分布式拒绝服务(DDo S)因其技术门槛低、破坏性强,已然成为当代互联网安全最严重的威胁之一。而随着DDo S攻击检测技术研究的不断深入,基于传输层或网络层的传统DDo S已难以产生较好的攻击效果,同时互联网服务高速向Web端发展,加快了DDo S攻击向应用层转变的脚步。应用层DDo S攻击通常利用真实IP并且单次请求均为合法请求,可完美避开网络防护系统,这为网络安全防御工作提出了更高的要求。本文首先就应用层DDo S攻击检测技术做了大量调研发现,目前的针对应用层DDo S攻击的检测方法大多需要进行提前建模或者对历史数据进行大量收集,这些检测方法虽然拥有不错的检测准确率,但实施步骤复杂、工程量普遍较大并且一般不具备检测的实时性和检测方法的普适性。为此,本文深入分析应用层DDo S的攻击原理及特征,发现其本质是利用大量相同IP的僵尸网络节点在短时间内向目标服务器发起高频请求。为了验证这一说法,本文就正常用户与DDo S攻击者在访问行为上进行特异性比较分析,发现应用层DDo S在攻击期间有两个明显的行为特征:一是请求IP地址分布较为固定;二是请求频率远高于其他正常时间段。所以,本文以时间维度并利用统计学分析,提出了利用IP请求熵来形式化描述这两个特异性行为,并以此作为判断应用层DDo S攻击的关键特征。在IP请求熵的基础上,采用双时间线预测模型对IP请求熵进行预测,将预测结果与该时刻的实际值进行比较得到偏移量,最后将偏移量与所选时间序列的三倍标准差进行比较,来判断是否受到应用层DDo S攻击。其中,双时间线指既考虑与预测点时间相邻的历史数据(横时间线),又考虑预测点的不同周期内的对应时刻历史数据(纵时间线)。在双时间线预测模型中,先分别使用ARIMA预测模型和二次指数平滑预测模型对横、纵时间线进行预测;然后将二者的预测结果加权求和,得到最终预测结果,实验表明该模型下的预测效果优于传统的预测模型。在检测方法的整体设计方面,本文利用了Spark的分布式日志获取和实时计算能力快速获得IP请求熵,为IP请求熵时间序列的构建提供了先验条件,同时利用Spark时间切片机制对IP请求熵时间序列数据集进行动态更新,形成了具备一定实时性和普适性的应用层DDo S检测方法。最后,通过实验对所提出的检测方法进行测试,结果表明该检测方法具有良好的检出率和实时性。