随着基于web的应用的迅速普及,许多关键服务都通过网络来提供。保证网络的安全和可用性因此成为必需的要求。分布式拒绝服务攻击,其以耗尽网络资源从而使服务不可用为目的,一直是网络中最难解决的安全问题之一。本文的研究工作主要包括:域内DDoS防御方案,基于多边标记的IP追踪以及基于多边标记的过滤方案。在目前整个因特网仍没有一套广泛部署的防御方案的情况下,局部网络(如一个域或ISP)由于利益关系明确,网络可管理性强,却存在先行一步部署防御方案的需求和可能。基于此,本文提出了点抽样技术,并以此为基础结合入侵检测系统和数据包过滤技术,提出了一个局部DDoS防御系统,从而给局部网络运营商提供了一种可以有效的将攻击数据拒于运营商网络之外的机制。基于多边标记的IP追踪方案的目的则是为了改善基于单边标记的IP追踪的缺点。基于单边标记的IP追踪方案虽然使得被攻击者具有获取攻击数据来源或者近似来源的能力,但是却存在着重建攻击图所需包数目多,攻击图重建算法收敛时间长,攻击源分布广时错误率高的缺陷。本文提出的多边标记方案基于空间换时间思想,通过使数据包携带更多的路径信息,减少追踪过程需要的包数目和构建算法的收敛时间,降低错误率。基于多边标记的包过滤方案则充分利用多边标记中数据包中丰富的标记信息和IP追踪获得的攻击图,并结合点权重,提出了相应的过滤算法。此过滤算法可以较准确的识别出攻击包和普通包,滤除绝大部分攻击包,而普通包的误过滤比例也得到了很大改善。为了验证和评估本文算法的正确性和性能,作者在网络仿真软件SSFNet上实现了相关算法,仿真了在DDoS攻击情况下的具体性能,<WP=5>并与其它方案进行了对比。仿真实验和对比均体现了本文相关算法的优势。