分布式拒绝服务攻击(DDoS——Distributed Denial of Service)是近年来对Internet具有巨大影响的恶意攻击方式，给互联网业务带来了不可估量的损失。但是，目前全球对DDoS攻击进行防范、检测和反击的研究工作没有实质性的重大突破，没有能准确及时预测DDoS攻击发生的有效方法，DDoS攻击的检测与防护是当前网络安全领域的重要前沿。 传统检测方法使用基于特征匹配的检测，不适用于基于网络的DDoS攻击的检测。论文进行了真实网络业务流量统计特性(自相似性)分析，进行了真实DDoS攻击，及对其给网络流量统计特性造成的影响进行了分析。主要成果为：(1)对网络流量的自相似性—Hurst参数、Hurst参数的时变函数H(t)进行分析，建立正常网络流量模型，比传统的特征匹配更准确描述了网络流量的特性；(2)通过实验验证了，基于正常网络流量模型，对网络流量进行实时限幅，由自相似性的变化来预测DDoS攻击方法的正确性；(3)对于不同的攻击方式，我们使用不同的方法进行检测，并用数据库对流经的包头信息进行统计分析，来对攻击定位。以上结果表明基于网络流量的统计分析方法能够在一定程度上检测出DDoS攻击，比传统的基于特征匹配的DDoS入侵检测方法，在实时性、准确率上有较大提高。 论文的另一部分工作是研究DDoS攻击的防护策略。我们进一步提出并实现了DDoS攻击的几种防护方法，主要成果为：(1)包过滤方法(使用Netfilter)；(2)回溯机制；(3)回推机制。其中(2)(3)仅仅适用于路由器。从而形成了对DDoS攻击从检测到防护的完整解决方案。