一般网络安全技术侧重于企业用户网络的系统入侵检测、防病毒软件或防火墙技术，这类安全措施通常并不能减少网络中的攻击流量。为了降低网络中的攻击流量，减少或消除用户所遭受的拒绝服务攻击，路由交换设备需要具备防范拒绝服务能力。路由器安全性问题也被认为是近年的核心问题之一，目前它已经成为各国的研究的一个热点，网络与路由交换设备具备防范拒绝服务攻击能力有着重要意义。 本文提出了一种基于源目的IP地址数据库的防范分布式拒绝服务(DDoS)攻击策略。该策略建立正常流量的源目的IP地址对数据库(SDIAD)，并使用扩展的三维BloomFilter表来存储SDIAD，采用哈希技术存储常用的合法源目的IP地址集合F。攻击检测引擎采用改进的滑动窗口无参数CUSUM算法对网络流量中的新的源目的IP地址对进行累积和分析，以快速准确地检测出DDoS攻击。对于SDIAD的更新，采用了延迟更新策略，以确保SDIAD的及时性、准确性和鲁棒性。该防范DDoS攻击策略主要应用于边缘路由器，不管是靠近攻击源端，还是靠近受害者端，它都能够有效地检测出DDoS攻击，并过滤掉攻击流量。仿真结果表明：该策略有着很好的检测准确率，提高了路由器和网络的安全性。 本文策略已在Linux平台，SDIM原型系统上得以实现，给研究在路由器上防范DDoS攻击提供了新的可行思路。