分布式拒绝服务(DistributedDenialofService,DDoS)攻击具有操作简单且效果显著的特点而备受黑客们青睐,已成为目前最具有危害性的一种网络攻击。尽管众多的网络安全学者致力于DDoS攻击检测的研究,但物联网、大数据、云计算等新的网络技术和网络环境使得DDoS攻击手段日益复杂多样,进而导致现有DDoS攻击检测方法实时性和鲁棒性较差、漏报率和误报率较高。因此,对DDoS攻击检测方法开展深入研究,有较大的研究价值和广泛的应用前景。本文主要针对现有DDoS攻击检测方法的主要问题,深入开展了 DDoS攻击检测方法的研究。具体研究工作如下:1.本文首先分析了 DDoS攻击的现状与发展趋势,然后分类研究了几种典型的DDoS攻击类型。针对目前DDoS攻击手段复杂化和多样化的现象,本文结合当前DDoS攻击发展新特性,基于TCP协议、UDP协议和ICMP协议分类总结了当前DDoS攻击分别具有的特性。2.针对DDoS攻击检测方法仍存在攻击检测类型单一、检测结果滞后、漏报率和误报率较高等不足,本文提出一种基于多协议融合特征的时间序列预测DDoS攻击检测方法,定义多协议融合特征(Multi-protocol-fusion Feature,MPFF)来表征正常时的网络流特征,采用时间序列ARIMA模型对MPFF序列进行建模并基于该模型对待测流进行预测,计算预测偏差,然后利用傅里叶级数对预测偏差序列进行预测并修正预测偏差,最后建立基于MPFF时间序列的傅里叶误差修正(Fourier for MPFF Time Series,FMTS)的检测模型来识别DDoS攻击。3.本文针对FMTS攻击检测在DDoS攻击检测应用上存在阈值依赖经验值、不能动态自适应的不足,提出了一种基于马尔可夫链的动态自适应阈值方法(Dynamic Adaptive Threshold for Markov Chain,DATMC),利用马尔可夫模型来实现阈值动态自适应。该方法首先对MPFF序列的相关性进行分析,然后通过计算MPFF序列的相关度确定马尔可夫模型的阶数,建立马尔可夫模型并对之后的阈值做预测,最后给FMTS攻击检测模型动态设置预测阈值以识别DDoS攻击。理论分析和实验结果表明,本文提出的FMTS攻击检测方法能够检测出多种类型的DDoS攻击,能较早地检测出DDoS攻击,且具有较低的漏报率和误报率。同时,本文提出的DATMC方法在实现阈值动态自适应的基础上,进一步提高了 FMTS攻击检测方法的检测率,与同类方法相比有较高的实时性和鲁棒性。