分布式拒绝服务（DDoS）攻击以其攻击手法简单，攻击效果好而著称。虽然目前大量的安全产品具有检测并过滤DDoS攻击的功能，但是，DDoS攻击采用IP欺骗的方式和模拟正常网络行为，轻易地避开了防火墙和入侵检测系统。DDoS攻击向攻击目标发送大量的数据报文，而防火墙和入侵检测系统为了处理这些无用报文就已经耗费了大量的网络资源和系统资源，因此安全产品本身就可能崩溃。如何有效地防御DDoS攻击已经成为了当今网络安全的主要课题之一，而防御的首要关键环节就是检测DDoS。 首先，本文总结并分析了DDoS攻击的原理以及几种经典的DDoS Flood攻击的原理。介绍了入侵检测的概念、分类、检测技术以及评估标准。基于DDoS攻击在流量方面的表现力，选取了流量强度、流量的对称性、协议分布和异常报文作为检测的流量特征。第一次将ICMP协议中的ECHO请求应答的对称性和时间戳的请求应答的对称性作为流量特征。 然后，采用基于支持向量机的流量异常检测方法，通过实验仿真验证选取的流量特征对区分正常流量和异常流量上的表现力，并取得了很好的测试结果。实验过程采用交叉验证的技术评估参数在特定范围内的检测效果，利用网格搜索的方式给定参数范围。 最后，以流量异常检测研究为出发点，将自组织特征映射（SOM）神经网络运用到流量异常检测中。根据网络攻击流量的特征，提出了针对正常流量和异常流量分类的分析方法，进而提出K阶邻近算法同SOM结合的流量异常检测算法。通过实验仿真，验证了基于K阶邻近的自组织特征映射在检测DDoS攻击方面有着较高的准确率和自我学习能力。