网络入侵检测系统通过监听、分析网络报文达到检测入侵的目的。入侵检测系统通常采用协议分析、模式匹配等技术逐个分析网络报文。不断发展的攻击技术和互联网发展的现状对入侵检测系统提出更高的要求：1)入侵检测的立足点不仅是检测到攻击，更重要的是为阻断攻击提供信息甚至能够达到实时阻断攻击数据流的目的；2)必须能够发现采用协议分析、模式匹配的报文分析方式难以发现的一些特殊攻击如分布式拒绝服务攻击等；3)高速网络的应用对入侵检测系统的性能提出新的要求，传统的入侵检测方法存在检测效率和响应时间的问题。 为解决上述问题，本文在针对分布式拒绝服务攻击的研究中做出有益的尝试：1)在检测入侵的基础上为阻断攻击提供信息甚至直接阻断攻击数据流；2)采用统计分析数据流的方法以对付分布式拒绝服务攻击等攻击；3)采用分布式的结构以适应高速网络的要求和更好地达到阻断攻击流的目的。 本文主要从实用角度分析解决检测攻击的两个问题：1)检测位置。因为分布式拒绝服务攻击的特殊性，其攻击流从网络的各个角落向目标主机发送。为了能够阻断这些攻击流，检测的位置就要尽可能的靠近这些攻击流发出的位置。这样的设想使得我们的检测系统不可能只局限在被保护网络中。2)检测效率。各种逃避入侵检测的攻击方法迫使入侵检测系统不得不在数据包的分析上进行大量工作。分布式拒绝服务攻击带来的巨大网络报文流使得这些工作亦耗费入侵检测系统大量资源。显然，入侵检测系统对付这样的攻击不可能采取对数据报文仔细分析的策略。 具体的，本文的工作包括以下几个方面：1)分布式拒绝服务攻击分析。本文对分布式拒绝服务攻击的危害、历史、原理、发展趋势等作了较为详细的分析，并且对分布式拒绝服务攻击进行分类。2)流量控制。针对以下几个问题展开研究：控制什么可以控制流量；流量控制技术解决的问题；在Linux下如何实现流量控制防御分布式拒绝服务攻击。3)分布式拒绝服务的检测。研究了在Linux下实现分布式拒绝服务攻击检测的方法。4)在上述工作的基础上提出了分布式攻击检测和阻断系统。 分布式攻击检测和阻断系统是一个从实用角度考虑实现的松耦合的分布式入侵检测系统。通过相互信任的不同网络关键节点上的检测系统的通信达到检测、阻断分布式拒绝服务攻击这类攻击的目的。