在过去的二十多年里,人们见证了互联网的快速兴起。然而,它的应用前景随着拒绝服务攻击(Denial-of-Service attacks, DoS攻击)的出现受到了严重的影响。特别是在2012年后,混合DoS攻击的出现,使得攻击者变得比以往任何时候更加猖獗。因此,如何缓解DoS攻击成为互联网安全领域一个亟待解决的问题。反应式包过滤技术作为一种在DoS攻击发生后阻止攻击流、保护公共网络及其附属设施的关键技术,受到了学术界的普遍关注。虽然针对反应式包过滤策略已取得一定研究成果,但是目前还存在以下不足：(1)无法溯源混合DoS攻击；(2)因过度投入过滤路由器导致网络传输性能降低；(3)过滤器的不足致使攻击流过滤过程中大量正常请求被丢弃(也称为间接伤害)。为解决上述问题,本文围绕DoS攻击的IP源地址伪造和攻击源数量庞大两个基本特征,对反应式包过滤技术的IP溯源和攻击流过滤问题进行了深入的研究,主要工作和贡献如下：1.提出了一种基于路径的精确且高效的单包溯源方法,以应对混合DoS攻击的源地址伪造问题。在已提出的单包溯源方法中,包记录是最常用的技术,但它会引起存储开销大和溯源精度低等问题。因此,本文提出一种基于路径的单包溯源方法(PSIT)。借鉴MPLS网络的标签转发原理,该方法利用路由路径建立一条溯源路径,取代包记录。与已有方法相比,它拥有以下特点：(1)路由器的存储开销只与经过它的路由路径有关,而与路径上转发包的数量无关；(2)路径回溯过程中查询路由器的数量只与路径长度相关,而与它的邻居数无关；(3)较高的溯源精度。2.提出了一种基于K-Means的高效的过滤位置优化算法,以解决过滤路由器过度投入问题。考虑到过滤路由器可能影响网络的传输性能,合理的反应式包过滤策略应该限制过滤路由器的投入数量。由于过滤位置直接决定了被保护的带宽资源,因此选择合适的过滤位置保护更多的带宽资源成为关键问题。本文首先将过滤位置选择问题形式化描述为整数线性规划模型,然后设计高效的启发式过滤位置优化算法(KM-LOC)。实验结果表明,与攻击源端过滤策略相比,整合该算法的过滤策略仅使用20%的过滤路由器就能够保护70%的带宽资源。3.提出了一种基于过滤器的高效的中间网络反应式包过滤策略,以解决间接伤害较大问题。已提出的反应式包过滤策略或者因没有考虑过滤器不足造成巨大的间接伤害,或者因过度开启过滤路由器造成网络传输性能的下降。本文提出一种基于过滤器的中间网络反应式包过滤策略,它在控制过滤路由器的投入数量的同时,带来的间接伤害较小。该策略首先使用PSIT方法重构攻击路径和识别攻击流特征；然后使用KM-LOC算法确定过滤位置；最后,为了最小化间接伤害,将过滤器选择问题形式化为整数线性规划问题并且设计高效的增量式更新的过滤器选择算法。实验结果表明,与已有策略相比,该策略仅使用20%的过滤路由器,而带来的间接伤害不到10%。