随着移动互联网的发展,越来越多的基于HTTP协议的互联网应用正改变着人们的生活。但由于HTTP协议的开放特性和自身设计上存在的安全缺陷,采用HTTP协议的Web应用容易出现资源越权访问、网络攻击和流量分析等安全问题。传统意义上对于这些安全问题的防范均停留在Web服务器和Web应用层面上,随着网络攻击形式的多样化,形如OpenSSL互联网基础设施软件漏洞频发,对于安全问题应对出现滞后性,而且应用开发人员在安全问题上花费大量精力和时间而不能专注于Web应用软件本身。传统安全防护软件在架构上多数采用安全模块的形式嵌入到Web服务器上,但随之带来了与Web服务器耦合、部署困难和带来不稳定因素等问题。而且,在大部分安全防护软件中,防护来自HTTP攻击流量时,采取了特征静态匹配的方式,使得防护处于被动。随着人工智能研究的兴起,越来越多的安全防护算法已经开始采用主动的机器学习来识别新型网络攻击。但是,由于绝大部分算法没有深入HTTP报文协议本身,仅仅是对HTTP报文整体数据进行分析研判,割裂了数据之间的关联性,所以容易出现漏报和误报等问题。因此,传统的安全防护技术不足以应对复杂多样的网络攻击、高并发用户请求和苛刻的服务器稳定要求。本文试图从解决传统安全防护技术存在的防护措施单一、架构耦合、模块难扩展以及性能瓶颈等问题入手,主要工作有：1、提出了一种基于HTTP反向代理服务器的Web安全网关系统解决方案,并给出了系统设计和关键技术的实现方法,实现了一个原型系统；2、提出的“安全检测校验链”及其树形层次分析结构能在Web安全网关中以可扩展的方式进行攻击检测和防御,有效解决了传统Web安全防护手段扩展困难的问题；3、基于“安全检测校验链”改进了传统的HTTP攻击检测模型,从解析HTTP请求报文协议入手,在整体上应用DFA(有穷状态自动机)报文检测,抵御畸形HTTP请求报文的攻击,在局部上解构并分析HTTP请求报文,针对可能出现攻击的请求URL、请求头元数据以及请求主体三大部分均采用N-gram特征提取与信息增益特征向量筛选算法,结合BP神经网络分类算法,采用不同的学习数据库进行有针对性的攻击报文检测和拦截；4、所设计的Web安全网关还能实现对请求用户的黑白名单筛查、通过访问控制列表限制对受保护资源的访问,以及多种形式网络攻击的规则匹配防护等功能。据本文所实现的基于HTTP反向代理的Web安全网关系统原型及其核心功能,经过实验表明,系统可扩展性较强,对HTTP攻击报文判断准确,可以为Web服务器和Web应用的正常运行提供安全的环境保障。