网络安全一直是被人们忽视而又最难解决的问题,特别是那些由恶意用户所发起的网络攻击,如DoS和DDoS.虽然DoS/DDoS网络攻击能被看作是一个拥塞控制问题,但大多数这样的拥塞是被那些没有遵守传统的端-端拥塞控制的恶意用户所造成的,因此这个问题必须通过IDS系统和中间节点(路由器、交换机等)的合作来进行解决.主动网络体系结构的提出为这个问题的解决提供了有利的条件.在主动网络中,计算功能被增加到每个主动节点里,从而可以在主动节点里鉴别并优先丢弃那些属于DoS/DDoS网络攻击的流量包.下游主动节点也能通告上游主动节点来丢弃这些包,以使得正常的流量包能得到更多的上游带宽而顺利通过.该文主要提出一个防御DoS/DDoS网络攻击的机制体系以及实现这个机制体系的相关策略.这个机制体系建立在主动网络基础之上,主要包括以下三个机制:基于集群的自动鉴别和控制机制、基于集群的主动通告追踪机制和基于管理域的控制合作机制.