随着网络应用范围的越来越广,其在人们的生活和社会中扮演越来越重要的角色,但是网络的安全问题也随之而来。自1996年初发现分布式拒绝服务攻击(DDoS)以来,DDoS攻击被广泛用于网络敲诈、商业竞争、甚至政治斗争。已经成为一种流行的破坏计算机或者网络资源可用性的攻击形式。拒绝服务攻击由于容易实施、难以防范、难以追踪等特点而成为最难解决的网络安全问题之一。因此需要对网络的状况进行实时监控和预警,当发生DDoS攻击时,如何及时准确地检测DDoS攻击变得更加重要。　　 本文首先系统分析了DDoS攻击原理、方法和现状,特别是对其攻击特征进行了详细的剖析；然后,在此基础上引入了一种信息熵方法来描述攻击特征,介绍并给出了一种基于概率神经网络的DDoS攻击实时检测模型；最后,讨论了DDoS攻击检测系统的设计与实现。因此本文主要工作如下:　　 (1)本文重点分析了DDoS攻击特征,通过比较给出了一种基于信息熵的DDoS攻击特征描述方法。首先,选择DDoS攻击的相关特征属性:流量大小、源IP地址、目的IP地址、源端口号、目的端口号、生存时间。这些属性能全面、有效地反应出网络流量的变化。然后,引入时间窗的方法来计算机信息熵,更加全面、有效地反应出DDoS攻击特征。　　 (2)有些DDoS攻击可能持续的时间非常短,多长时间提取网络流量检测一次网络流量是否存在异常,对于检测DDoS攻击非常重要。为了提高检测的实时性,本文提出了二级滑动窗口方法用以计算这些基于时间序列的特征属性的信息熵:一级是基于时间大小的滑动,二级滑动是计算信息熵时对数据包的滑动。　　 (3)本文采用概率神经网络对这些特征属性进行分类,提出基于概率神经网络的DDoS攻击实时检测模型,并对该检测模型进行验证并对实验结果评估。概率神经网络优势在于概率神经网络对应的权值就是模式样本的分布,网络不需要训练,能够满足实时处理的要求,有极快的学习收敛速度,用概率密度函数建立神经网络结构性能好于其它的分类器,能够自适应设置平滑参数,使分类更加准确。实验评估部分,实验数据集用麻省理工学院Lincoln实验室由DARPA为评估入侵检测模型而建立的测试数据集,其中2000年LincolnLaboratory Scenario(DDoS)是专门用来测试DDoS攻击。为了进一步验证该方法的检测率等方面问题,本文在局域网模拟DDoS攻击并采集网络流量数据进行验证。用检测率、误报率、漏报率和检测时间评估检测标准进行验证　　 (4)DDoS攻击检测原型系统的设计与实现。通过实验结果评估得出用该方法检测DDoS攻击效果比较理想,所以采用该方法设计原型系统。DDoS攻击实时检测原型系统的设计,基于Winpcap平台和.Net开发环境,采用C／S结构,最终实现了网络实时抓包功能,同时也能捕捉静态的数据包、分析网络流量、计算特征属性的熵值,并能用概率神经网络判断是否存在DDoS攻击等功能。