当前网络的规模不断加大,应用的普及程度越来越广,网络已经深入了我们生活的方方面面,因此网络的安全性也受到人们的高度重视。分布式拒绝服务攻击(DDOS)是一种攻击方法简单,但危害较大的攻击方式,它已经给政府和企业造成了严重的经济损失。DDOS攻击比拒绝服务攻击(DOS)造成的损失更大,它通过控制网络上众多的傀儡机向受害者发起攻击,因而加大了检测难度。对DDOS攻击的检测是网络安全领域研究的重点。本文详细讨论了DDOS攻击的技术原理,对DDOS攻击的检测方法做了介绍。传统的误用检测机制无法有效识别DDOS攻击,因为只有一部分攻击方式具有独特的协议特征,还有很多没有特征的攻击方法,因此依据特征码的检测方法效果不好。基于流量统计分析的异常检测机制,需要设定异常的阈值,这个阈值的大小没有设定依据,而且设定之后不能动态更新,也降低了该方法的实际应用效果。用机器学习的方法检测DDOS攻击,将攻击视为分类问题是近年来的研究热点,它使检测系统具有了一定的智能性,常用的有神经网络,数据挖掘的方法等。但多数方法忽略了DDOS攻击的特点,即攻击的发生相对正常网络流量较少,要获取攻击样本进行标注花费的成本很大,而且样本集是不平衡的,它属于分类领域的单类问题。大多数学习算法都是在有限的样本集上进行训练,训练完成之后不能主动的更新学习机模型,而且对分类的错误也没有错误识别机制,这样就不适用于网络流这样实时更新不断变化的样本集。为了解决上诉问题,本文使用单类支持向量机(One class SVM)来检测DDOS攻击,它是一种无监督的学习算法,减少了标注样本的开销,而且具有良好的泛化性能。为了降低学习机的训练和检测时间,使用了主动学习的方法。主动挑选信息量最大的样本加入训练集,通过增量学习算法提高了算法的学习效率,加入主动错误识别模块,可以发现和纠正分类器的错误,使学习机具有动态更新功能,具有实时性。因为现在DDOS攻击具有网络协同性,检测引擎也要能够相互通信,共享安全信息,因此,设计了一种安全联动协议,用于各检测引擎之间通信,实现分布式的攻击检测。实验表明,使用One class SVM能有效的检测出DDOS攻击,主动学习算法可以减少学习机的训练时间,可以主动更新学习机的状态提高分类器的检测率。联动协议可以安全有效的在各检测引擎之间交换信息,增强了网络的整体安全能力。