随着Internet技术的飞速发展,网络安全问题日益突出,频频发生的网络攻击给我们带来了严重的安全威胁。网络入侵检测是近些年来人们提出的一种新型的主动防御机制,是对抗网络攻击的一种安全机制,已成为网络安全中极为重要的研究课题之一。但是,作为信息安全保障中的重要环节,目前入侵检测系统(IDS)中还存在着很大的问题。最为突出的是漏报严重和海量的数据处理,这与现有的IDS无法展现攻击事件之间的逻辑关系,无法正确了解攻击事件背后隐藏的逻辑步骤有着很大关系。可见,需要对主流的滥用IDS的规则描述和检测方法进行相应的改进,从而获得比单独的攻击事件集更多的语义信息,提高检测的准确性。因此,复合攻击检测、攻击意图的识别成为了近年来IDS着力解决的重要问题。研究这些问题的根本途径在于全面深刻认识攻击技术本身,建立有效的攻击模型,识别攻击事件之间的上下文关系,从而增强入侵响应的效果。论文在分析已有攻击技术的基础上,针对网络攻击建模和DDoS(Distributed Deny of Service)攻击检测的相关问题进行了深入研究。本研究主要工作与创新包括以下几个方面：　　 ⑴首先分析了当前的网络安全形势,对网络攻击分类、攻击建模和DDoS攻击检测的现状进行了综述,详细分析了目前已有研究方法的不足,并指明了本文的研究方向。　　 ⑵在对已有攻击技术和攻击分类方法研究分析的基础上,提出了一种根据多维角度对攻击进行分类的方法,给出了相应的分类标准和分类结果。研究工作为构造合理的攻击知识库,进一步开展攻击技术研究奠定了良好的基础。提出了一种系统化地分析和描述攻击行为的模型,讨论了对攻击的描述策略进行裁剪的思路和方法,使其对绝大多数的网络攻击具有广泛适用性。研究基于攻击的生命周期,从多个方面描述网络攻击各个阶段的特点,对每个方面的属性给出了明确的定义。此方法不仅可以有效地分析和描述攻击的本质特性,还可以分析攻击的过程,所给的分析方法和裁剪规则具有有效性和普遍适用性。　　 ⑶扩充和改进了传统攻击树,对攻击树中的节点重新进行了定义,并量化了叶子节点的攻击风险,使之能更好地建模和表示多阶段网络攻击。提出了建立多级分层攻击树的思路和方法,详细介绍了用多级分层攻击树建模和表示攻击,以及对系统安全状态进行评估的具体方法。给出了基于该攻击树的ML-ATDL攻击描述语言。改进后的攻击树能更准确地建模攻击,尤其是建模和表示多阶段的复合网络攻击,并可以用来评估系统风险,区分不同攻击序列对系统造成的不同安全威胁程度。　　 ⑷扩展了传统Petri网建模攻击的方法,提出了一种根据有色时间Petri网建模和基于扩展Petri网的关联矩阵快速检测多阶段网络攻击的方法,设计并初步实现了检测系统的原型。该模型可以在攻击意图层面上建模攻击,并可以在检测出攻击的同时构造入侵场景,对下一步攻击进行预测。　　 ⑸给出了若干对DDoS攻击进行形式化描述和建模的方法,通过对DDoS攻击的描述和建模,有助于更深入地认识和深刻地理解DDoS攻击,也为更好地检测攻击打好基础。　　 ⑹分析、总结归纳了已有的DDoS攻击检测技术,充分挖掘DDoS攻击特征,对网络流量的自相似模型、变点计算方法、DDoS攻击的检测机制、攻击造成的网络拥塞等进行了深入的研究。提出了根据破坏TCP协议三次握手过程进行攻击时产生的数据包特征具有的不对称特性,基于目的端的补偿CUSUM的DDoS攻击检测方法。算法可用于检测基于TCP协议的Flood类型攻击,检测速度快,能检测出小强度的攻击,并可以记录可疑数据包,对追踪攻击来源有一定的帮助。在改进Bloom Fliter结构和实验的基础上,提出了一种用变化点算法快速检测DDoS攻击的方法,以及一种基于Hurst参数变化原理检测DDoS攻击的方法,所给检测方法可以区分正常的网络拥塞与攻击,且能实时检测攻击,准确性高。根据DDoS攻击发生时目的端IP地址信息熵的变化情况,提出了一种改进的、基于滑动窗口和信息熵机制的DDoS攻击检测算法。算法适用于对对受害端进行Flood类型DDoS攻击的检测,能够准确检测出目标端主机受到DDoS攻击时,网络数据包中目的IP地址比例分布的变化,并根据变化情况来判断攻击的发生。