監(jiān)控實(shí)體統(tǒng)計(jì)所述IP集合或IP段的第二定時(shí)時(shí)間 的通信流量。
步驟S518����,判斷該IP集合的所有通信流量是否大于該IP集合的攻擊 閾值�����,也可以理解為該IP集合是否受到攻擊���。在本實(shí)施例中,第二監(jiān)控 實(shí)體先統(tǒng)計(jì)在前一次第二定時(shí)時(shí)間的該IP集合的總通信流量����,再將統(tǒng)計(jì) 后的該IP集合的總通信流量與該IP集合的攻擊閾值進(jìn)行比較,若統(tǒng)計(jì)后 的該IP集合的總通信流量大于該IP集合的攻擊閾值�,則判斷該IP集合 受到攻擊,則執(zhí)行步驟S520��。若統(tǒng)計(jì)后的該IP集合的總通信流量不大于 該IP集合的攻擊閾值�����,則判斷該IP集合沒(méi)有受到攻擊�,則執(zhí)行步驟S51()。
步驟S520�,將判斷結(jié)果發(fā)送至接入網(wǎng),也可以理解為將監(jiān)控結(jié)果發(fā)送 至4妻入網(wǎng)�。
本發(fā)明實(shí)施例提供的監(jiān)控方法��,先通過(guò)第 一 監(jiān)控實(shí)體中的子監(jiān)控實(shí)體 對(duì)IP集合或IP段進(jìn)行預(yù)判斷,當(dāng)預(yù)判斷受到攻擊時(shí)�����,再由統(tǒng)計(jì)該IP集 合或IP段的所有通信流量��,再由第二監(jiān)控實(shí)體進(jìn)行一次判斷����,跟現(xiàn)有技 術(shù)相比,比現(xiàn)有技術(shù)多了一次判斷����,從而可以提高精確率;并且跟現(xiàn)有技 術(shù)用于檢測(cè)IP集合或I P段相比�����,由于本發(fā)明實(shí)施例���,是針對(duì)IP集合或 IP段進(jìn)行判斷��,而無(wú)須判斷每個(gè)IP是否受到攻擊����,從而可以提高檢測(cè)的 效率。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分 流程�,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�,該程序在執(zhí)行時(shí),可包括如上述各方法 的實(shí)施例的流程�����。其中���,所述的存儲(chǔ)介質(zhì)可為磁碟�����、光盤����、只讀存儲(chǔ)記憶
體(Read-Only Memory, ROM)或隨才幾存4諸i己憶體(Random Access Memory, RAM)等�。
最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn) 行限制,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明����,本領(lǐng)域的普通技 術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換���, 而這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的 精神和范圍。
權(quán)利要求
1��、一種分布式拒絕服務(wù)攻擊的監(jiān)控方法����,其特征在于����,所述監(jiān)控實(shí)體包括第一監(jiān)控實(shí)體和第二監(jiān)控實(shí)體,所述第一監(jiān)控實(shí)體與所述第二監(jiān)控實(shí)體通信連接����,所述方法包括所述第二監(jiān)控實(shí)體接收所述第一監(jiān)控實(shí)體統(tǒng)計(jì)監(jiān)控的IP集合或IP段的第一定時(shí)時(shí)間的通信流量;所述第二監(jiān)控實(shí)體根據(jù)所述統(tǒng)計(jì)的IP集合或IP段的第一定時(shí)時(shí)間的通信流量和IP集合或