在当今众多的网络安全事件中,分布式拒绝服务(DDoS Distributed Denial of Service)攻击由于其与生俱来的操作简单性、破坏严重性和防御困难性,一直以来是网络安全面临的重大威胁之一,因此针对DDoS攻击防御新手段的研究有着重要的意义。本文首先以防御系统部署位置的不同,分三种类型介绍了当前DDoS攻击的防御技术;并引入了网络效用最大化(NUM Network Utility Maximization)和对偶理论的概念。然后再针对当前一种危害程度较大、基于宽带的大规模DDoS攻击特点进行重点分析。这种攻击可在现有的防御系统响应之前,迅速阻塞网络,瘫痪大量的网络传输结点。在这种攻击发生的情况下,即使一些合法的访问数据流并不在直接受攻击的范围内,但如果这些数据流的路由经过攻击流的部分路由链路,那么这些合法的访问数据流也会受到相当严重的附带损害。鉴于上述情况,本文提出一种基于网络效用最大化的主动防御机制(NUM-PDM Proactive Defense Mechanism based on the NUM)。此机制部署在介于攻击者源端网络和被攻击者终端网络之间的中间网络当中,作为防御DDoS攻击的前沿阵线。NUM-PDM的主要目标是通过最大化的利用网络资源,预先为流经核心骨干网络的不同数据流提供一个宽松的隔离带宽,使得发生DDoS攻击时,由攻击流对正常数据流所带来的附带损害减少到最低,并在确定攻击流的情况下,对其进行进一步的遏制,从而实现对DDoS攻击的防御。最后通过模拟真实的核心骨干网络来构建一个网络模型,并采用真实的正常业务流和攻击流数据,从三个指标对本文提出的主动防御机制的效能进行评估,实验数据证明了该防御机制能明显减少攻击流对正常业务流造成的附带损害。