拒绝服务攻击是近年来互联网的重大威胁，这种攻击使得计算机系统或者网络无法正常运转，从而使得合法用户获得的服务质量降低甚至无法获得服务。经过十年的发展，拒绝服务攻击呈现新的特点，例如使用更多主机发功攻击，降低单台主机的攻击强度以逃避检测；采用新型的攻击方式，如脉冲式拒绝服务攻击等。而目前对拒绝服务攻击的检测方法往往着重于总体流量的检测，无法辨别正常用户和攻击主机。本文提出一种基于隐马尔可夫模型的异常流量检测方法：在训练阶段，通过采用大量正常用户的流量对模型进行训练，得到正常用户流量的评价模型和或然概率正常区间；在检测阶段，计算待检流量相对评价模型的或然概率，根据其是否落在正常区间判断待检流量来自正常用户还是攻击主机。鉴于Web流量本身具有多样性的特点，我们进一步使用基于隐马尔可夫模型的聚类算法，对Web用户流量进行聚类，对每个聚类的用户流量再分别建立评价模型，以提高检测效果。针对新出现的脉冲式拒绝服务攻击，我们提出一种基于流量摘要的检测方法，在观测周期内使用CountingBloomFilter对通过链路的流量进行摘要，观测周期结束后对总体流量进行检测判断是否存在攻击，如果存在攻击则进一步使用流量摘要对攻击流进行过滤。最后，针对拒绝服务攻击会造成网络性能下降的特点，提出一种对排队时延、时延抖动和丢包率等网络性能指标测量的方法，并通过对不同场景下的网络性能指标的测量，验证了该测量方法的有效性。