网络给人们带来便利的同时,也带来了各种安全隐患。在所有的攻击事件中,DDoS(分布式拒绝服务)攻击是一种破坏性较大、防范较困难的攻击形式。据调查显示,许多拥有高安全技术的网站如Yahoo、韩国国防部、美国特情局等都曾遭到过DDoS攻击。因此,如何快速高效的检测出DDoS成了一个研究的热点问题。网络流量在总体分布和包长分布上都具有明显的特征。首先,网络流量具有自相似特性已经得到了研究者们的普遍认可。利用网络流量自相似特征进行异常流量检测是一种代价较小、灵敏高效的方法,近年来的研究取得了一定的成绩,但也有其不完善性。其次,网络流量包长分布呈明显的双峰特征,即大包和小包占了所有包比例的80%,在发生异常的情况下,流量包长分布将会发生一定的变化。基于流量的这两个统计特征,本文做了如下工作：本文首先从网络流量颇具争议的尺度特性入手,通过实验分析,得到一个连续的多尺度流量特征分析模型。该模型采用多尺度的小波分析法,通过对高精度DAG样本数据进行分析,得到结论网络流量自相似特征有一个从无到弱再到强的变化过程,且网络流量具有单分形特征。其次,本文针对SYN攻击提出一种基于小包流量自相似特性的DDoS攻击检测方法。在网络异常流量不足于影响整体流量特征的时候,基于传统流量特征的检测方式可能会失效,对此本文提出一种将大小包分离,只检测小包特征的检测方式,实验证明,该方式能够有效检测出攻击。最后,本文提出一种针对SYN攻击的基于主动探测机制的检测方法。该方法利用网络流量包长的双峰分布特征,将包对测量背景流量技术应用于异常流量检测中,用夹入背景流长度变化来检测攻击。实验表明,该算法有较好的检测率和误报率。这种基于端到端的检测方法,具有良好灵活性和可控制性等优点。