近年来，Internet的发展和宽带技术的广泛应用，带来经济和社会效益的同时，也给网络安全也带来了极大的挑战。特别是以DDoS[1]为首的各种恶意攻击，成为各中大型网站的恶梦。 在大流量的掩盖下，DDoS攻击往往变得难以检测。现有的大多数的入侵检测系统，往往采用粗粒度的判决方法，一旦判决失误，就可能影响正常流量的访问，使攻击流量对系统和服务器造成很大的伤害。如何在大流量的网络环境下保证网站安全，抵御DDoS攻击，是当前亟待解决的问题。 本系统鉴于粗粒度判决方法的缺陷，采用了按用户数据流的正常程度来分配网络带宽的设计思想。系统首先利用Cookie的信息对用户数据流进行区分，根据每个用户所带的Cookie ID，对用户进行标志。在用户区分基础上，利甩隐半马尔科夫模型[2]对具体的用户行为进行分析，计算其正常程度值，并根据正常程度值为用户分配相应的带宽，使正常程度高的用户得到较高的带宽。这样，能较好地抑制恶意攻击流对服务器的影响，同时能较高程度地确保正常用户得到服务。 本文实现了用户区分部分的设计和实现。用户区分部分是整个系统的入口模块，包括cookie用户区分模块和新用户到达率控制模块，分别对旧用户和新用户的数据包进行处理。在本文的最后对系统进行了Workbench仿真和实际环境测试，验证了在大流量下系统的基本功能和性能。