IP段的攻擊閾值獲得所述IP集合或IP段的預(yù)判值���,并發(fā)送至所述第一監(jiān)控實(shí)體����;當(dāng)所述第一監(jiān)控實(shí)體根據(jù)所述IP集合或IP段的預(yù)判值確認(rèn)所述IP集合或IP段的通信流量異常時(shí)��,所述第二監(jiān)控實(shí)體接收所述第一監(jiān)控實(shí)體統(tǒng)計(jì)所述IP集合或IP段的第二定時(shí)時(shí)間的通信流量���;當(dāng)所述第二監(jiān)控實(shí)體判斷所述統(tǒng)計(jì)的所述第二定時(shí)時(shí)間的IP集合或IP段的通信流量大于所述IP集合或IP段的攻擊閾值時(shí)�����,確認(rèn)所述IP集合或IP段受到攻擊����。
2、 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述預(yù)判值包括預(yù)判閾值 和攻擊比例值����,所述IP集合或IP段的攻擊比例值是所述IP集合的攻擊 閾值與所述統(tǒng)計(jì)的IP集合或IP段的第一定時(shí)時(shí)間的通信流量的比例值, 所述IP集合或IP段的預(yù)判閾值是所述IP集合或IP段的攻擊閾值與所述 第 一監(jiān)控實(shí)體中的子監(jiān)控實(shí)體數(shù)量的比例值���。
3���、 根據(jù)權(quán)利要求2所述的方法,其特征在于�����,所述述第一監(jiān)控實(shí)體根 據(jù)所述IP集合或IP段的預(yù)判值確認(rèn)所述IP集合或IP段的通信流量異常 的步驟包括所述第一監(jiān)控實(shí)體每隔所述第二定時(shí)時(shí)間將所述IP集合或IP段的當(dāng) 前時(shí)刻的通信流量與攻擊比例值的乘積跟當(dāng)前時(shí)刻的前一次第二定時(shí)時(shí) 間統(tǒng)計(jì)的所述IP集合或IP段的通信流量進(jìn)行比較;當(dāng)所述IP集合或IP段的當(dāng)前時(shí)刻的通信流量與攻擊比例值的乘積大 于當(dāng)前時(shí)刻的前一次第二定時(shí)時(shí)間統(tǒng)計(jì)的所述IP集合或IP段的通信流 量���,將所述IP集合或IP段的當(dāng)前時(shí)刻的通信流量與所述預(yù)判閾值進(jìn)行比較�;當(dāng)所述IP集合或IP段的當(dāng)前時(shí)刻的通信流量大于所述預(yù)判閾值�,確 認(rèn)所述IP集合或IP段的通信流量異常。
4�、 根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述第一監(jiān)控實(shí)體包括多 個(gè)子監(jiān)控實(shí)體�,所述第二監(jiān)控實(shí)體接收所述第一監(jiān)控實(shí)體統(tǒng)計(jì)監(jiān)控的IP集 合或IP段的第一定時(shí)時(shí)間的通信流量的步驟包括創(chuàng)建監(jiān)控映射關(guān)系列表���,根據(jù)所述監(jiān)控映射關(guān)系列表發(fā)送監(jiān)控信息至 所述第 一監(jiān)控實(shí)體的子監(jiān)控實(shí)體��,以使所述第 一監(jiān)控實(shí)體的子監(jiān)控實(shí)體標(biāo) 識(shí)所監(jiān)控的IP集合或IP段�,其中�,所述監(jiān)控映射關(guān)系列表包括監(jiān)控的IP 集合或工P段信息,所述第一監(jiān)控實(shí)體的子監(jiān)控實(shí)體信息�����,及所述第一監(jiān) 控實(shí)體的子監(jiān)控實(shí)體監(jiān)控所述IP集合或IP段的IP信息�;接收所述IP集合或IP段的標(biāo)識(shí),每隔第一定時(shí)時(shí)間發(fā)送第一上報(bào)請(qǐng) 