网络是一把双刃剑,随着网络技术的飞速发展,网络给人们的工作、生活带来了方便,但网络攻击频繁发生,攻击方式更是层出不穷。分布式拒绝服务攻击(DDOS)是利用协议漏洞进行的网络攻击,是网络中是最具有破坏力的攻击方式之一。到目前为止,也没有找到行之有效的根除方法,如何检测这种攻击发生以及如何降低这种攻击所带来的后果已成为目前Internet安全界研究的热点问题。本文主要分析了现有的硬件检测和软件检测两大类DDOS攻击检测方法,分别对几种软件检测方法进行分析比较,说明了其实现原理和适合的环境,并总结了软、硬件检测的优缺点和使用的范围。通过对现有检测方法深入研究,又针对校园网这一特殊的大型局域网环境,进行实验观察分析,发现根据I/O流量的变化情况,以及协议分布、数据包分布、端口分布等相似度情况能判断异常并确认DDOS攻击。根据以上提出了基于I/O流与相似度DDOS检测方法,该方法的实现过程是:首先,要进行多批次大样本统计,得出多个样本,对得出的多个样本进行统计、分析、比较选出最优的一组样本,假设此样本为正常样本,根据假设的正常样本对进、出包流量制定置信区间,利用置信区间来判断流量异常与否,如果流量发生异常再进行三个特征的相似度分析,统计出采样时间段内每个特征前N位数据;接着将该数据与上一采样时间段的数据进行求相关系数的操作,将三个相关系数通过动态加权的方法合成新的相似度;最后,对相邻时刻的新的相似度进行分析,并根据动态设定阈值来判断是否出现DDOS攻击。以此来实现对DDOS攻击的检测。从长时间对校园网流量的观察和大量的攻击试验的结果可以看出,通过对流量制定置信区间能够发现校园网络的异常,使用DDOS特征相似度计算能够更明确判断攻击的发生。本方法和传统的单纯相似度检测方法相比较检测效率更高。