网络攻击带来的安全问题层出不穷，特别是拒绝服务攻击(Denial of Service, DoS)，已经成为网络安全性的最主要威胁之一，造成了大规模的恶意数据包泛滥。识别和分类恶意数据包作为攻击防御技术研究的重点，具有重要的技术和社会意义，已成为网络安全研究较为活跃的领域，取得了一定的突破，但仍存在诸多不足。本文以数据包标记技术为基础，具体采用权证标记，立足现有因特网，同时面向下一代安全因特网(Next Generation Security Networks, NGSI)，在网络层研究恶意数据包识别与分类的若干新技术，提出多个具体的优化和创新方案，力求获得较好的攻击防御效果。研究内容涉及了网络通信、网络仿真、密码学等多个技术领域，研究工作主要体现在以下4个方面：⑴因特网拓扑数据处理。拓扑数据处理是研究恶意包识别与分类的基础之一，本文分析了AS级和IP级的拓扑数据，提出完整的拓扑数据处理模型，并对处理结果进行可视化分析。具体研究内容包括拓扑数据集统计特性、网络度分布、聚集特性和幂率等指标的分析，并以Skitter数据集为例，进行具体的分析和研究。⑵恶意包识别与分类的TVA架构优化。TVA架构以权证技术为基础，对恶意数据包进行识别与分类，缓和和降低网络攻击造成的威胁。然而，TVA中权证过于单一，严重影响了网络的传输效率，较难满足网络的线速度处理要求。本文基于TVA架构，提出权证的优化和管理方案，具体包括自适应预权证和权证、动态权证授权以及基于索引和最近最久未使用算法的权证管理。⑶基于权证的恶意包分类过滤器设计与实现。传统过滤器以规则为基础对数据包进行识别和分类，存在分类的安全性和效率问题，对于伪造攻击更是如此。本文在分析和总结已有数据包分类技术的基础上，提出基于权证的恶意数据包识别与分类过滤器。具体内容包括未采用权证的过滤器理论和实验分析，采用权证的过滤器设计、实现和仿真分析，实现具有抗攻击的恶意包识别与分类过滤器。⑷DoS恶意包阻止和限制架构设计。DoS攻击是网络安全性的主要威胁，而恶意数据包泛滥是DoS形成的条件，因而基于恶意包识别与分类的DoS攻击防御具有重要的现实和技术意义。本文深入分析和讨论了权证、数据包分类、拥塞控制和过滤器等，提出DoS恶意包阻止和限制架构，解决已有过滤器存在的问题。利用NS2和真实因特网拓扑数据集的仿真试验表明，本文提出的方案能有效提高网络的防御效果，降低防御方案对网络性能的影响，减轻受害主机遭受攻击的影响。研究成果重在为NGSI架构提出新的建议，促进因特网安全有序的发展。