当前网络安全的威胁日益严重,各种网络安全事件层出不穷。由于绝大多数的攻击者都使用伪造的IP地址,使得难以区分攻击者的来源,更难以对攻击者进行追踪定位,从而不能有针对性的实施保护策略,也阻碍了入侵反击、恢复功能的发挥。因此,攻击源定位问题在网络安全中占有重要的地位,是入侵反击、恢复的前提,它也为事后的法律制裁提供重要的证据。就目前的研究状况来说,该领域的研究基本上处于刚起步阶段,至于成功的应用还未见报道。由于目前网络构成的复杂性和网络协议自身的安全性问题,要准确地将攻击源定位到某一台主机存在很大的困难。基于这种情况,本文将提出一种追踪攻击者到所在的网络边界的攻击源定位的方法,并在可控网络范围内实现基于该方法的攻击源定位系统,通过该系统可以将入侵者定位到进入可控网络的边界入口上。本文首先综合分析了当前已提出的各种攻击源定位的方法。针对当前方法存在的一些问题和可控网络的特点,提出了定位攻击源到边界路由器的边界包标记算法(BPM)。为了使得该标记算法具有更好的适应性,进一步提出了可适应分片的边界包标记算法和基于路由器入口地址编码的边界包标记算法。针对不同的标记算法,本文给出了相应的边界路由器IP定位的恢复算法以及受害端主机的数据采集策略。为了防止可控网络内部出现虚假IP的多跳攻击,提出了在可控网络内部可以采用的IP认证方法。为了评价提出的边界包标记定位法(BPM),本文将边界包标记算法同当前研究较多的概率包标记算法进行对比分析,得出边界包标记法在定位收敛速度、实现难易度和兼容性等方面优于概率包标记法,尤其在可控网络范围内,更适合采用边界包标记法进行攻击源定位。最后,本文给出了在可控网络实施攻击源定位系统的部署环境和总体设计方案,并给出了系统的实现平台及实验结果。通过对比实验的结果可看出边界包标记算法具有良好的性能。