现代社会对计算机网络的依赖性愈来愈强。从而,网络安全是何等重要的问题,不言而喻。在网络安全方面,检测分布式拒绝服务攻击(DDoS)一直是重要研究内容。在入侵检测方面有两类系统：基于主机的入侵检测系统(IDS)和基于网络的IDS。基于网络的IDS以网络流量为检测对象,它又可分为两类：误用检测和异常检测。误用检测基于以往攻击事件的特征库,故误用检测的IDS能准确检测旧式攻击。误用检测对新变种的DDoS攻击显得软弱无力,因为新变种的DDoS攻击的新特征尚不在特征库内,故可以百分之百地逃避误用检测。本文工作属异常检测。异常检测适合新变种的DDoS攻击。但是,若把异常流量判别为正常则出现漏报。对于一次报警,把异常流量识别为异常的概率有多大?漏报概率有多大?这些是异常检测的可靠报警问题,是异常检测的棘手问题。所谓可靠报警,是指所采用的异常检测器在原理上就具备那么个特性。用户可预先设定报警概率和漏报概率。可靠报警是此文研究的IDS的主要特点。传统DDoS攻击的基本特点是数据速率特别高。故IDS常按高速率检测,包括我们以前的工作。近年来,出现了一种低速率DDoS攻击,其目的是逃避常规IDS。因此,如何可靠地检测低速率DDoS攻击成了颇有意义的研究问题。本文提出一种可靠检测低速率DDoS攻击的IDS。它有三部分组成：1)网络流量的实时采集模块,2)检测决策模块,3)报警模块。整个系统,其输入是网络流量,输出是就异常流量发出的报警信号。该系统的主要特点是能按用户指定的检测概率作出决策和报警。本文主要贡献：1)对低速率DDoS攻击原理以及方法进行分析,把当前的低速率DDoS攻击与防御进行分类。2)提出一种能够准确检测低速率DDoS攻击的IDS,并且对系统进行了仿真实验。3)用NS2对以TCP为目标的低速率DDoS攻击进行了仿真实验,验证攻击中各个参数的最佳选择。