随着计算机技术的迅速发展和互联网应用的日益普及,网络已经成为我们获取信息、进行交流的主要渠道之一。但随着各式计算机病毒和恶意网络攻击的产生,网络安全也越来越受到人们关注。近年来,拒绝服务攻击(DoS)已经成为最严重的网络威胁之一,而分布式拒绝服务攻击(DDoS)更是将DoS的危害性扩大开来,DDoS攻击因为攻击流量大,攻击源多难以过滤,攻击源IP真假难辨,攻击者间接攻击身份更为隐蔽等特点已经成为网络安全的重大威胁之一。本文在分析DDoS攻击原理及攻击特征的基础上,提出了基于流量清洗技术的DDoS攻击防御系统的实现方案,该方案通过在现有常见DDoS攻击防御方法的基础上,引入流量清洗的思想,系统对被保护网络的镜像流量进行检测,检测发现攻击时,将被保护网络的流量牵引到清洗平台上进行流量清洗,再将正常流量回注到被保护网络,完成对网络的保护功能,从而使得防御的性能得以提升。相比传统的DDoS防御方案,比如增设网络防火墙等方式,这种流量清洗防御系统有比较突出的优点,提高了DDoS攻击检测防御的实时性和准确性。基于这套方案,本文设计了防御系统的架构模型,并详细阐述了用户管理,网段管理和流量策略统计等主要模块的设计与实现,最后根据方案完成了相应软件程序的实现。本文给出了流量清洗防御系统的测试结果与分析,测试数据表明该系统完全满足设计要求,并且该软件系统已成功应用于一家著名网络通信技术公司的高端交换机设备,具有广泛的市场前景。