分布式拒绝服务(Distributed Denial of Service,DDoS)是由拒绝服务(Denial of Service,DoS)发展而来的一种攻击手段,通过耗尽网络和服务资源的方式,达到阻碍正常用户使用服务的目的。DDoS攻击具有突发流量大、攻击强度高、持续时间短等特点,这些特点要求检测方法能快速有效地检测出攻击,然而传统的入侵检测技术面对DDoS攻击显得无能为力。本文旨在寻求一种快速、高效的检测方法,以最大限度保护网络和服务器安全。首先,本文从网络传输数据包的角度出发,分析网络在遭受DDoS攻击时数据包与网络连接之间的关系。当发生DDoS攻击时,被攻击网络中存在大量与服务器无法建立正常通信的数据包——单边连接包,单边连接密度能直观地体现当前网络中单边连接包的量。论文采用更新丢弃法计算单边连接密度,提高了计算实时性,为降低检测时间奠定了基础。其次,采用非参数CUSUM算法提高检测准确性,同时改进了用于产生负均值序列的偏移参数设置方法,使该参数能随着单边连接密度序列均值的变化而自动设置,增强了非参数CUSUM算法的自适应性。在报警响应部分中,一是引入报警可信度评估,实时地评估报警可信度以供管理员参考;二是增加报警监控,根据原始单边连接密度序列值的变化决定何时解除报警,实现了减少报警资源,反馈攻击抑制的效果。最后,设计了检测系统构架,详细分析了各个模块的功能和实现技术。在Linux环境下实现该检测系统,并用实验数据验证了检测特征和检测算法的有效性,达到了实时在线检测的目标。