DoS(Denial of Service,拒绝服务攻击)是对网络服务有效性的一种破坏,使受害主机或网络不能及时接受并处理外界请求,或无法及时回应外界请求,从而不能提供给合法用户正常的服务,形成拒绝服务。DDoS(Distributed DoS,分布式拒绝服务)攻击利用足够数量的傀儡机产生数目巨大的攻击数据包,对一个或多个目标实施DoS攻击,耗尽受害端的资源,使受害主机丧失提供正常网络服务的能力。DDoS攻击已经是当前网络安全最严重的威胁之一,是对网络可用性的挑战。反弹攻击和IP源地址伪造技术的使用使得攻击更加难以察觉。新近出现的LDDoS (Low DDoS,低速率分布式拒绝服务)攻击,由于其攻击时产生流量小,通过传统的检测方法难以察发现。就当前的网络状况而言,世界的每一个角落都有可能受到DDoS的攻击,但是只要尽早检测到DDoS攻击就能将损害降到最小。因此,DDoS及DDoS变种攻击检测方法的研究备受关注,研究拒绝服务攻击的原理及检测方法具有深刻的意义。本文对DDoS攻击和DDoS攻击检测技术展开研究,主要工作如下：(1)通过跟踪DDoS攻击检测的最新研究情况,对几种不同的DDoS攻击进行了分析,对不同的攻击检测方法进行了分析和比较,为研究工作打下基础；(2)由于绝大多数DDoS攻击都伪造了源IP地址,研究工作基于一个源IP地址发送了两次或两次以上的数据包即认为此IP发送的数据包为正常数据包的假定。研究提出了采用Bloom Filter结构对路由器上缓存队列中的数据包的源IP地址信息进行映射的方法,并在路由器缓存队列每次发生溢出时统计出缓存队列中正常数据包的数目,根据所统计的正常包数目的变化趋势来判断是否发生了LDDoS攻击；(3)研究表明,DDoS攻击发生时,数据流的密度会发生明显改变。算法研究通过在攻击的源端每间隔一定的时间间隔t统计数据流的密度,然后使用非参数的CUSUM算法进行异常检测,检测出数据流密度发生突变的时间改变点,从而检测出DDoS攻击的存在。