随着网络基础设施的改善与低层检测防御系统性能的加强，传统基于网络层与传输层的网络攻击呈现出向应用层迁移的趋势；Web应用本身所蕴含的价值因素以及由于应用层协议复杂性所带来的各种层出不穷的漏洞也诱使攻击者把目标转向应用层；由于其特殊性，作为Web应用载体的HTTP协议也常常被攻击者用于实施网络攻击。然而，现有的网络安全设施却仍然停留在基于网络层或传输层的防火墙技术，事实表明，单纯依靠这一类以分组检测与过滤为主的技术无法有效应对类型繁杂的应用层安全问题。多层的网络体系结构需要多层次的安全防御系统，为此，本文首次研究了三种新型的应用层HTTP攻击及其检测方法，它们包括：应用层常速率分布式拒绝服务攻击检测、突发流下的应用层分布式拒绝服务攻击检测以及基于proxy-to-server的HTTP攻击检测。与传统基于分组头部信息统计检测的方法不同，本文的检测方案建立在应用层之上，从高层“用户行为”或Web流行为的角度实现不同攻击场景下的HTTP异常检测。我们首次把在统计上具有广泛适用性、在检测与估计算法上具有高度有效性的隐半马尔科夫模型应用到网络安全领域，利用它描述Web用户的浏览行为、突发流下HTTP重访率的时空分布特性及proxy-to-server Web流行为的随机变化过程，应用鲁棒高效的主成分分析与独立分量分析实现高维数据空间的压缩与独立化处理。用观测序列相对于给定模型的或然概率来度量用户请求序列、突发性Web流及代理行为的正常程度，并赋予相应优先级进行排队服务和流量控制。通过实际采集的数据进行仿真试验，结果表明本文提出的方法可以有效发现应用层HTTP流行为的异常及攻击行为。其理论方法不但可以应用于现有网络上基于HTTP协议的攻击检测，而且可以扩展到其它应用层协议的攻击检测，弥补现有网络安全体系在应用层异常检测方面的不足，为下一代的Web应用安全提供理论参考。