在这网络盛行发展的时代,各行各业都与互联网紧密相连,网络上的服务也随之增多,在这种趋势下,人们的日常生活已经越来越依赖互联网。与此同时,WEB攻击手段也在持续发展和升级,对互联网造成了严重威胁。而在常见的WEB攻击中,WEB DDoS攻击具有覆盖范围广、攻击速度快和破坏性大等特点,其能在短时间内对目标网络或系统资源的可用性造成严重破坏。因此,本文重点研究WEB DDoS攻击及其相关检测技术,同时对WEB攻击的溯源技术进行了深入研究。随着大数据和高并发时代的到来,传统WEB应用层DDoS攻击的检测方案已经逐渐失效,而现有的机器学习相关检测方法的检测率也有待提高,针对此问题,本文提出谱聚类和随机森林相结合的模型对WEB应用层DDoS攻击进行检测。此模型在训练过程中,先采用谱聚类算法进行聚类,然后将聚类结果应用于随机森林进行训练;在检测过程中,先将检测数据通过谱聚类算法聚类到所属簇,然后找到簇对应的随机森林,最后利用随机森林对流量的异常性进行判断。本文通过与其他现有的检测方案进行对比实验,验证了本文所提出的检测模型具有较低的假阳率和较高的检测率,更适用于WEB应用层DDoS攻击检测。在对WEB攻击进行检测防御的同时,攻击溯源技术的研究更为重要,只有找到了真正的攻击者,分析他们的攻击手段和方式,才能有效的防御甚至消除WEB攻击。而传统的溯源方法存在存储开销大和计算过程复杂等缺点。因此,本文提出基于路由器接口的混合溯源方法FRIT(Fast Route Interface Traceback),此方法通过路由器日志记录和数据包标记值相结合的方案对攻击路径进行标记,并在溯源请求发起后根据标记值和日志信息快速精准的重构攻击路径。通过对比实验,验证了本文所提出的方案仅需一个数据包即可完成溯源任务,其在保证溯源精确率的同时,减少了溯源过程的复杂程度并减缓了路由器的存储负担。