分布式拒绝服务(Distributed Denial-of-Service, DDoS)攻击是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式,它对网络和网络服务的可用性构成极大的威胁。因此,DDoS攻击检测是整个安全防范体系的重要一环,通过快速、准确地识别攻击,为安全防御提供有效支撑。近年来,许多研究人员致力于DDoS攻击检测的各种关键技术的研究,并取得了显著成果。但是随着网络攻击技术的发展以及网络环境的日益复杂,现有的攻击检测技术的准确性和实时性还有待进一步提高,以满足人们对网络安全的迫切需要。本文深入分析攻击流与正常流所表现出的不同特性,以机器学习理论为指导,以提高检测系统的性能和效率为目的,对DDoS攻击检测的关键技术进行了深入研究,取得了以下几个方面的成果：(1)提出了基于流特征条件熵的检测方法。针对DDoS攻击分布式的攻击模式及“多对一”的攻击特点,基于信息熵理论,提出了流特征条件熵(Traffic Feature Conditional Entropy, TFCE)的概念,用以描述攻击流中源IP地址、目的IP地址、目的端口三个流特征之间的映射关系。然后,使用支持向量机(Support Vector Machine, SVM)分类器对正常流和攻击流的TFCE取值规律进行学习,再对待测网络流分类,以实时地检测DDoS攻击。实验结果表明,该方法能有效区分DDoS攻击流和正常流,与同类工作相比,具有更高的准确率。(2)提出了基于行为轮廓偏离度的检测方法。通过统计分析得知网络流量具有明显的集中性和平稳性,在正常情况下,网络流量仅由少数几类报文组成,而当DDoS攻击发生时,这些特性会被破坏。以此为基础,提出了行为轮廓偏离度(Behavior Profile Deviation Degree, BPDD)的概念来度量攻击流量与合法流量在统计特征上的差异。以BPDD为异常指示参数,使用直推式K近邻(Transductive Confidence Machines for K-Nearest Neighbors, TCM-KNN)算法建立正常流量的统计模型,再根据已建立的正常模型对新来的流量数据作异常与否的判定,从而识别DDoS攻击。此外,原TCM-KNN算法空间复杂度为O(n2),为了降低检测系统的空间开销,提出了一种空间复杂度为O(nk)的改进算法,其中k<<n。实验结果表明,该方法具有较好的通用性,能有效识别多种DDoS攻击,特别是对采用常见类型报文的攻击,与同类方法相比检测性能更好。(3)提出了基于条件随机场的检测方法。针对现有基于机器学习的检测方法不能有效利用上下文信息以及对多特征的概率分布存在过强假设的不足,首次将条件随机场(Conditional Random Fields, CRF)模型应用于DDoS攻击检测。利用CRF模型强大的融合上下文信息和多特征的能力,克服现有方法存在的局限,改善检测质量。首先,结合TFCE、BPDD两组统计特征对TCP flooding、UDP flooding、ICMP flooding三类攻击的特点进行描述。然后,使用CRF分别为三类攻击建立分类模型。通过对模型的有效训练,应用模型推断来完成对DDoS攻击的检测。实验结果表明,该方法能充分发挥CRF模型的优势,准确区分正常流量和攻击流量,较同类方法具有更好的抗背景流量干扰的能力。(4)提出了基于自适应自回归模型的增速率DDoS攻击早期检测方法。增速率DDoS (Increasing-rate DDoS, IDDoS)攻击采用逐步提升攻击速率的方式来造成受害者资源的慢消耗,并延缓被发现的时间,相比传统的DDoS攻击更具隐蔽性。基于预警的思想,探讨了IDDoS攻击的早期检测技术。检测系统提取网络流的TFCE特征作为攻击强度的指示参数,利用自适应自回归(Adaptive AutoRegressive, AAR)模型对未来的TFCE取值进行预测,再采用预先训练过的SVM分类器对预测值进行分类以识别攻击企图。实验结果表明,在检测精度相当的前提下,该方法比现有方法能够更快检测到攻击。