近年来,分布式拒绝服务(Distributed Denial of Service: DDoS)攻击的检测与防御技术成为信息安全领域的研究热点之一。DDoS攻击具有的分布式特性,使得该类攻击比传统的拒绝服务攻击(Denial of Service: DoS)拥有更多的攻击资源,具有更强大的破坏力,而且更难以防范。目前,由于现有入侵检测技术的局限性,DDoS攻击已经对Internet安全运行构成了极大的威胁,使得对新一代DDoS检测与防御技术研究的需求更为迫切。本文在详细分析了DDoS的原理及其检测防御技术的国内外研究现状的基础上,针对现有检测方法存在的问题,结合机器学习的相关理论进展,研究了基于机器学习的DDoS攻击检测方法,重点开展了基于隐马尔可夫模型(Hidden Markov Model: HMM)的新的DDoS检测模型与基于自适应学习的分布式协同检测机制的研究。主要研究工作和创新点包括:1、结合HMM的相关理论,提出了基于HMM与源IP地址监控的DDoS攻击检测方法。该方法采用网络数据流中的源IP地址信息进行网络流量状态的特征表示。首先根据正常数据流进行常用源IP地址库的学习;然后利用隐马尔可夫模型进行网络数据流动态IP地址序列的统计建模。通过正常流量的IP地址序列进行HMM模型学习,来对未知的网络流量进行基于动态源IP地址序列的实时异常检测,同时常用源IP地址库也保持在线学习更新。2、针对DDoS分布式检测中存在的问题,提出了一种基于自适应学习的分布式协同检测方法。在分布式协同检测框架下,采用数据融合的方法进行检测,同时结合一种基于回报的自适应学习算法,在保证检测精度的条件下,降低系统中各检测结点之间的通讯量,提高系统运行效率。3、设计并实现了基于机器学习的DDoS检测实验原型系统,包括基于HMM的单点检测模块和基于自适应学习的分布式协同检测机制。在局域网环境下,结合上述实验原型系统对DDoS攻击进行了模拟和检测,验证了本文提出方法的可行性和有效性。本文的研究内容是国家自然科学基金“基于增强学习的自适应入侵检测方法研究”的重要组成部分。与其它的检测方法相比,本文提出方法具有检测准确性高、实时性强、便于响应、易于部署等特点,具有比较好的应用前景。