近年来出现的拒绝服务攻击(DoS)对网络安全和信息的可用性造成了巨大的威胁，随后出现的综合分布式攻击和拒绝服务攻击特点的分布式拒绝服务攻击(DDoS)更加隐蔽，更难被发现。现在对于DDoS的研究已成为攻击研究的热点，国内外一些厂家也开发出了专门的应对产品，但要想很好地检测和防范DoS／DDoS以彻底保障系统的安全性，仅仅靠外部的防范是不能达到最终的良好效果的。我们不得不将目光投向受攻击的最终目标：关键的数据资源和其赖以存在的服务器系统。 Linux因其健壮性、可靠性、灵活性以及可定制性而在IT业界变得非常受欢迎，所以目前服务器大多使用Linux操作系统。本文选用Linux系统作为基础，并利用LSM框架将内核补丁Netfilter防火墙、LIDS入侵检测作为LKM形式出现，架构一个主机安全防御系统。一方面在服务器上利用Netfilter基于状态的和无状态的包过滤技术设置网络安全策略增强其检测和抵御DDoS攻击的能力，尽量减少DDoS攻击实现的可能性，以保护网络服务的正常使用；另一方面利用LIDS的安全访问控制技术设置系统安全策略，以增强系统自身的安全性能，避免主机系统成为DDoS攻击的傀儡机及减少攻击发生后对主机系统所造成的破坏和损失。在服务器上建立的检测和防御DDoS攻击的主机安全系统，作为网络安全的最后一道屏障，是网络全局安全体系的有效补充。