近年来出现的分布式拒绝服务(Distributed denial of service,DDoS)攻击具有实现简单、破坏性大的特点,因此为攻击者广泛使用,其对网络安全形成了巨大的威胁。目前DDoS攻击中最常见的攻击方式是SYN Flood攻击,其在带宽消耗攻击和系统资源消耗攻击中都有体现,极具典型性。本论文主要针对SYN Flood攻击,基于Packscore算法实现了一种基于网络流统计过滤方案的防御系统,重点研究针对SYN Flood攻击的统计属性的提取和划分,以及其防御算法的实现等关键技术。本论文首先从DDoS攻击的安全事件,DDoS攻击在TCP/IP网络中流行的原因,DDoS攻击的分类和DDoS攻击的防御方法的分类四个方面来概要性的介绍DDoS攻击及防御。接下来,通过对SYN Flood攻击的原理和方法进行深入的分析研究,论文从典型的防御方案和基于数据流统计概率特性的防御方案两个方面介绍了国内外防御该类攻击的研究现状,并主要对Chao等人提出的Packetscore算法进行了仔细地分析和总结,评价其优缺点。然后,针对SYNFlood攻击发生时网络数据流的统计特性发生变化的特点,结合Packetscore算法,设计了防御SYN Flood攻击的PacketGuard防御系统。系统建立了一个符合SYN Flood攻击流特点的统计属性集,并结合正常流和攻击流在统计属性概率分布的不同,对各统计属性进行合理的划分,以使统计结果更好的区分正常流和攻击流。系统将Packetscore算法各模块进行工程上的简化和建模,并用Standard C,Raw_socket机制,多线程编程相关技术,在Linux平台上架构实现PacketGuard防御系统。最后,本文通过模拟不同类型和不同速率的SYN Flood攻击流对PacketGuard防御系统进行测试,证明了该防御系统具有较好的可行性与实用性。