分布式拒绝服务(DDoS: Distributed Denial of Service)攻击借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,针对一个或多个目标发动攻击。因为DDoS使用分布协作的大规模攻击方式,从而成倍地提高了拒绝服务攻击的威力。它主要瞄准比较大的站点,象商业公司,搜索引擎和政府部门的站点。据调查,DDoS攻击中90%以上的攻击是针对TCP协议的,因此研究防范此类DDoS攻击对保护Internet的安全性和稳定性具有重要意义。DDoS攻击的防范方法研究吸引了广大学者的注意力,但目前依然缺乏有效的防范机制。DDoS攻击采用分布协作的方式,最佳的防范方法应是分布式检测与响应机制,然而当前的Internet采用一种松散的管理方式,不同的网络使用不同的网络拓朴结构和网络安全策略,异构的体系结构给设计分布式防范方法带来技术性困难。而部署问题是分布式防范方法另一个不可回避的现实困难。当前的Internet服务由不同的网络服务商提供,而大规模的分布式部署涉及到众多网络服务商的利益,因此分布式的防范方法还面对更多的非技术性困难。本文提出的防范方法的基本思想是在网络的不同位置使用独立的检测和响应机制,不依赖于其它子网的合作和网络基础设备的支持,这种独立的防范方法有着重要的现实意义。独立的检测方式给不同位置的防范方法带来不同挑战,本文分别针对各自的困难给出了解决办案,提出了适合不同位置的防范方法:在攻击源端的防范方法,在受害者端的防范方法和在无辜子网端的防范方法。1.提出攻击源端的轻量级检测方法。因为DDoS是从多个攻击源发起的分布式攻击,虽然当攻击数据在受害服务器端聚集后数据量很大,但在每一个攻击源端的数据相对较少,因此在这端进行防范的最大困难是不易区分攻击数据和正常数据。一方面为了达到准确的检测效果,需要记录更多的网络数据信息,意味着消耗更多的存储资源和计算资源,另一方面为了能吸引更多的网络服务商参与防范,要求尽量少的消耗网络服务商的资源。因此在保证准确检测的前提下,我们提出一种使用少量的存储空间和计算资源的轻量级方法。该方法使用基于Bloom filter的数据结构来提取网络信息,只需要固定长度的存储单元,避免DDoS攻击对动态存储结构的潜在威胁。同时检测方法中主要使用加减运算,只要求少量的计算开销,这样不会给处于攻击源端的网络服务商带来明显的性能下降。在提取的网络信息基础上使用变化点检测的方法(change-point detection)来发现网络信息序列中的分布规律的变化,由此来准确的发现攻击源端的DDoS攻击。在发现DDoS攻击后,还可以进一步分析攻击数据流中使用IP伪装技术的情况,将其分为随机伪造,子网伪造,固定伪造,