分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是一种有效的扰乱毁瘫手段,往往对网络信息系统安全造成重大威胁。根据攻击所发起的网络层次不同,可分为网络层DDoS攻击、传输层DDoS攻击及应用层DDoS攻击(Application Layer DDoS,App-DDoS)。App-DDoS攻击由于隐蔽性强及与正常用户集中访问表象极为相似的特性,能够有效绕过不断完善的网络与传输层级防御手段,成为目前研究的重点与难点。本文围绕目前App-DDoS攻击检测与评估方法中存在的检测类型单一、检测算法训练过程繁琐、检测算法训练结果更新困难及评估方法主观性强等问题,展开深入研究,主要工作和创新点如下:1、针对基于流量特征的App-DDoS攻击检测方法侧重于检测持续型App-DDoS攻击,而忽略检测上升型与脉冲型App-DDoS攻击的问题,提出一种综合检测多类型App-DDoS攻击的方法,实现在网络关键节点基于流量的App-DDoS攻击检测。首先通过Hash函数及开放定址防碰撞方法,对多周期内不同源IP地址建立索引,进而实现对HTTP GET数的快速统计,以支持对刻画数据规模、流量趋势及源IP地址分布差异所需特征参数的实时计算;然后将支持向量机(Support Vector Machine,SVM)分类器以偏二叉树结构进行组织,用于分层训练特征参数,并结合遍历与反馈学习,提出基于偏二叉树SVM多分类(Partial Binary Tree Based SVM Algorithm,PBT-SVM)算法的App-DDoS攻击检测方法,快速区分出非突发正常流量、突发正常流量及多类型App-DDoS攻击流量。实验表明,所提方法通过划分检测类型、逐层训练检测模型,与传统基于SVM、Navie Bayes的检测方法相比,具有更高检测率与更低误检率,且能有效区分出具体攻击类型。2、针对基于用户行为的App-DDoS攻击检测算法中样本训练过程繁琐以及类簇更新困难两个难点,提出一种基于改进近邻传播聚类算法(Improved Affinity Propagation,IAP)的App-DDoS攻击自学习检测方法,实现在被攻击终端基于日志的App-DDoS攻击检测。首先对近邻传播聚类算法改进优化:在利用少量先验知识对数据集进行预分类的基础上,结合同类簇合并机制解决样本大小敏感问题,同时引入异类簇清除机制排除特殊类簇对检测结果所造成的干扰;其次给出用户行为属性表征用户行为特征,利用IAP算法实现用户行为有效聚类,提高检测精度;然后引入Silhouette指标实时监控类簇质量,设计类簇自学习更新机制,进一步降低误检率、提高检测率,并支持检测类簇的动态抗解析。实验结果表明,与传统近邻传播聚类、K均值主成分分析算法相比,所提方法具有较高的运行效率和较好的检测性能,并具有一定的自主优化能力。3、针对基于层次分析法的App-DDoS攻击态势评估方法中评估指标选取困难与评估方法主观性较强问题,提出一种基于D-S证据理论的层次化App-DDoS攻击态势评估方法。首先引入基于历史数据的使用率-消耗度转换函数,实现主机、网络资源的使用率指标向消耗度指标的转换,并结合服务质量指标综合刻画App-DDoS攻击影响评估对象的因素;其次依据D-S证据理论分析当前各评估指标相互间的关系,进而由指标值推理得到设备遭受App-DDoS攻击的程度,避免了通过主观赋权方法评估设备威胁度的问题;然后将服务重要度与位置关键度相结合确定设备重要性,并采用层次分析的思想将设备重要性与设备威胁度相聚合,实现针对App-DDoS攻击的网络安全态势评估。实验结果表明,所提方法将D-S证据理论与层次分析法有机结合,支持对App-DDoS攻击态势进行合理评估。4、针对App-DDoS攻击检测与评估由于数据量膨胀而带来的实时处理难题,引入分布式流处理平台Storm,基于所提App-DDoS攻击检测方法及层次化App-DDoS攻击态势评估方法,设计一种App-DDoS攻击检测与评估系统方案,主要包括离线训练、在线检测与评估等环节。其中,离线训练环节采用具有分布式特性的多Spout机制,支持多类型、多时段流量统计与用户行为特征的同时训练,提高训练效率;在线检测与评估环节采用循环队列与定时发送缓存数据的方法,基于具有流处理特性的SlotBasedExtract机制提取流量统计特征、用户行为及评估指标,降低检测延迟。实验结果表明,基于Storm平台实现App-DDoS攻击检测与评估方法具有实时性强、适应性好的特点。