最初以科研用途的计算机网络广泛应用于现在的商业活动中，使这种开放互联的计算机网络面临着巨大安全问题。拒绝服务攻击是目前网络攻击中最难以防御的攻击，由于网络中存在很多容易被控制的主机，使得分布式拒绝服务(DDoS)攻击危害的越来越大。在几年前就开始了DDoS攻击的防御研究，但目前仍无有效的DDoS防御措施，而此类攻击又朝着多样化发展，如隐蔽DDoS攻击、反射DDoS攻击与大规模DDoS攻击。由于大规模DDoS攻击的出现频繁，而且危害极严重，因此大规模DDoS攻击与防御是本课题主要研究对象。对不同传输协议的DDoS行为特征进行试验研究，得出了在DDoS攻击与防御两方面UDP流量都强于TCP流量，增加途径缓冲深度对减弱攻击影响情况。实验还得到可以量化对DDoS攻击效果的攻击时间，并将最短攻击时间作为评估防御系统的有效性的量化参数，将此作为防御系统的一个评估参数。对网络安全的工程设计有重要的参考价值。现存DDoS攻击防御措施多数只部署在受害者端，当流量过大，防御系统设置增加终端负担，从而使目标终端的网络拥塞。本文从整个Internet网络结构入手，找出对付大规模DDoS攻击的最佳防御点，在攻击源端的区域ISPs网络与受害者的区域ISPs网络进行联合防御结构，而在这些ISPs网络内进行分布分级的防御思路，从而形成了基于区域ISPs网络的分布防御系统，即RIDD系统。该系统综合了异常检测与数据包分类方法优点，避免他们部署上的不足。根据防御系统的及时性参数对这个防御系统进行了可行性论证，并提出部署该系统的惩罚机制。提出在我国的CERNET网中应用RIDD防御大规模DDoS攻击的方案。本文主要贡献：1)通过实验得出DDoS行为定量特征，弄清楚了DDoS带宽攻击的特性。2)得出评估DDoS防御系统有效性的量化方法。3)提出防御大规模DDoS攻击的分布防御系统，该防御快速、准确、有效。4)对RIDD防御系统做了可行性分析与RIDD系统的部署建议。