随着网络技术与和互联网应用的发展,网络安全问题显得越来越重要。拒绝服务攻击由于其实现容易、追踪困难、后果严重等而成为最难解决的网络安全问题之一。IP追踪技术是应对拒绝服务攻击的重要手段之一。本文重点研究IP追踪技术中的概率包标记算法,并在追踪的基础上,研究入侵防御技术。本文在分析当前互联网安全现状的基础上,首先研究了拒绝服务攻击的攻击机制、方法以及防御技术,着重对以概率包标记的方式的追踪攻击来源算法进行了深入的研究,分析了各自的优缺点,并针对动态概率包标记进行了改进,给出了改进的动态概率包标记算法ADPPM。该算法利用标记域中的距离域(distance)选择标记概率,既可使得其重构攻击路径时所需的数据包数量接近理想值,又可以有效抵抗攻击者伪造TTL域和距离域带来的影响。同时,该算法将标记分为节点标记和边标记的三片路径信息存储于IP报头的服务类型域和标识域,既充分挖掘了IP报头空间,又能不需要网络拓扑图就可重构攻击路径。通过使用流行的网络模拟软件NS2对标记方案进行了模拟对比,验证了此算法的优越性。针对现有的IP追踪技术仅聚焦于追踪攻击源,而几乎没有考虑在攻击发生时削弱攻击影响的情况,本文在深入研究Windows平台下基于NDIS中间层驱动的封包截取、过滤技术和基于IP追踪的智能包过滤技术的基础上,设计了基于ADPPM的入侵防御系统,该防御系统借助ADPPM方案获得攻击包信息,在边界路由和受害者端过滤攻击包。在NS2模拟平台上对该防御系统的过滤性能进行了测试,实验结果表明,对于攻击数据包的过滤比例可达85%以上,从而可以提高合法流量的整体吞吐量。并且该系统充分考虑到一旦边界路由器失效,可在受害者处使用中间层驱动阻断攻击,保证系统的安全。