在人们不断加深对网络应用的依赖性的同时,网络的可用性逐步成为人们关注的重点。其中让网络管理人员广为熟知却难以应对的网络可用性攻击之一便是DDOS攻击。在复杂多变的网络环境下,需要结合多方面的技术防范DDOS攻击保障网络服务的安全性。因此本文将攻击检测与拥塞控制相结合,主要解决DDOS造成的目标主机资源被耗尽以及网络拥塞。通过这种方式针对DDOS攻击一种常见形式——SYN Flood攻击,提出一种基于校园网的SYN Flood攻击检测防御方法。本文使用Hash函数和改进的基于Bloom Filter的信息提取算法来生成初始的统计序列,然后进行早期攻击检测。在早期检测中首先对统计序列进行平滑处理后结合自适应偏移常量,使之符合非参数CUSUM算法递归版本要求,最后需要根据正常网络流量的均值情况,来实时的制定检测阂值；确定发生攻击时,使用MULTOPS机制并结合一个记录网络端口SYN数量的Bloom Filter数据结构,在检测到攻击存在的同时,快速确定攻击目标以及此次的攻击强度,以便采用相应的处理方法。对于重度攻击,直接丢掉恶意数据报；对于轻度攻击,把轻度攻击看成是即将发生网络拥塞,通知路由器立即启动拥塞控制机制。本文进行了大量的攻击模拟实验,结果表明使用Bloom Filter在源端对数据包进行旁听检测,可以检测出异常流量并很好的区分网络拥塞和攻击的存在,同时统计到的结果中漏报与误报情况也相对较少。通过结合拥塞控制的使用,可以在保证网络能够对合法用户提供正常服务的基础上对不同性质的恶意攻击流进行灵活的处理,起到了防患于未然的作用。