求至所述第一監(jiān)控實(shí)體的子監(jiān)控實(shí)體,以使所述第一監(jiān)控實(shí)體的子監(jiān)控實(shí) 體上報(bào)統(tǒng)計(jì)的監(jiān)控的所述IP的第一定時(shí)時(shí)間的通信流量���;接收所述第一監(jiān)控實(shí)體的子監(jiān)控實(shí)體統(tǒng)計(jì)的監(jiān)控的所述IP的第一定 時(shí)時(shí)間的通信流量����,累加得到所述第一監(jiān)控實(shí)體統(tǒng)計(jì)監(jiān)控的IP集合或IP 段的第 一 定時(shí)時(shí)間的通信流量���。
5����、 根據(jù)權(quán)利要求4所迷的方法���,其特征在于���,所述第二監(jiān)控實(shí)體接收 所述第一監(jiān)控實(shí)體統(tǒng)計(jì)所述IP集合或IP段的第二定時(shí)時(shí)間的通信流量的 步驟包括接收所述第一監(jiān)控實(shí)體發(fā)送的發(fā)生異常的IP集合或IP段的標(biāo)識(shí); 根據(jù)所述標(biāo)識(shí)和監(jiān)控映射關(guān)系列表發(fā)送第二上報(bào)請(qǐng)求至所述第 一 監(jiān) 控實(shí)體中的監(jiān)控所述IP集合或IP段的所有子監(jiān)控實(shí)體����;接收所述所有子監(jiān)控實(shí)體上報(bào)所述IP集合或IP段的第二定時(shí)時(shí)間的 通信流量,累加得到所述第一監(jiān)控實(shí)體統(tǒng)計(jì)所述IP集合或IP段的第二定 時(shí)時(shí)間的通信流量���。
6��、 一種監(jiān)控設(shè)備�,其特征在于,包括流量監(jiān)控模塊和分析模塊��; 所述分析模塊用于接收所述流量監(jiān)控模塊統(tǒng)計(jì)監(jiān)控的IP集合或IP段的第一定時(shí)時(shí)間的通信流量�����,并根據(jù)所述統(tǒng)計(jì)的IP集合或IP段的第一定 時(shí)時(shí)間的通信流量和IP集合或IP段的攻擊閾值獲得所述IP集合或IP段 的預(yù)判值��;所述流量監(jiān)控模塊用于根據(jù)所述IP集合或IP段的預(yù)判值確認(rèn)所述����!P 集合或IP段的通信流量是否異常,當(dāng)確認(rèn)發(fā)生異常時(shí)�����,發(fā)送統(tǒng)計(jì)所述IP 集合或IP段的第二定時(shí)時(shí)間的通信流量至所述分析模塊�����;其中�����,所述分析模塊還用于當(dāng)所述統(tǒng)計(jì)的所述第二定時(shí)時(shí)間的IP集 合或IP段的通信流量大于所述IP集合或IP段的攻擊閾值時(shí)�����,確認(rèn)所述 IP集合或IP段受到攻擊�。
7、 根據(jù)權(quán)利要求6所述的監(jiān)控設(shè)備�����,其特征在于�����,所述預(yù)判值包括預(yù) 判閾值和攻擊比例值����,所述流量監(jiān)控模塊還用于每隔所述第二定時(shí)時(shí)間將 所述IP集合或IP ^:的當(dāng)前時(shí)刻的通信流量與攻擊比例值的乘積跟當(dāng)前時(shí) 刻的前一次第二定時(shí)時(shí)間統(tǒng)計(jì)的所述IP集合或IP段的通信流量進(jìn)行比 較,當(dāng)所述IP集合或IP段的當(dāng)前時(shí)刻的通信流量與攻擊比例值的乘積大 于當(dāng)前時(shí)刻的前一次第二定時(shí)時(shí)間統(tǒng)計(jì)的所述IP集合或IP段的通信流 量��,將所述IP集合或IP段的當(dāng)前時(shí)刻的通信流量與所述預(yù)判閾值進(jìn)行比 較����,當(dāng)所述IP集合或IP段的當(dāng)前時(shí)刻的通信流量大于所述預(yù)判閾值,確 認(rèn)所述IP集合或IP段的通信流量異常�����。
