网络安全形势日益严重,分布式拒绝服务攻击(DDo S)就是其中一种难以防范而杀伤力非常大的攻击方式。近年来的统计数据表明,攻击者越来越青睐于应用层DDo S攻击。应用层DDo S攻击具有隐秘性强,快速的达到攻击目的的特点,给DDo S攻击检测防御带来了巨大的挑战。传统的通过统计底层协议数据包等方式检测网络层DDo S攻击的方法对变化多端的应用层DDo S攻击具有一定局限性。通过对现阶段应用层DDo S攻击检测方法分析,可知大多数的检测方法一般都是从用户的行为特征入手,计算正常用户与异常用户行为偏差进行攻击检测。算法的复杂度高,数据量非常大等原因导致检测效率较低,并且误检率较高。本文从快速检测,减少误测的目的出发,提出了一种基于用户行为特征的应用层DDo S攻击检测方法,主要的工作和创新点如下:在特征分析方面,分析比较了应用层的DDo S攻击行为特点与正常用户特点,总结出应用层DDo S攻击的请求频率,流量大小,页面流行度这三个方面的特征与正常用户存在着明显的差异。从海量的日志数据中挖掘出这三个特征,能够达到精准的应用层DDo S攻击检测,与以往的检测方法相比,具有较低的误测率。在算法方面,运用改进的决策树分类算法C4.5构建检测树模型。决策树具有结构简单,生成规则容易理解,分类精度高,检测速率快等特点。由于本文采用的属性值是连续型数值,为了提高算法的效率,我们采用改进的C4.5算法构建决策树。在建模方面,该模型首先将采集到的Web日志数据进行数据清洗,会话识别,识别出每个用户的访问过程,把每个用户作为一个实例。接着计算每个用户的访问频率,平均流量大小,页面流行度等数值特征。最后将处理后的训练数据样本建立决策树模型,用检测数据集检验模型,评估模型的检测率和误报率。实验结果表明,运用这三个特征构建的决策树,对应用层的分布式拒绝服务攻击有着较高的检测率,同时也能较准确的区分大流量突发情况下正常用户的访问与DDoS攻击,检测不对称攻击,降低了误检率。