随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增。其中，DDoS攻击技术因其隐蔽性、高效性成为网络攻击者最青睐的攻击方式之一，这种方式严重地威胁着Web服务器的安全。DDoS攻击者在2000年2月大规模袭击全球重要电子商务网站，令雅虎、亚马逊、电子港湾、CNN一度陷入瘫痪。所以，网络安全已经成为国防安全的重要组成部分，同时也是国家网络经济发展的关键。 针对DDoS攻击所具有的异于正常流量的多维字段统计特征，一种基于网络处理器IXP2400的实时检测及控制系统的设计思想是，通过监控网络流量和多维分析其网络字段构成比例或到达率，获得当前流量结构的描述参数，再与预先训练得到的正常参数比较，根据两者偏离程度判断是否出现异常，然后进行相应队列控制，从而达到检测和防御DDoS攻击、保护后端网络系统或服务器的目的。本文对这个系统进行了分析，包括统计量的设计，异常值判断的拉依达准则，对数据包进行解析、统计和异常标记等。并对其进行了仿真和实验验证。软件仿真和硬件实验结果均表明，这样设计的多维统计模块能为异常检测与控制模块提供全面、准确的统计数据，面对常见的各种DDoS攻击亦能快速检测并控制，达到了一个功能较为全面的入侵检测与防御系统的要求。这种系统具有高性能处理能力，适合于部署在互联网汇聚层的关键出入口对网络安全进行有力的维护。