拒绝服务(DoS)攻击通过向网络发送大量要求回复的信息，消耗网络带宽和资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。分布式拒绝服务(DDoS)攻击是指大量攻击主机同时对受害者发起拒绝服务攻击。分布式拒绝服务攻击通常采取分布、协作的大规模攻击方式，主要瞄准象商业公司，搜索引擎和政府部门这些比较大的站点。它利用一批受控制机器向一台机器发起攻击，来势迅猛且具有较大的破坏性。在DDoS攻击中，攻击者通常采用伪造的IP源地址，这样就使得确定攻击的IP源十分困难。 关于DDoS攻击的IP追踪，业界已经提出了多种方法。其中Savage等人提出的概率包标记的方法引起了较多的关注。但是这种方法同许多其它的追踪方法一样，都只能重构出近似的攻击路径，不能在攻击进行时阻断攻击或者削弱攻击造成的影响。本文提出了基于包标记的DDoS主动追踪模型，不仅能够进行IP追踪，还可以在攻击进行时削弱攻击造成的影响。该模型将来自攻击方的流量以较大概率过滤掉，从而提高正常流量通过的总量。攻击流的判定是根据攻击源追踪的结果来进行的，即如果数据包经过的边与追踪得到的边相同，则认为很可能是攻击流，应该被过滤掉。本文将模型根据功能分为两大子系统即攻击源追踪子系统和攻击流过滤子系统来介绍。对于攻击源追踪子系统本文采用自适应的概率标记数据包，使得样本分布均匀，同时采用包头压缩技术扩展了标记空间，降低了路径重构的收敛时间。攻击流过滤子系统将标记数据包中的标记分类，含有不同类型标记的数据包分别以不同的概率通过。