在网络安全领域中,Web攻击检测依然是保证网络安全的重要手段之一。如今被广泛应用的Web应用程序大多设计为多层结构,包含诸多动态特征,应用的内容在运行时动态生成,这导致纯静态检测方法不能很好应对动态攻击。近年来出现了结合运行时动态特征的攻击检测方案,如基于系统日志和记录-重放的攻击检测方法,但依然无法全面了解应用内部状态,且事后分析方式无法及时阻断攻击。为此,本文从Web请求特征、应用运行时动态行为、请求交互序列多个维度出发,更直接有效的表征和学习程序的深层次行为,并在构建的模型中综合考虑相关关键信息,进行精准实时的多类别攻击检测。本文主要研究工作可分为三个部分:第一、提出了基于Web请求特征的端到端攻击检测框架。通过字符级嵌入模块对请求内容无损表征,基于Seq2Seq设计的无监督模型能够学习正常请求特征,然后高效地检测攻击并准确定位和可视化攻击Payload,使检测结果更具可解释性,且具有更好的准确率和实时性,优于其他几个对照模型。第二、提出了基于Web应用运行时动态行为特征的攻击检测框架。将程序运行时正常动态行为和语义表征成动态行为图,通过设计的路径剪枝和聚合优化算法,有效解决执行路径爆炸问题。在检测出攻击行为时可及时阻断攻击,并准确给出当时上下文环境信息,实现精准细粒度化的Web攻击检测。第三、提出了基于请求序列的业务逻辑攻击检测框架。从应用功能层面上提取Web服务过程中的请求序列,然后学习正常请求序列之间的交互关系,将业务逻辑攻击检测转化成时间序列问题,从而实现针对业务逻辑的攻击检测。实验结果表明,提出的检测框架能够自动化识别多类别业务逻辑攻击,具有较高的准确性和实用性。从Web攻击检测层次上来看,提出的三类检测框架是逐步深入的。即先检测提交的Web请求中是否存在攻击,再检测应用运行时动态行为,最后根据请求交互序列来识别业务逻辑攻击,从而全面深入的保护Web应用安全。