近几年DDoS攻击的危害越来越明显,DDoS攻击直接对经济、军事、国土安全等方面造成巨大影响。作为现代互联网中重要的防护屏障,防火墙在保护网络的安全性方面起着不可估量的作用。面对互联网攻击流量逐年增大的趋势,防火墙已不仅仅要起到重要的防护作用,还应及时应对攻击流量,使其造成的危害最小。在DDoS多种攻击类型中,SYNFlood攻击依然是出现频次最高的攻击,本文主要针对防火墙端如何快速检测SYNFlood攻击以及出现攻击时系统该如何快速过滤攻击流量展开的。本文结合正常流量在时间序列上的特点以及SYN Flood攻击发生时的特征,提出了一种实时监测的方法-动态阈值K-NN-LRI。该方法使用K数组的方式简化了原始K-NN算法的计算步骤,使其计算量大大降低,同时也改进了动态K-NN累计距离异常点检测算法中因流量骤减产生的误报,提高了正确率。该方法结合流表空间数以及SYN包数量、RST包数量、FIN包数量等特征采用线性回归不等式的方法进行判断是否存在SYN Flood攻击。最后在MATLAB下进行仿真实验,结果表明本方法的有着较高的正确率、攻击检出率以及较低的误报率。当检测出SYNFlood攻击时,为了能为明显的过滤掉攻击流量,本文结合主动队列管理的机制提出了一种基于多阈值的流公平SYN-BLUE算法。该算法首先根据TCP友好公式,推算出丢包率和流的连接数以及表现流公平特征的窗口值存在二次方的关系,并根据SYNFlood攻击的特点设定了不同的阈值,根据阈值的不同,采取不同的力度进行对抗SYNFlood攻击。最后在局域网环境下进行模拟实验,实验数据表明,当DDoS攻击发生时该方法能主动提高丢包率,提高防火墙系统的吞吐量,保障了合法用户的服务质量。