本发明涉及一种子网欺骗DDoS攻击监测预警方法，包括通过交换机旁路镜像接受用户网络流量，分离出TCP流量；按源地址，目的地址，目的端口，TCP结束状态进行聚合；从告警信息中提取同一个子网的告警源地址个数，若某一个子网的告警源地址个数超过阈值，则发出告警，反之，在TCP聚合数据中检索该子网的TCP三次握手不成功的源地址个数和对应的不成功连接的总数，若源地址和连接总数都超过阈值，则发出告警。本发明使用多级规则进行管道式的组合，从低等级的告警信息中提取子网号，将提取到的子网号在TCP全流量数据中检索DDoS攻击流量，进而产生更高等级的子网欺骗DDoS告警，极大地降低了运算量和规则复杂度，提高了识别的准确率。