互联网的惊人增长和成功已经改变了传统基本服务如银行、交通运输、医药、教育和国防的运作方式。现在,它们正逐步被更便宜、更有效的基于互联网的应用取代。在当今时代,世界高度依赖于互联网,而互联网被认为是全球信息社会的主要基础设施。因此,互联网的可用性对于社会的经济增长非常关键。然而,互联网架构的固有弱点,为很多针对互联网基础设施和服务进行的攻击提供了可能性。拒绝服务攻击就是这类网络攻击中的一种,它对网络安全构成了巨大的威胁。本文针对在一个大规模网络中阻断拒绝服务攻击这—特定需求,设计和实现了基于决策的网络攻击阻断系统,该系统致力于提高阻断的准确性和安全性,降低防御成本,提升整体防护能力。文章通过对拒绝服务攻击的特点进行分析,并对一些分布式拒绝服务攻击防御方法的工作机制和优缺点进行分析和比较,明确了系统设计的难点和挑战,进而从入侵响应和入侵阻断两方面划分了整体功能需求。以需求划分为依据,将系统划分为自动响应决策子系统和分布式过滤子系统。自动响应决策子系统被用于完成入侵响应,它使用入侵检测技术和溯源技术对入侵事件进行评估,并通过拓扑分析和阻断节点性能代价预估做出阻断决策。分布式过滤子系统使用集中式的过滤节点管理机制和自适应的过滤实施方法,能够保障阻断策略被安全、快速、高效的实施。两个子系统密切协作,共同完成阻断拒绝服务攻击的任务。最后在试验网络中模拟攻击环境对系统进行测试,系统的整体防御能力在测试中得到了验证。