当前网络中存在着诸多以SYN (SYNchronize)洪泛攻击为代表的分布式拒绝服务攻击行为,严重影响了网络的正常运作。现有的SYN洪泛攻击检测技术主要侧重于在攻击行为的中后期对重要主机或服务器等实体进行保护,而忽略了SYN洪泛攻击对网络本身造成的巨大破坏。而针对SYN洪泛攻击早期检测和溯源所开展的研究工作从其出发点和处理思路来看仍然没有摆脱SYN洪泛攻击传统检测技术的痕迹。因此,探索出行之有效的SYN洪泛攻击早期检测与溯源方法,对提升网络的安全性和预防网络犯罪具有重要的理论意义和现实意义。根据TCP (Transmission Control Protocol)协议中SYN报文段、FIN (FINish)报文段和RST (ReSeT)报文段等三种报文段之间的数量关系,通过建立恰当的判别元组和偏离度判别标准,说明了在欧氏空间Rn环境下如何通过欧氏距离来度量实际TCP网络中三种报文段之间的数量关系相对于理想TCP网络中三种报文段之间的数量关系的偏离程度,在此基础上提出了一种基于欧氏距离的TCP流异常早期检测方法。考虑到三种报文段在实际TCP网络中的分布可能不均匀以及SYN洪泛攻击所具有的连续性特征,通过引入移动平均法来对连续若干个异常检测周期的偏离度进行平滑处理,降低了偏离度波动幅度对检测带来的影响,保证了异常检测的准确性,降低了误报率和漏报率。从TCP连接建立和连接拆除报文段的完整性入手,利用TCP流不同类型报文段在数量上的相关关系,提出了一种基于相关系数的TCP异常流中洪泛攻击类型的判别方法。该方法通过构建恰当的检测元组来获得攻击检测周期内不同报文段之间的相关系数,使得在不维护每个TCP连接具体状态的情况下可借助相关系数对TCP流中出现的SYN洪泛攻击类型进行判别。根据TCP协议建立连接三次握手的工作机制和SYN洪泛攻击的原理,引入了TCP流异常行为图的概念,阐述了如何利用TCP流异常行为图对TCP网络中存在的攻击数据流进行描述,并以此为基础提出了一种基于TCP流异常行为图的SYN洪泛攻击溯源方法。该方法通过攻击评价体系的构建来实现对TCP流异常行为图中的目标主机受攻击状况和源主机的攻击行为的恰当评价,以获得TCP网络中的被攻击主机信息及其相关的可疑攻击源主机集合,实现了SYN洪泛攻击的溯源。此外,围绕攻击阻断规则的制定,拟定了三条攻击源主机的IP地址聚合规则,给出了相应的地址聚合方法,为攻击的早期阻断提供了参考依据。最后,还就各方法所涉及关键参数在设定时需考虑的因素及其确定方式进行了综合分析和论述。通过对SYN洪泛攻击的早期检测与溯源方法的研究,取得了一系列理论成果,对提升网络的安全性和预防网络犯罪具有重要的理论意义和现实意义。