分布式拒绝服务(Distributed Denial of Service,DDoS)攻击作为一种由拒绝服务攻击(Denial of Service,DoS)衍生的常见攻击技术,其攻击方式简单、效果显著,可对网络环境及其服务造成极大破坏。随着云计算、大数据和人工智能等新技术的发展,以及物联网规模的扩大,攻击手段的日益智能化和多样化,攻击能力和规模的日益壮大,给现有DDoS攻击检测带来了巨大挑战。现有的DDoS攻击检测方法,尤其在大数据环境下,仍存在误报率、漏报率高等问题。因此,针对该问题,本文根据正常流和攻击流在统计特性中的不同表现,开展了对DDoS攻击检测方法的研究工作,提出了基于随机森林的DDoS攻击检测方法,具体工作如下:1.提出一种基于网络流相关度的随机森林(Random Forest,RF)DDoS攻击检测方法。根据高流量攻击流的非对称性和半交互性定义网络流相关度(F1 o w Correlation Degree,FCD),该特征通过地址相关统计(Address Correlation Statistics,ACS)特征以及单向流半交互度(Unidirectional Flow Semi Interaction,UFSI)二元组来描述网络流的特点。然后利用基于FCD特征序列训练的RF模型,生成用于DDoS攻击检测的分类器。实验结果表明,与同类方法相比,该方法具有较高的准确率、较低的误报率和漏报率,适用于大数据下的DDoS攻击检测。2.提出一种基于网络流组合相关度与决策树参数优化算法的随机森林DDoS攻击检测方法。首先,以带有权重的ACS特征和UFSI特征二元组定义了(Combination Correlation Degree,CCD)特征。通过不断变化权重大小对样本进行学习实验并依据验证集的最佳识别效果来选取ACS特征和UFSI特征的权重比例。然后利用基于CCD特征序列的遗传算法(Genetic Algorithm,GA)优化RF中决策树的两个关键参数:子决策树的最大数目和最大深度。最后,结合优化的参数训练RF模型,生成分类器来检测DDoS攻击。实验结果表明,该方法能有效提高甚于结合FCD特征的RF模型检测的准确率、降低误报率和漏报率,能够提高检测方法对早期攻击的检测能力,具有较好的鲁棒性。3.提出了一种基于网络流组合流比的深度森林(Deep Forest,DF)DDoS攻击检测方法。根据攻击流的非对称性和半交互性,统计了网络中单向流与双向流的源、目的IP地址及端口、不同协议类型和数据包大小的比值,采用各比值的六元组形式定义了组合流比(Combination Flow Ratio,CFR)特征。对CFR特征中各比值数据进行对数化处理和平移变换,获得绝对数值较小的稳定CFR特征序列,基于该特征序列确定了DF中树模型的数量、类别等参数。最后,对确定超参数的DF模型进行训练,生成分类模型用来检测DDoS攻击。实验结果表明,该方法能够有效提高基于RF模型的攻击检测方法的时效性,并有效提高早期DDoS攻击检测的准确率,降低误报和漏报率,提高了大数据下DDoS攻击检测的鲁棒性。