本發明公開了一種基于分布式多級協同的分布式拒絕服務攻擊監控系統及方法，系統包括匯聚控制器和服務節點，所述匯聚控制器為一個或多個，管理與其連接的一個或者多個的服務節點，向與其連接的服務節點提出數據要求，實時接收服務節點的數據反饋，并結合網絡拓撲信息，進行信息匯聚處理，得出攻擊的探測結果；所述服務節點為多個，分別部署安裝在各個網絡設備上，所述網絡設備包括網關設備、可編程交換機、網絡安全一體機和計算機系統上，各服務節點用于和匯聚控制器建立通信通道，每個服務節點向一個或者多個匯聚控制器注冊、連接，并接受該匯聚控制器的管控。本發明可以根據這個局部網絡內匯聚的內容進行“局部”分析，提高整個系統的執行效率和拒絕服務攻擊監控效果。

技術領域

本發明涉及計算機網絡通信技術領域，具體涉及一種基于分布式多級協同的分布式拒絕服務攻擊監控系統及方法。

背景技術

當前在計算機網絡通信中對DoS攻擊(特別是DDoS(指分布式拒絕服務攻擊)攻擊)的監控和探測方式，主要是通過在路由節點，網關設備，或者防火墻等安全網絡設備，用帶內或者帶外(導流)的方式，對網絡流量進行分析，并通過與已知的網絡流量模型(正常流量或者攻擊流量)對比，得到是否有DoS或者DDoS的攻擊在發生。并且根據這個結果針對這些被認為是攻擊的流量進行壓制，從而緩解攻擊。

現有的探測技術，主要是基于單點的探測技術，或者網關和云協同的探測技術，上述的探測技術：缺乏對網絡拓撲信息的充分感知，采集的網絡流量數據也缺乏全局性。

這就容易導致對DDoS攻擊的檢測失誤(將正常流量檢測誤認為是攻擊流量，或者將攻擊流量誤認為是正常流量)。上述探測技術的局限性還表現在對流量的壓制實施點會局限在網關設備或者云清洗中心，而被攻擊的計算機系統，以及其他的網絡設備節點無法參與到檢測和防御中。

因此，如何解決上述問題，提供一種在全網絡范圍內，將對分布式拒絕服務攻擊(DDoS)的快速檢測和識別方法，是當前急需解決的問題。

發明內容

本發明的目的是克服現有技術對拒絕服務攻擊監控和探測方式存在很大的局限性的問題。本發明的基于分布式多級協同的分布式拒絕服務攻擊監控系統及方法，服務節點為多個，分別部署安裝在各個網絡設備，在所有參與的網絡設備節點和計算機系統，分布式并發進行，匯聚控制器可以部署一個或者多個，多個分級部署的控制器可以實現多級控制。每個控制器管理一個局部的網絡，并且可以根據這個局部網絡內匯聚的內容進行“局部”分析，提高整個系統的執行效率和拒絕服務攻擊監控效果。

為了達到上述目的，本發明所采用的技術方案是：

一種基于分布式多級協同的分布式拒絕服務攻擊監控系統，包括匯聚控制器和服務節點，

所述匯聚控制器為多個，管理與其連接的一個或者多個的服務節點，向與其連接的服務節點提出數據要求，實時接收服務節點的數據反饋，并結合網絡拓撲信息，進行信息匯聚處理，得出攻擊的探測結果；

所述服務節點為多個，分別部署安裝在各個網絡設備上，所述網絡設備包括網關設備、可編程交換機、網絡安全一體機和計算機系統上，各服務節點用于和匯聚控制器建立通信通道，每個服務節點向一個或者多個匯聚控制器注冊、連接，并接受該匯聚控制器的管控，該管控為服務節點根據配置和匯聚控制器的要求，把本地數據和本地決策信息提交給與其連接的匯聚控制器。

前述的基于分布式多級協同的分布式拒絕服務攻擊監控系統，所述匯聚控制器包括分布式全網數據采集模塊、數據清洗與規約模塊、分布式DDoS攻擊檢測模塊、監控與告警模塊，

所述分布式全網數據采集模塊，用于對目標網絡進行數據包的采集、數據解析，以及采集計算機系統自身的參數數據，以便提取全網數據的關鍵屬性，并將提取的屬性進行緩存；