DDoS攻击是目前互联网上具有巨大影响的恶意攻击方式之一,给互联网业务带来了不可估量的损失。尽管各国研究人员已经提出了一些解决方案,但防御技术发展的同时,DDoS攻击技术等也在不断地提高,传统的DDoS检测体系结构、检测方法和追踪方法等面临严重的挑战。本文针对这些挑战,提出了分布式的检测体系结构；设计了能发现微小变化的检测算法和适应于协同检测的检测算法；研究了高精度的、低网络和路由器开销以及重构所需数据包少的包标记算法。具体包括以下几个方面：(1)提出了用于DDoS检测的大流量对象提取算法——LRU_SCBF算法。该算法使用LRU列表和SCBF数组两级存储结构,将到达的小流量对象存入SCBF中,达到一定门限则提取到LRU中,LRU满时按最近最久未用策略淘汰小流量对象到SCBF中,循环实现大流量对象和小流量对象的分别聚集。LRU_SCBF算法占用空间小,误报和漏报低,能实现高速网络环境下大流量对象的及时准确提取。应用于DDoS检测中,能够实现DDoS攻击的及时报警。(2)针对DCD方案高开销、高漏报等不足,提出了基于流量权重CAT的DDoS分布式检测方案。采用分布式分级体系结构,将检测任务分布到互联网源端边界路由器、中间网络路由器和受害端；在源端和中间网络的路由器处采用自适应CUSUM进行路由器异常检测,发现异常则发送包含流量权重的报警包到本地CAT服务器,其中流量权重由LRU_SCBF算法生成；受害端进行基于域树权重的检测。与DCD方案相比,方案的检测率有所提高,网络的通信开销和受害端的存储开销从O(mnk)降为O(mk),受害端的计算开销从O(mn)降为O(m)。(3)提出了基于P2P的DDoS分布式检测方案。将互联网上的源端结点按Chord协议自组织成P2P检测网络,检测网络中的每个结点处部署基于CUSUM的检测算法以及基于空间相似度的检测算法。CUSUM在检测到本地结点的异常后,基于结点信任度广播检测请求信息,响应结点发现本地异常后,则采用空间相似度算法检测结点间异常的相似度,受害端据此做出DDoS攻击的综合判定。采用基于P2P的检测网络,提高了方案的扩展性；基于CUSUM的源端检测,能发现源端的微小变化,实现DDoS攻击的早期检测；基于结点信任度的检测信息广播,防止恶意结点恶意广播而造成网络拥塞。基于空间相似度的结点异常检测,提高了检测精度。(4)针对FMS因分段标记而出现大量的误报这一不足,提出了基于Maekawa集的DDoS追踪方案。将当前路由器IP地址和到达下一路由器所经过的接口分段并分配段号,以段号为对象,构造子集个数为m、子集长度为k的Maekawa集。当包经过路由器时,路由器以优化的概率分m次将标记信息的k段按Maekawa子集元素顺序组合后标记到未标记包的IP头中。分析和模拟结果表明：该方法重构攻击路径误报率低,重构所需数据包少,重构开销小。(5)针对目前DDoS追踪方案或者误报率随攻击者数目快速增长而不能追踪大规模DDoS攻击,或者重构所需数据包较多而不能快速追踪,或者网络和路由器开销大而不适应高速网络环境等不足,提出了基于固定空间编码Bloom Filter的高速网络环境下大规模DDoS攻击的快速追踪方案。将包经过的路由器IP地址的k个hash摘要映射到m位的Bloom Filter数组中,概率地写入经过的包的IP头或确定性地与标记包包头中已有的标记信息累加。当标记包中的Bloom Filter数组“满”时,则将标记信息概率地写入另一个数据包中。该方案误报率低,重构所需数据包少,路由器计算和存储开销小,实现了高速网络中对大规模DDoS攻击的快速本地追踪。(6)为了进一步降低固定空间编码Bloom Filter方案的误报率,提出了自适应空间编码Bloom Filter的DDoS追踪方案。在进行标记信息累加前,对标记包中的Bloom Filter数组中0的个数进行统计,超过Bloom Filter数组总长度的一半时,则将标记信息概率地写入相同流的另一个数据包中。理论分析和实验结果表明：方案除具有固定空间编码Bloom Filter方案的所有优点外,误报率也进一步降低。