近年来随着网络技术的飞速发展，网络安全的问题也日益突出，各种网络安全技术也不断涌现。但是还有很多服务器不能及时检测到攻击而受到重大损失。特别是DoS/DDoS[1][2]攻击已经对Intemet构成了重大的威胁。到目前为止，进行DoS/DDoS攻击的有效防御还是比较困难的。如何及时的检测和预防DoS/DDoS攻击已经成为各国政府和机构研究的热门课题之一。目前DoS/DDoS的检测和防御大多基于单个服务器或者路由器，在攻击发生时很难及时有效的检测和防御。 本文提出了基于NetFlow的网络流量采集，检测整个网络DoS/DDoS攻击的方法，特别是流量变化比较大的大型网站的DoS/DDoS攻击的异常检测和防御。路由器作为互联网的重要设备，是网络安全的前沿关口。本文设计的入侵检测系统是利用Cisco路由器的NetFlow技术。数据接收系统的实现是在Linux下的C编程，采集单位时间每个路由器端口的流量大小作为观测序列。检测系统的实现是利用HSMM(隐半马尔可夫模型)，这种统计模型具有广泛适用性、在检测与估计算法上具有高度有效性。用该模型建立的检测系统，经计算机模拟和组网试验，能达到较好的检测效果。