分布式拒绝服务攻击(DDoS)利用现有IPV4网络体系下TCP/IP协议设计上的漏洞(例如IP地址易于伪造,攻击源头追溯困难等)实施攻击。DDoS攻击采用分布式攻击方式使得数据流呈无规律状态,而且难于区分正常连接与恶意请求等特点进一步增加了DDoS攻击的防范难度。研究表明,除非对整个TCP/IP协议进行修改,否则在现行的无连接、无状态的分组交换网络中无法彻底地根除DDoS攻击。当前只能通过一些宏观技术手段来检测和防御DDoS攻击,降低攻击的危害。本文在系统地介绍了DDoS攻击的基本原理、攻击类型和攻击特点,详细研究了DDoS攻击的发生对于网络流量的相关性的影响后,提出了一种基于网络流量相关性的DDoS攻击检测方法,分别对网络流量中流量大小和IP地址属性进行相关性分析,并通过实验验证方法的有效性。第一类相关性分析是研究了DDoS攻击的发生对网络流量的大小值的相关性(自相似性)的影响,考察了自相似参数(Hurst指数)的变化规律,定义了Hurst指数方差变化率为测度,通过MIT林肯实验室DARPA数据进行大量试验,确定了DDoS攻击的判决条件,在此基础上提出了基于Hurst指数方差分析方法。实验结果表明,该方法能很好地区分正常流量与引起流量显著增大的DDoS攻击流量,但存在误报率过高的缺点。研究发现,具有突发特性的网络突发业务流和DDoS攻击在流量统计上表现出的相似特性会对自相似性检测造成很大干扰。第二类相关性分析研究的是网络流量中IP地址的相关性,定义了IP地址相似度的概念与计算方法,并以此作为区分测度。实验证实该方法能有效地区分DDoS攻击与突发业务流,解决了突发业务流与DDoS攻击难于区分的难题。实验结果表明,运用本文提出的基于网络流量相关性的方法进行DDoS攻击检测时,将流量大小和IP地址的相关性结合起来分析,就能有效地区分出正常流量、DDoS攻击流量与突发业务流量,从而提高了DDoS攻击的检测效率。