当今世界,计算机网络迅速发展,信息化和互联网+的大规模应用,使得移动互联网网络已经深入到了人们生活的方方面面。与此同时,网络安全威胁也是层出不穷,越来越复杂,越来越难以检测。其中分布式拒绝服务攻击(distributed denial of service,DDo S)就是一个影响互联网安全的重大威胁。传统的DDo S,主要发生在网络层和传输层,它已经可以被日趋成熟的网络安全产品有效防御,而如今计算机工作模式越来越多的通过Web进行交互,使得DDo S向应用层发展。应用层DDo S破坏性强,攻击方式更加隐蔽,而且在流量特征上几乎与正常应用无异。因此,成为了最严重的网络威胁之一。首先,本文分析和总结了网络层DDo S和应用层DDo S的攻击原理,归纳了两者在攻击特性上的差异性。针对传统检测方法无法检测应用层DDo S的问题,本文分析了应用层DDo S攻击行为特征,从正常用户和攻击用户在Web访问行为的差异方面入手。根据请求访问的兴趣点、访问时间、点击量以及页面跳转序列这四个方面上存在的明显差异,利用三个向量和一个矩阵对用户Web访问行为进行建模,定义不同用户访问行为之间的相似度。其次,本文设计了一种基于粒子群优化的聚类算法的应用层DDo S攻击检测模型,对上述访问行为进行聚类分析,达到检测DDo S攻击的目的。该模型先对网络Web日志预处理,计算出会话之间的相似度函数,然后将数据输入基于粒子群优化的K-means算法聚类模块,进行聚类分析。并将实验结果与基于遗传算法优化的K-means算法和基于蚁群算法优化的K-means算法相比较。实验结果表明,本文采用的PSOK-means算法可以有效地对用户访问行为进行聚类分析,并能快速甄别出应用层DDo S攻击,相比GAK-means算法和ACOK-means,在检测效果、收敛速度上有着较为明显的优势。在验证PSOK-means实用性的实验中,发现该算法存在概率性地出现检测效果不佳的问题,分析其原因是PSOK-means算法会概率性地陷入局部最优,无法进行更好地全局寻优,致使检测效果不佳。因此本文提出了一种基于自适应粒子群优化的K-means算法,并将该算法用于检测模型中,再与PSOK-means算法比较。实验结果表明,本文提出的自适应粒子群优化算法在一定程度上解决了PSOK-mean易于陷入局部最优的问题,并在收敛速度上有略微的提升,表明基于该算法设计的模型在应用层DDo S攻击行为检测的方面有更好的表现。