随着Internet网络的飞速发展,网络安全成为其中的主题之一.分布式拒绝服务攻击（DDoS）在各种攻击手段中是危害最广泛、最难防御的一种攻击方式.传统的防火墙技术不能有效的对DDoS攻击进行阻击.入侵检测是一种增强系统安全的有效方法.其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动.检测时,通过对系统中用户行为或系统行为的可疑程度进行评估,进而根据评价结果来鉴别系统中行为的正常性.从而帮助系统管理员进行安全管理或对系统所受以的攻击采取相应的对策.该文基于入侵检测的思想,针对分布式拒绝服务攻击,在现有的检测技术与手段基础上,提出了一个防御DDoS的三层检测模型.首先,在第一层设置陷阱IP,目的是检测并记录分布式拒绝服务攻击前的扫描动作;其次,在第二层设置攻击特征字符串匹配检测,检测到之后与第一层中的记录信息进行比较,从而更加准确判断是否有攻击的存在;最后,在第三层设置基于主机的检测,当系统遭受分布式拒绝服务攻击时输入的信息流量远比输出的信息流量大,此时不能正确响应合法用户的正常连接.三层互相补充,协调工作,通过数据交流共享实现模型的动态性.该文基于Snort系统对前两层进行了实现,并且通过实验证明该思想的正确性与高可靠性.由于时间的限制,第三层没有实现,这有待于进一步的完善.