DDoS攻击是当今互联网安全的主要威胁之一,由DDoS攻击引起的网络安全事件层出不穷。随着当今互联网链路速率和带宽的不断增加,在现有硬件条件下维持通过链路的所有连接状态变得越来越困难。如何找到一种轻量级的实时在线DDoS防御方法成为研究者越来越关注的问题。本文研究在深入测量分析当前网络业务特点和流量特征的基础之上,根据实际链路的测量结果中得出的网络中数据包源IP地址和最终TTL值之间的映射关系保持稳定的特性,提出了一种基于IP地址检测和主机安全指数的轻量级实时在线DDoS防御方法。该方法利用数据包IP头部中包含的源IP地址和最终TTL值之间的映射关系描述数据包发送主机在链路中的逻辑位置,通过训练阶段与检测阶段中数据包源IP地址和最终TTL值之间映射的对比结果判定数据包源IP地址是否被伪造。同时,本文分析当前网络环境下流量特征的变化及其对基于IP地址检测的影响。由于当前网络流量的动态性不断增强,基于IP地址检测的DDoS防御系统的训练效果受到严重影响。因此在本文的研究中引入了主机安全指数作为量化当前链路遭受攻击概率的重要参数,通过计算链路当前的主机安全指数并将其与事先确定的阈值比较确定当前系统是否遭受攻击。本文同时给出了该防御方法在Linux上的原型系统设计,详细介绍了系统各模块的功能划分和设计实现方法。在基于TTL值的伪造IP地址检测中,使用Bloom Filter作为系统训练数据集合的存储结构,降低了检测阶段系统的存储和查找的时间和空间开销,同时使得系统更加易于硬件实现。同时给出了一种简单可靠的哈希函数设计,该哈希函数仅仅包含18次与操作和10次移位操作。这使得系统检测性能大幅提升。基于内核链表实现的怀疑主机列表在提高系统可靠性的同时将系统开销降至最低。实验结果表明,使用该方法可以显著提升系统检测的准确性。在当前网络环境下HCF的误判率超过40%,而同样环境下应用本文中方法的误判率仅为2%,且系统误判率不随攻击强度变化而变化,随训练时长变化较小(少于超过1%)。性能方面,系统平均处理一个数据包平均需要200个CPU时钟周期左右,数据包检测系统开销不随攻击强度增加而增加,且随训练时长变化较小(少于50个CPU时钟周期),能够满足高速链路DDoS防御系统的需要。