互联网已成为我们日常生活、工作和学习的重要组成部分,但我们在享受网络带来的便利的同时,也必须忍受网络恶意行为给我们带来的不便甚至损失。互联网在设计之初,并没有过多考虑安全性的问题。随着网络发展与普及,各类攻击和破坏手段层出不穷,网络安全问题已经引起政府机构、研究人员甚至普通用户的高度重视。分布式拒绝服务攻击(Distributed Denial of Service-DDoS)以消耗被攻击目标的计算资源来阻止其为合法用户提供服务,是常见的网络攻击手段。由于其原理简单、工具成熟且容易获取、易于掩饰作案痕迹、破坏性大而被攻击者广泛使用,成为近年来对互联网最具危胁的攻击方式之一,给网络业务带来不可估量的损失。DDoS攻击检测和防御是网络安全体系中的重要一环,也是当前网络安全领域的研究前沿。许多研究人员针对DDoS攻击展开了深入研究,并取得显著成果。但是,网络对抗是双向的,随着防御能力的提高,DDoS的攻击手法也在不断进化,从最初的TCP/SYN泛洪,到当前的应用层攻击,破坏与防御、攻击与反制的对抗一直在激烈进行。在应用层Web DDoS中,攻击者以合法用户的身份,向服务端提交恶意HTTP请求,试图耗尽服务端的计算资源,使其无法正常对外提供服务。Web DDoS防御的重点在于及时地区分合法与非法流量并准确地定位攻击端。本文从攻击用户与合法用户在应用层行为特征上的不同入手,利用报文到达时问间隔和报文长度计算用户端HTTP访问流的“节奏”特征,提出了基于报文节奏特征的Web DDoS攻击流量过滤方法。文章首先分析总结了各类Web DDoS攻击模式下的攻击流节奏特征,指出了攻击流与合法访问流在节奏上的不同之处；其次在利用报文节奏刻画单客户端行为特征的基础上,针对客户群体的访问行为,提出了节奏矩阵的概念,利用节奏矩阵来刻画用户群体访问行为的特征；最后提出和实现了基于节奏速度矩阵的Web DDoS攻击流量过滤与攻击端定位算法,能够准确而快速地对Web DDoS攻击作出反应,及时过滤攻击流量并定位Web DDoS攻击端。同时,为了验证方法的有效性,我们还设计了DDoS攻击仿真程序,并以公开的网络数据集为基础,构造了不同类型的DDoS攻击流量对算法进行检验。实验证明,本算法可有效工作于文中提到的各类Web DDoS攻击模式下,攻击流量识别准确率为100%,攻击源定位最大误报率为1.5%。本文解决问题的思路虽然是从应用层行为特征入手,但在算法中仅用到了网络层要素,与同类算法相比,本算法不关心应用层负载内容,易于实施,算法时空复杂度低,响应周期短。因此,本文提出的应用层DDoS攻击防御方法不需要对应用层数抓进行深度解析,处理负担较低,通用面广,对于在主干网络中进行应用层DDoS攻击流量过滤和控制具有重要的理论意义和实用价值。