慢速拒绝服务（Low rate Denial of Service，LDoS）攻击是一种新型拒绝服务（Denial of Service，DoS）攻击，其产生的攻击效果近似于DoS攻击但攻击隐蔽性更强。目前LDoS攻击检测存在两方面的问题：其一是由于攻击行为特征异于传统DoS攻击，传统DoS攻击检测方法难以检测LDoS攻击；其二是已有的LDoS攻击检测方法普遍存在检测准确性不高、检测范围有限、算法复杂、资源消耗大且实时性弱、自适应能力欠缺等缺点。因此，深入开展LDoS攻击检测方法的研究对防范恶意网络攻击、保障网络安全具有重要的理论价值和现实意义。　　基于LDoS攻击的基本原理，借助形式化描述方法构建了LDoS攻击的攻击模型和攻击公式，提取了与攻击效果紧密相关的若干攻击参数，刻画了攻击参数与攻击效果和攻击效能之间的关系。为全面反映LDoS攻击对数据流量的影响，在相关研究的基础上建立了三个典型的网络场景，以用于分析、归纳并提取LDoS攻击发生时有效TCP（Transmission Control Protocol）流量和其它数据流量的频数分布特征、有效TCP流量的分布形态特征和波动形态特征。此外，为恰当评测LDoS攻击检测方法的性能，建立了LDoS攻击检测方法的评价指标。　　大量分析发现，LDoS攻击发生时有效TCP流量的频数分布、分布形态和波动形态均会发生异常。为检测有效TCP流量的频数分布异常，借助卡方距离在度量直方图距离时区分能力强的优势，通过计算频数分布的直方图距离检测频数分布的异常，提出了一种基于有效TCP流量频数分布异常的LDoS攻击检测方法，并建立了相关判断准则。在检测有效TCP流量分布形态异常的过程中，为了消除样本原始值偶然误差的负面影响，采用了自适应指数加权移动平均AEWMA（Adaptive Exponentially Weighted MovingAverage）算法统计样本原始值，同时通过从离散程度和振荡频率两个方面来分别检测分布形态的异常，提出了一种基于有效TCP流量分布形态异常的LDoS攻击检测方法，并建立了相关判断准则。在检测有效TCP流量波动形态异常的过程中，为了从较小的时间尺度观察波动形态，提出了数据片的概念，同时依据所检测数据片内波动形态的异常，提出了一种基于有效TCP流量波动形态异常的LDoS攻击检测方法，并建立了相关判断准则。　　针对仅使用单一检测方法检测单一异常特征有可能导致检测精度不够的问题，通过分析所提出的三种检测方法在不同检测环境下的优势和不足，结合三种方法具有的互补特性，构建了一个融合多种检测方法的LDoS攻击检测系统原型，给出了该检测系统的检测规则、处理流程及相关算法。　　模拟实验表明，在一定的网络环境下，所提出的三种LDoS检测方法检测准确度高，误报率和漏报率低。此外，基于通用数据集LBNL（Lawrence Berkeley National Laboratory）数据集与MAWI（MeasurementandAnalysis on the WIDE Internet）数据集和DARPA99（DefenseAdvanced Research ProjectsAgency1999）数据集的实验证明，所构造的检测系统能够适应复杂的网络环境，检测准确度高、误报率低。　　通过对LDoS攻击及其检测方法的研究，取得了若干理论成果，对检测网络攻击、保障网络安全、预防网络犯罪具有积极意义。