频发的分布式拒绝服务攻击(Distributed Denial of Service，DDoS)对互联网的安全性和稳定性造成了巨大的危害。近年来，随着低层检测防御措施的加强，DDoS攻击者逐渐将攻击方向向应用层转移。应用层DDoS攻击利用高层协议复杂性所带来的漏洞，拥有与合法流量的高相似性，与传统的DDoS攻击相比，其隐蔽性更强、攻击效果更佳，已成为当前Web服务提供者急需解决的安全问题。然而，现有的基于网络层或应用层的检测技术多以数据包与流量特征为主，已经无法有效地解决类型繁多与访问复杂的应用层安全问题。　　 针对当前大多数网站所面临的应用层DDoS攻击，本文以“用户行为”为切入点，研究了应用层低速率DDoS攻击和突发流量背景下的应用层DDoS攻击检测方法。主要的工作包括以下几个方面:　　 1.针对近年来一种新型DDoS攻击——应用层低速率DDoS攻击，本文提出了一种基于序列可信度的检测方法。该算法主要分为两个部分:　　 (1)用户点击行为识别。在用户访问网站过程中，浏览器会自动产生大量的HTTP请求，服务器端难以从得到的请求中准确识别出用户点击行为。为此，本文提出了一种基于隐半马尔可夫模型的用户点击行为识别方法，并运用K-means聚类算法描述不同网站所采用的网站架构与内嵌对象的差异性，提高算法的适用性。　　 (2)攻击序列检测。在识别用户点击行为的基础上，通过分析用户点击序列中点击页面的顺序及类型，给出了序列概率可信度和序列类型可信度的概念，利用这两个属性值构造序列可信度模型，利用此模型，区分正常序列和攻击序列。　　 2.目前突发流下的DDoS攻击逐渐凸显，其隐蔽性更强，对检测算法的性能要求更高。为此，本文提出了一种基于皮尔逊相关系数的突发流下的应用层DDoS攻击实时检测方法。该方法通过分析用户访问特性，提出用户活跃度指标，并使用皮尔逊相关系数衡量用户在不同观测时段之间用户活跃度的相似度，根据其相似度快速识别攻击发生时段。　　 最后，通过实际采集网络数据进行仿真实验，结果表明本文所提出的方法可以准确识别用户点击行为，有效检测出应用层低速率DDoS攻击和突发流下的应用层DDoS攻击。