随着信息技术的快速发展,网络异常行为事件爆发的频率越来越高,给人们日常生活带来的负面影响也日益显著。近年来,越来越多的国内外研究学者开始关注网络异常行为,他们对网络异常行为的分析展开了很多研究。在此背景下,本文针对网络异常行为中的分布式拒绝服务(DDoS)攻击,以SYN flood攻击行为作为重点研究对象。传统SYN flood攻击行为检测算法大都以深度包分析方法为主,通过报文统计的手段对网络流数据报文进行细致解析。然而骨干通信网络存在着规模持续增大、数据量超大的基本特性,会导致传统检测方法的运行时间成倍增加,方法成本开销加剧并且方法的实时性效率降低。此外,由于突发访问行为与分布式拒绝服务攻击在表现形式上有诸多相似之处,现有异常行为识别方法的识别效果都会有不小的误检率和误识别率。为了解决上述问题,本文在流连接图基础上提出了基于Counting Bloom Filter的SYN flood攻击检测算法,并且提出了一种基于图挖掘的SYN flood攻击检测算法。本文主要工作如下:(1)提出了一种基于Counting Bloom Filter的SYN flood攻击检测算法:根据TCP三次握手过程中SYN、SYN|ACK、ACK报文数量大致相等的特性,监测时间片内SYN|ACK与ACK报文数量是否平衡,用差值与时间窗口内的ACK报文数值相比。再通过自适应调整时间窗口的大小,实时检测网络状态,并且用基于信息熵的方法去确定疑似的被攻击的目标。最后通过与其他两种报文统计的检测算法相比较,验证了本文算法在保证较高检测率的同时,又能有效地与突发访问进行区分。(2)提出了一种基于图挖掘的SYN flood检测算法:根据SYN flood攻击对虚假源IP地址的重复利用率将其分为两类。利用图挖掘技术,将两类不同的SYN flood攻击构图进行模式匹配,从而检测到网络是否发生异常。当发生突发访问时,其网络行为表现形式与第二类SYN flood攻击有诸多相似之处,再利用第三级判断区分出第二类SYN flood攻击与突发访问,最后实验验证了算法的有效性。