8、 根據(jù)權(quán)利要求6所述的監(jiān)控設(shè)備���,其特征在于����,所述流量監(jiān)控模塊包 括多個(gè)流量監(jiān)控子才莫塊����,所述分析模塊還用于創(chuàng)建監(jiān)控映射關(guān)系列表,根掂 所述監(jiān)控映射關(guān)系列表發(fā)送監(jiān)控信息至所述流量監(jiān)控模塊中的流量監(jiān)控子模塊�����,所述監(jiān)控映射關(guān)系列表包括監(jiān)控的IP集合或IP段信息�,所述流量 監(jiān)控模塊中的流量監(jiān)控子模塊信息,及所述流量監(jiān)控模塊中的流量監(jiān)控子 模塊監(jiān)控所述IP集合或IP段的IP信息��。
9���、 根據(jù)權(quán)利要求8所述的監(jiān)控設(shè)備,其特征在于�����,所述流量監(jiān)控模塊 還用于標(biāo)識(shí)監(jiān)控的IP集合或IP段,并發(fā)送所述分析模塊�;所述分析模塊還用于接收所述IP集合或IP段的標(biāo)識(shí),并每隔第一定 時(shí)時(shí)間發(fā)送第一上報(bào)請(qǐng)求至所述流量監(jiān)控模塊��,及接收所述流量監(jiān)控模塊 統(tǒng)計(jì)的所述IP集合或IP段的第一定時(shí)時(shí)間的通信流量���。
10���、 根據(jù)權(quán)利要求8所述的監(jiān)控設(shè)備,其特征在于����,所述流量監(jiān)控模塊 還用于當(dāng)確認(rèn)發(fā)生異常時(shí),發(fā)送發(fā)生異常的IP集合或IP段的標(biāo)識(shí)至所述 分析模塊��;所述分析模塊還用于根據(jù)所述標(biāo)識(shí)和監(jiān)控映射關(guān)系列表發(fā)送第二上 報(bào)請(qǐng)求至所述流量監(jiān)控模塊中的監(jiān)控所述IP集合或IP段的所有子模塊�����, 并接收所述流量監(jiān)控模塊中的所有子模塊發(fā)送的所述IP集合或TP段的第 二定時(shí)時(shí)間的所有通信流量����。
全文摘要
本發(fā)明實(shí)施方式公開(kāi)一種分布式拒絕服務(wù)攻擊的監(jiān)控方法��,包括第一監(jiān)控實(shí)體和第二監(jiān)控實(shí)體���,包括接收第一監(jiān)控實(shí)體統(tǒng)計(jì)監(jiān)控的IP集合或IP段的第一定時(shí)時(shí)間的通信流量;第二監(jiān)控實(shí)體根據(jù)統(tǒng)計(jì)的IP集合或IP段的第一定時(shí)時(shí)間的通信流量和IP集合或IP段的攻擊閾值獲得IP集合或IP段的預(yù)判值�,并發(fā)送至第一監(jiān)控實(shí)體;當(dāng)根據(jù)IP集合或IP段的預(yù)判值確認(rèn)IP集合或IP段的通信流量異常時(shí)��,第二監(jiān)控實(shí)體接收第一監(jiān)控實(shí)體統(tǒng)計(jì)IP集合或IP段的第二定時(shí)時(shí)間的通信流量�����;當(dāng)判斷統(tǒng)計(jì)的第二定時(shí)時(shí)間的IP集合或IP段的通信流量大于IP集合或IP段的攻擊閾值時(shí)�����,確認(rèn)IP集合或IP段受到攻擊�����。本發(fā)明實(shí)施方式還提供監(jiān)控設(shè)備���,以提高檢測(cè)效率和精確度�。
文檔編號(hào)H04L12/26GK101540761SQ20091005909
公開(kāi)日2009年9月23日 申請(qǐng)日期2009年4月24日 優(yōu)先權(quán)日2009年4月24日
發(fā)明者強(qiáng) 劉, 林 都 申請(qǐng)人:成都市華為賽門鐵克科技有限公司