互联网技术的普及使得人们的生活更加便利，但同时也带来不容忽视的安全隐患。拒绝服务(DoS)攻击具有规模大、危害强的特点，是当前互联网安全的巨大威胁。其变种之一的低速率拒绝服务(LDoS)攻击通过周期性地向目标服务器发送短时高速脉冲式攻击流来降低其服务质量。因此这类攻击还具有更低的平均攻击速率和更好的隐蔽性，现有的DoS攻击检测算法无法识别。目前已经存在的LDoS攻击检测算法也普遍存在检测速度慢、准确率不高、误报率高和缺少自适应能力等问题。
　　LDoS攻击通常利用TCP自适应机制的漏洞来发起攻击，因此其不可避免地对TCP流量产生影响。为更好地解决已有算法存在的问题，本文将使用基于网络流量的异常检测算法来识别LDoS攻击，对此展开分析与研究。
　　根据LDoS攻击流会引起TCP流量时域的分布形态异常这一特点，本文提出了一种结合云模型和K近邻的LDoS攻击检测算法。通过云模型理论对两种状态下TCP流量对应的云模型形态异同进行了对比分析和归纳，对其进行定量分析并提取数值特征组，借用K近邻算法简单清晰的概念来构建异常检测模型，进一步建立判定准则来快速识别LDoS攻击。
　　根据LDoS攻击流会引起TCP流量时频域的分布形态异常这一特点，本文提出了一种基于多特征自适应融合的LDoS攻击检测算法。使用短时傅里叶变换对两种状态下TCP流量的时频联合分布进行了分析，以帧片段为单位对时频分析过程进行了对比，选择其中重要的统计特征。通过子模型构建、线性加权融合和噪声过滤三个模块来组成异常检测模型，进一步建立判定准则来准确识别LDoS攻击。
　　网络仿真平台NS2、实验床和公共数据集(WIDE和LBNL数据集)的实验结果表明相比第一种算法不仅能快速检测，还能实现对不同参数的LDoS攻击精准识别。与第一种算法相比，第二种算法则对复杂网络环境有更好的自适应性和更低的误报率。与其他算法相比，本文所提的两种算法有更好的检测性能。综上，本文所提算法能实现对LDoS攻击的有效检测，对防御网络攻击和维护网络安全具有积极意义。