针对现行DDoS攻击检测方法存在着诸如检测率不高、适用范围不广、突发业务流与DDoS攻击难于区分等缺陷。在分析了DDoS攻击对网络流量大小和IP地址相关性的影响基础上,本文提出了基于网络流相关性的DDoS攻击检测方法。首先对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。接着分析IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,结合对网络流中流量大小和IP地址两个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。针对改进后的算法本文设计并部分实现了基于IP地址相关性的异常检测系统模型。模型由流数据采集模块、流信息统计模块、异常检测模块和报警信息呈现模块组成。流数据采集模块对采集来的流信息先进行单流检测,对异常特征较为明显的单个流进行过滤,随后将采集的流信息存入数据库；流信息统计模块将采集的流信息按一定的规则进行聚合,将得到的数据存入数据库,并通过信息呈现模块显示用户感兴趣的统计信息；异常检测模块将新的异常检测机制应用于本系统,不仅能发现流量异常,而且能及时进行报警,提高了监测系统的实用性。