不断增长的网络规模和链路带宽使得DDoS攻击朝着大规模化方向发展,并加剧了攻击检测和处理的难度。大规模DDoS攻击检测的关键是对攻击流量的汇聚过程进行有效的遏制,当前主要面临三个方面的问题:(1)现有基于流量特征变化的攻击预警方法易被攻陷,不足以应对多变的DDoS攻击威胁;(2)正常用户的突发访问(flash crowds)事件带来的攻击误判;(3)基于分类的DDoS攻击检测方法具有较好的检测适应性,但冗余特征的存在影响了检测的实时性。针对上述问题,本文以国家科技支撑计划“网域空间某关键技术研究”项目中的大规模DDoS攻击检测技术子课题为依托,通过深入分析和研究检测需求,分别提出了基于超点的DDoS攻击预警方法、基于流指纹的DDoS攻击检测方法和基于GAIG特征选择算法的轻量化DDoS攻击检测方法,有效预警了攻击事件、准确判别了DDoS攻击与flash crowds事件,实现了DDoS攻击的快速分类检测,具体研究工作如下:1.针对DDoS攻击的预警问题,通过分析现有DDoS攻击预警方法存在的被攻陷的风险和DDoS攻击威胁的不确定性,提出了一种以源地址与目的地址多对一映射作为预警策略、以目标超点聚合度(Polymerization Degree of Destination Superpoints,PDDS)为安全威胁评估标准的DDoS攻击预警方法,将网络测量中的超点和超点检测应用于DDoS攻击的预警。在此基础上,设计了一个基于Cache结构的轻量化预警算法DDoS-Early-Warning,并验证了该预警算法的有效性和可靠性。2.针对DDoS攻击与flash crowds事件的区分问题,提出了一种基于流指纹的DDoS攻击检测方法,首先通过分析DDoS攻击的超点性和对僵尸网络的平台依赖性,提出了一种基于泛洪行为的区分策略。在此基础上,结合超点和流间相似度分别构建泛洪行为和泛洪攻击两种流指纹,通过目标超点聚合度定位泛洪行为,采用一种滑动判别算法度量流间相似度,从而判别DDoS攻击与flash crowds事件。实验结果表明,该检测方法可以有效区分DDoS攻击和flash crowds事件,以全变分距离(Total Variation Distance,TVD)作为测度时效果最佳,检测率达到98%,相比于现有方法,提升了约6%。3.为了提高基于分类的DDoS攻击检测方法的实时性,结合轻量级入侵检测技术,首先提出了以遗传算法为搜索策略、信息增益为子集评估标准的filter型特征选择算法GAIG,提取具有高区分度的相对最小特征子集,实验结果表明,GAIG算法使分类器在尽可能不降低分类精度的同时,提高分类的实时性,Random Tree具有相对最佳的分类检测性能。在此基础上,构建了一种轻量化的DDoS攻击检测系统,在未知攻击检测场景中,该轻量化攻击检测系统的检测率达到了85%,相比于一般的分类检测模型,提升了5%以上。