HDDoS研究涉及到三个模块：受害系统正常状态模块，HDDoS防御模块，防御性能评估模块。受害系统正常状态模块通过系统状态图描述系统正常状态下的行为。防御模块包括攻击检测、攻击过滤、攻击容忍三个部分，被用来防御HDDoS。防御性能评估模块包括硬件性能评估和网络性能评估两个部分，被用来评价防御方法的有效性。
    总体来看，HDDoS本体包含受害系统正常状态、攻击检测、攻击过滤、攻击容忍、防御性能评估五个知识类(Knowledge classes)。视具体情况各知识类还包含子类和子子类。
    系统正常状态知识类和防御性能评估知识类中所含的信息比较固定。前者一般为系统运行状态，统计量等，容易获取。后者包含硬件性能评估和网络性能评估两个子类，通过制定一些固定的评测指标来实现对防御方法性能的评价。
    攻击检测知识类包含检测属性选择和识别攻击技术选择两个方面。前者可以通过分析受害系统正常状态，filter法和wrapper法选择检测属性。后者可以通过尝试新技术，或IP traceback技术识别攻击。
    攻击过滤知识类包含限流和过滤两个部分。二者区别在于是否使用访问控制列表。按条件过滤可以使用黑名单或白名单技术，名单建立方法可通过积累系统正常状态下可信赖用户信息、攻击发生时使用特殊方法判定是否为合法用户等方法实现。
    攻击容忍知识类一般通过改变网络拓扑结构，增强受攻击系统服务能力等方法实现。

(责任编辑：adminadmin2008)