现代社会高度依赖互联网,人们在享受网络服务带来的便利时同样承受着网络攻击带来的风险。其中拒绝服务攻击(DoS)是危害网络的典型代表。低速率拒绝服务攻击(LDoS)作为一种特殊的DoS攻击,其攻击效果类似于传统的DoS攻击,但隐蔽性更佳。现有的LDoS攻击的检测方法普遍存在高检测成本、高误报率等缺陷,因此,对LDoS攻击的检测方法仍需进一步研究以期获得更高效的检测方法。本文根据实际网络定义了三种不同的网络环境,在三种网络环境中TCP流量的分布和波动具有显著差异。本文根据发生LDoS攻击的网络环境中大时间尺度上TCp-流量分布趋于离散、其他两种网络环境中TCP流量趋于集中这一现象,提出使用两步聚类分析算法检测LDoS攻击,将发生LDoS攻击的流量从网络流量中分离出来。通过分析三种网络环境中小时间尺度上TCP流量的波动形态,发现发生LDoS攻击的网络环境中小时间尺度上TCP流量波动剧烈,其他两种网络环境中TCP流量波动趋于平稳。提出了数据片的概念,并根据相关阈值判断数据片是否异常。提出异常数据片分析算法检测LDoS攻击,根据待测试的网络中异常数据片的占比检测当前网络流量中是否包含LDoS攻击。通过实验验证了这两种方法的可行性和有效性,但同时这两种方法也存在各自的使用场景和特点。两步聚类分析算法检测速度快但存在一定的误报率;异常数据片分析算法检测误报率低但检测速度较慢。基于这两种检测方法优势的互补性,本文最后提出采用协同检测方法检测LDoS攻击,将两种检测方法采用串行的检测方式,在保证检测误报率低的情况下,能够在较短的时间内以较小的检测代价得到检测结果。本文最后分别基于NS-2平台和公共数据集LBNL验证协同检测算法的可行性、有效性和准确性。实验结果表明,协同检测方法能够有效检测LDoS攻击,且检测误报率低且检测速度较快。