1.一種用于主動防御分布式拒絕服務攻擊的方法，其特征在于， 包括：

異常流量監控設備監測網絡中出現的分布式拒絕服務DDoS攻 擊，生成實時攻擊列表并發送給集中分析平臺，其中實時攻擊列表中 包括DDoS攻擊源的IP地址；

DPI檢測設備進行僵尸網絡追蹤，生成僵尸網絡歷史列表并發送 給集中分析平臺，其中僵尸網絡歷史列表中包括僵尸網絡標識，以及 與僵尸網絡標識相關聯的僵尸網絡被控端IP地址；

集中分析平臺根據實時攻擊列表和僵尸網絡歷史列表，確定 DDoS攻擊源歸屬的僵尸網絡；

集中分析平臺對來自所述僵尸網絡的DDoS攻擊進行預警，以便 實現主動防御DDoS攻擊。

2.根據權利要求1所述的方法，其特征在于，

集中分析平臺根據實時攻擊列表和僵尸網絡歷史列表，確定 DDoS攻擊源歸屬的僵尸網絡的步驟包括：

集中分析平臺針對實時攻擊列表中的DDoS攻擊源IP地址，在僵 尸網絡歷史列表中查詢具有相同IP地址的僵尸網絡被控端；

將具有相同IP地址的僵尸網絡被控端歸屬的僵尸網絡作為DDoS 攻擊源歸屬的僵尸網絡。

3.根據權利要求2所述的方法，其特征在于，

僵尸網絡標識為僵尸網絡主控端的IP地址。

4.根據權利要求1-3中任一項所述的方法，其特征在于，

實時攻擊列表還包括與DDoS攻擊源相關聯的攻擊目標IP地址和 實時最大流量。

5.根據權利要求4所述的方法，其特征在于，

集中分析平臺對來自所述僵尸網絡的DDoS攻擊進行預警的步驟 包括：

集中分析平臺在所述僵尸網絡中，查詢全部僵尸網絡被控端的歷 史最大流量；

將查詢到的歷史最大流量之和作為相應攻擊目標的DDoS攻擊峰 值流量。

6.根據權利要求5所述的方法，其特征在于，

集中分析平臺對來自所述僵尸網絡的DDoS攻擊進行預警的步驟 還包括：

集中分析平臺根據僵尸網絡成長速度對所述僵尸網絡中的僵尸網 絡被控端數量進行估計，以便對相應攻擊目標的DDoS攻擊峰值流量 進行修正。

7.一種用于主動防御分布式拒絕服務攻擊的系統，其特征在于， 包括異常流量監控設備、DPI檢測設備和集中分析平臺，其中：

異常流量監控設備，用于監測網絡中出現的分布式拒絕服務 DDoS攻擊，生成實時攻擊列表并發送給集中分析平臺，其中實時攻 擊列表中包括DDoS攻擊源的IP地址；

DPI檢測設備，用于進行僵尸網絡追蹤，生成僵尸網絡歷史列表 并發送給集中分析平臺，其中僵尸網絡歷史列表中包括僵尸網絡標識， 以及與僵尸網絡標識相關聯的僵尸網絡被控端IP地址；

集中分析平臺，用于根據實時攻擊列表和僵尸網絡歷史列表，確 定DDoS攻擊源歸屬的僵尸網絡；還用于對來自所述僵尸網絡的DDoS 攻擊進行預警，以便實現主動防御DDoS攻擊。

8.根據權利要求7所述的系統，其特征在于，

集中分析平臺具體針對實時攻擊列表中的DDoS攻擊源IP地址， 在僵尸網絡歷史列表中查詢具有相同IP地址的僵尸網絡被控端；將具 有相同IP地址的僵尸網絡被控端歸屬的僵尸網絡作為DDoS攻擊源歸 屬的僵尸網絡。

9.根據權利要求8所述的系統，其特征在于，

僵尸網絡標識為僵尸網絡主控端的IP地址。

10.根據權利要求7-9任一所述的系統，其特征在于，

實時攻擊列表還包括與DDoS攻擊源相關聯的攻擊目標IP地址和 實時最大流量。

11.根據權利要求10所述的系統，其特征在于，

集中分析平臺具體在所述僵尸網絡中，查詢全部僵尸網絡被控端 的歷史最大流量；將查詢到的歷史最大流量之和作為相應攻擊目標的 DDoS攻擊峰值流量。

12.根據權利要求11所述的系統，其特征在于，

集中分析平臺具體根據僵尸網絡成長速度對所述僵尸網絡中的僵 尸網絡被控端數量進行估計，以便對相應攻擊目標的DDoS攻擊峰值 流量進行修正。