随着Internet的繁荣,网络入侵事件频繁发生,各种攻击手段也层出不穷,其中拒绝服务攻击DoS以其攻击范围广、隐蔽性强、简单有效、破坏性大和难以防御等特点成为最常见的网络攻击手段之一,极大地影响网络和主机系统的有效服务,尤其是分布式拒绝服务攻击DDoS,其潜伏期长、攻击并发程度高,隐蔽性更强、破坏性更大,严重威胁着Internet的安全。目前的入侵检测系统IDS作为一种主动检测工具,虽然可以对内部攻击、外部攻击和误操作进行实时检测,但对高分布性的DDoS攻击的检测能力明显较弱,针对此问题,本文提出一种轻量级的DDoS攻击检测方法LDDM,进而构建了一种抗DDoS攻击的入侵检测系统。该系统融合了轻量级的DDoS攻击检测方法LDDM和基于C-F模型的Bayes检测方法CBDM。LDDM包括特征提取和DDoS攻击检测两个模块,特征提取主要提取TCP建立连接过程中的SYN包和ACK包等特征,为DDoS攻击的检测做准备;DDoS攻击检测根据合法IP地址数据库判断伪装的源IP地址,用改进的Bloom Filter进行TCP协议的对称性分析,然后利用改进的无参数CUSUM算法判断是否存在DDoS攻击。CBDM用知识库记录正常行为规则,通过特征分类建立正常行为与特征属性向量的Bayes网络实例,然后训练基于C-F模型的Bayes分类器,并将其应用于检测过程中。本文首先提出了一种轻量级的DDoS检测方法LDDM,该方法使用改进的无参数CUSUM算法,不仅可以利用少量的资源有效检测DDoS攻击,而且可以及时检测到DDoS攻击停止时刻,降低了对DDoS检测的误报率,实验证明无论靠近攻击端还是受害端,LDDM均能有效地检测到DDoS攻击;其次,将基于C-F模型的不确定性推理应用到Bayes分类器中,提出一种改进的基于Bayes网络的入侵检测方法CBDM。最后通过实验证明,本文提出的抗DDoS的入侵检测系统不仅对简单的入侵方式具有较高的检测率,而且可以有效的检测到DDoS攻击。