随着网络技术的发展，网络正在从资讯、社交甚至支付等诸多方面影响着人们的沟通、工作和生活方式。与此同时，网络设备性能的飞跃，使得网络攻击成本随之大幅降低，攻击者可以通过低廉的代价发动网络攻击，却可能极具破坏力。泛洪流量攻击是占据攻击比例最高且仍在持续上升的典型网络攻击。论文旨在基于现有的TCP/IP层泛洪流量清洗策略的基础上，实现同时能够防御应用层泛洪流量攻击的流量清洗系统。泛洪流量攻击，其本质是攻击者通过发送大量的虚假请求，消耗网络带宽和网络服务资源，从而导致服务器拒绝正常的服务请求，阻碍了正常业务的处理。攻击者通过网络中的傀儡主机实施攻击。由于傀儡主机数量庞大且分布广泛，导致泛洪流量攻击具有隐蔽性强、规模大的特点，防范难度大。本文实现的应用层泛洪流量清洗系统中，针对泛洪流量攻击的特点，将泛洪流量攻击中的攻击报文分为网络低层（网络互联层和网络传输层）以及网络高层（网络应用层）报文，并施以不同的防御策略。对于网络低层报文，按照TCP/IP协议标准，可通过直接检查报文头部信息的方式，验证报文的合法性。而对于网络高层报文，需要分析报文内容，推测报文的行为目的，进而判定攻击的发生。因此，应用层泛洪流量清洗系统主要分为四个组件：流量监控与统计，异常流量分析，流量清洗平台以及告警日志管理。将网络流量以会话区分进行监控，当攻击发生时，启动流量牵引将会话上的攻击流量引至清洗平台。针对网络低层报文采用了半连接数限制和网络代理机制屏蔽虚假请求，针对网络应用层报文引入线性分类算法检测攻击报文。最后，将正常报文回注到原网络中，整个清洗过程对于服务器和客户端均是透明的。经测试验证，系统能够正确识别应用层泛洪流量攻击且性能达到预期目标。对于攻击的检测率达到100%，即只要攻击发生，系统均能识别并能够正确过滤掉攻击报文，并且误检率未超过5%。性能方面能够初步满足千万级会话的要求。