Cozak, đề xuất của Papadopoulos [8] và phát triển bởi Đại học Nam California / ISI, nhằm mục đích ngăn chặn các cuộc tấn công từ lúc rời khỏi nguồn mạng, nghĩa là, các mạng lưới chứa chấp các DDoS agent. Còn gọi là watchdogs - các cơ quan giám sát, một plug-in cho hệ thống phát hiện xâm nhập Snort, phát hiện một cuộc tấn công bằng cách phân tích và tương ứng lưu lượng truy cập qua mạng nguồn. Căn cứ vào mối tương quan (thời gian, loại hình giao thông), việc tương ứng thực thể có thể ngăn chặn lưu lượng truy cập tương tự và đồng thời như là một hành động nhóm, chính là các giao thông tấn công gửi đến.
Kỹ thuật này thực thi tại mạng nguồn, kích hoạt bởi một thông báo từ các mục tiêu của một cuộc tấn công DDoS, bằng cách lọc ra các vi phạm giao thông rõ ràng. Tuy nhiên, nếu lưu lượng truy cập hợp pháp được xuất hiện bởi các động cơ tương quan, dẫn đến một sai lầm chủ quan, thì sau đó lưu lượng truy cập hợp pháp sẽ bị loại bỏ bởi Cozak.
Một giả định chính của kỹ thuật này là việc triển khai các cơ quan giám sát tại nguồn mạng. Nguồn mạng đang được ngăn cản khỏi nguồn tấn công, nhưng một mạng lưới mà không có cơ quan giám sát vẫn có thể tham gia vào một cuộc tấn công DDoS. Hạn chế này là phổ biến cho các hệ thống đòi hỏi phải có nguồn cấp triển khai. Không yêu cầu sửa đổi ở mức giao thức hoặc áp dụng cho các nguồn mạng. Các thông tin liên lạc giữa các nhà kiểm soát không có khả năng mở rộng, vì họ sử dụng truyền thông multicast.