传统网络的DDoS检测防御模型设计一般将模型部署在网络链路和受保护目标之间，并把检测防御模型中的统计、计算、过滤功能都集中在安全设备端。整个检测防御模型没有利用网络节点的计算能力。本文通过研究各类常见的DDoS攻击防御技术，通过分析选择了适用性较为宽广、可以抵御未知种类DDoS攻击以及混杂型DDoS攻击的基于异常流量统计的包过滤DDoS检测防御方法。在充分考虑现有的各类DDoS攻击防御技术的基础上，本文推出了基于NetFlow技术的DDoS攻击防御方案。阐述了利用NetFlow检测网络DDoS异常流量以及在将DDoS防御机制部署在骨干网络进行统计防御的技术特点。传统防御模型由于骨干网络的节点设备的本身的计算能力不足，不能有效形成分布式的连接组合防御大规模的DDoS攻击。而在骨干网络部署监测防御机制也会影响骨干网络本身的网络包的转发和控制功能而影响过滤的效率。为解决这一核心问题本文提出利用网络节点的NetFlow统计能力，将其部署在检测位置最合适的骨干网络中，其解析计算部署在附加计算模块中，最后由计算模块给予的阈值在防火墙端直接实现过滤功能的层次化多阈值包过滤的DDoS防御模型。从而实现了统计、计算、过滤的功能由集中到分离层次化的DDoS检测防御模型。在阈值生成部分，本文选取了基于流量分析和阈值策略的防范机制使用单阈值或双阈值来判断攻击行为。在通过NetFlow网络流量统计生成阈值后，本文提出基于验证过滤结果、通过设计回收圈机制对过滤阈值进行反馈性计算算法，由此实现了防御模型过滤阈值的即时浮动，并形成多阈值判别根据，用来减少阈值的生成相对于网络流量变化的滞后性，提高防御模型整体的灵敏度与过滤精度。通过在校园网网络中心实际环境的网络测试表明：这种层次化多阈值DDoS检测与防御模型面对正常网络服务和未知及混合种类的DDoS攻击时，具有较高的服务效率和过滤精度，较好的解决了传统防御模型的整体服务效率不高和过滤精度偏低的问题。