拒绝服务攻击(Denial of Service,DoS),尤其是分布式拒绝服务攻击(Distributed DoS,DDoS)已经成为最严重的网络安全威胁之一。由于TCP/IP协议设计之初的缺陷和因特网的开放性本质,以及攻击者的分布式等特性,使得预防和消除这类攻击变得十分困难。因此,如何防御因特网的拒绝服务攻击已成为网络安全领域的一项重要的研究内容。针对该领域中的主要问题,本文开展了一系列研究,主要体现在如下几个方面:针对静态路径标识技术的不足,提出了基于RF位的动态路径标识方案(RFPi)。以IP包首部的RF位作为标志,路由器根据当前数据包的TTL值,推算其已经过的旅行距离,动态插入1～16bits的标识。该方案最大程度地利用了标记域的空间,具有更好的部署可扩展性。为提高攻击包和合法包的区分效果,提出了多阶段的学习过滤方案。在实施Pi方案的前提下,通过多阶段的学习和过滤,将单次学习无法识别的混杂数据包再一次进行学习,达到提高区分效果的目的。由于DDoS攻击经常运用IP欺骗技术对攻击源地址进行伪装,增大了防御的难度。作者设计了基于历史IP地址和Pi值数据库(IPPiD)的DDoS攻击防御系统,提出了系统的部署策略和参数设定方案,并将统计分析的思想应用到了标记值和特征值的优化存储,有效减少了存储空间和匹配的查找时间,提高了系统对攻击的反应速度。以DDoS攻击防御研究的标准拓扑数据集作为实验数据,仿真实验表明,与静态路径标识方案相比,RFPi方案显著提高攻击包识别率,有效地改善DDoS攻击防御效果;相对于现有动态路径标识学习过滤方案,本文所提出的多阶段的学习过滤方案的接受率差值提高了10%～15%。