mạng
Các giải pháp kĩ thuật chính phát hiện tấn công từ chối dịch vụ ở lớp mạng bao gồm phát hiện dựa trên dấu hiệu, phát hiện dựa trên bất thƣờng hoặc phát hiện dựa trên dấu hiệu và cả bất thƣờng.
Phƣơng thức dựa trên dấu hiệu tìm kiếm mẫu (dấu hiệu) trong lƣu lƣợng mạng quan sát đƣợc trùng với các dấu hiệu tấn công từ cơ sở dữ liệu. Phƣơng thức này rất dễ dàng và đáng tin cậy khi tìm các tấn công đã biết, nhƣng nó không thể nhận ra các tấn công mới. Ngoài ra cơ sở dữ liệu dấu hiệu phải luôn luôn đƣợc cập nhật để duy trì tính tin cậy của hệ thống.
Phƣơng thức dựa trên bất thƣờng so sánh các tham số của lƣu lƣợng mạng quan sát đƣợc với lƣu lƣợng mạng bình thƣờng. Do đó nó có thể phát hiện các tấn công mới. Tuy nhiên để ngăn chặn các cảnh bảo không đúng, mô hình lƣu lƣợng bình thƣờng phải luôn luôn đƣợc giữ cập nhật và các ngƣỡng để nhận ra các bất thƣờng phải đƣợc điều chỉnh đúng.
Cuối cùng, phƣơng thức lai sẽ kết hợp cả hai phƣơng thức trên. Phƣơng thức này cập nhật cơ sở dữ liệu dấu hiệu trong việc phát hiện tấn công thông qua phát hiện bất thƣờng. Tuy nhiên điều này khá nguy hiểm bởi vì một kẻ tấn công có thể lừa gạt hệ thống bằng việc mô tả lƣu lƣợng bình thƣờng là một tấn công. Trong trƣờng hợp này hệ thống phát hiện tấn công có thể trở thành công cụ tấn công. Do đó những ngƣời thiết kế hệ thống phát hiện phải cẩn thận bởi vì chúng có thể đem lại các tác dụng ngƣợc.