随着互联网的发展，基于Web开发的应用程序越来越多，Web服务器的安全就愈加显得重要。然而，由于Web应用自身的巨大价值和应用层协议的漏洞等因素导致应用层DDoS攻击事件发生频繁。应用层DDoS攻击采用应用层正常的访问数据来发动攻击，同传统的DDoS攻击相比，隐蔽性更强、攻击效果更佳、检测更难。现有的异常检测方法很难区分是攻击者的异常请求还是突发流背景下正常用户的合法请求，因此，对突发流背景下的应用层DDoS攻击检测的研究显得十分必要。　　 目前，众多的学者和一些公司提出了多种应用层DDOS攻击检测方法，这些方法有其优点、也有其局限性。本文主要针对突发流背景下的应用层DDoS攻击进行检测。通过分析正常用户与攻击者访问Web行为差异，提出了一个检测指标ANRC(单位时间内用户的平均请求次数)，它能有效区别突发流与应用层DDoS攻击流，本文推理分析并通过实验验证了ANRC的平稳性，使用自回归模型和卡尔曼滤波预测ANRC值，通过判断实测值与预测值的差值是否超过阀值进行异常检测。　　 但ANRC仅能判断某个时间段内出现的IP中存在攻击者，而无法确定攻击源，为了进一步定位异常源，本文对用户的请求次数进行高频统计，然后计算衡量相邻时间段用户请求次数相似度的皮尔逊相关系数，根据相关系数的变化来定位攻击源。　　 本文还设计了一种高效的应用层拒绝服务检测系统，首先通过前端感应器进行异常检测，它的时间复杂度与空间复杂度都为常数，效率高、实时性强。当感知有异常后，启动攻击源定位模块对用户信息进行详细记载并进行相似度分析，如果相似度超过阀值，则将出现在前K名IP的次数进行统计，将统计次数超过阀值的异常IP反馈给前段路由器进行限流或过滤。最后对上述检测方法在平稳流与突发流两种背景下做了有效性测试。