随着信息技术的飞速发展,Web应用服务类型变得更加复杂多样。鉴于Web服务的大量增长,黑客更趋向于将网络攻击的目标定为应用层服务。在所有的应用层攻击方式中,DDoS攻击无疑是危害最大的一种。与网络层DDoS攻击相比,应用层的攻击具有数据流量较低、隐蔽性强、难以检测的特点。对应用层服务的安全构成了巨大威胁。据Imperva公司发布的《2017年第一季度的全球威胁景观报告》显示,网络层DDoS攻击已经连续第四个季度呈现下降趋势,而应用层DDoS攻击平均每周已达到近1100次。如何有效防御应用层DDoS攻击已经成为维护网络安全的热点研究问题。论文对应用层DDoS攻击的检测方法进行研究,主要工作如下:(1)分析了应用层DDoS攻击的原理,并与传统网络层DDoS攻击进行比较,总结了位于不同网络层次的DDoS攻击的差异,突出应用层DDoS攻击的特点。然后分析了应用层广泛运用的HTTP协议以及两种典型的基于HTTP协议的DDoS攻击方式。(2)应用层DDoS攻击通常是由黑客控制傀儡机对目标发动攻击,与正常用户的访问行为存在着巨大差异。为了有效识别攻击行为,论文结合主成分分析和改进的K-Means算法,提出了基于k均值和主成分分析的DDoS攻击异常检测算法(文中称为KMPCAD算法)。算法首先根据正常用户与黑客访问行为的差异,对Web日志进行统计分析,提取出能够反映用户访问行为的特征;接着利用改进后的K均值算法对统计得到的特征数据集进行聚类操作,根据所得到的K个数据类,判断实时会话所属类别;最后运用PCA计算会话的重构误差,与设定阈值相比较,判断其合法性。(3)为了检测融合了 HTTP-Flood和慢连接这两种攻击方式混合型应用层DDoS攻击,论文针对基于时间序列自回归模型的DDoS异常检测方法只对区分HTTP洪泛攻击与FlashCrowed有效,而对应用层慢速攻击无法做出合理检测的问题,提出了一种改进的基于自回归模型的应用层DDoS检测算法。该算法将数据包大小信息熵运用到检测模型中,从而将攻击行为与正常访问行为区分开来。