随着Web业务的广泛应用,Web安全问题日益突出。同时Web2.0的到来,Ajax技术、JavaScript脚本等的应用,使应用层安全问题更加复杂。本文对Web应用安全漏洞进行了介绍,并深入剖析了SQL注入、XSS跨站脚本和HTTP响应截断等典型Web应用攻击的特征及原理。针对现有安全解决方案可扩展性不强、检测实时性不高、大流量并发环境下检测效率低和传统基于签名的检测方法只能检测到已知的攻击,缺乏语义推理能力和可重用性的问题,分别从系统架构和检测方法上进行解决。论文的主要工作如下:　　首先,本文引入结构化P2P技术,提出了一种基于Pastry的可信Web入侵防御模型。该模型中所有检测节点组成一个结构化的P2P覆盖网,各节点均可接收和检测请求,并可根据需求动态增减检测节点,采用高效的Pastry通信算法,实现了完全分布式、可扩展和自组织,并设计了节点信任管理算法保证消息传递的可靠性。　　第二,设计了基于规则的检测方法,采用正则表达式匹配技术对 HTTP/HTTPS请求和响应进行深度检测,并提出主动检测思想,针对Session会话劫持等无明显规则特征的HTTP状态信息的盗取和篡改,设计了主动检测算法,加强了对Web攻击的防御能力。　　第三,提出了基于本体的Web应用攻击检测方法,采用语义网技术,利用OWL本体描述语言对应用层攻击进行了统一建模描述,使用JENA推理机制构建了相关攻击推理规则,给出了基于本体的语义 Web应用攻击检测框架,同时本体的推理能力可以实现自动化,为智能检测提供了解决思路。　　最后,用JAVA语言实现了系统原型,并给出实验设计,采用Web漏洞扫描工具模拟攻击进行功能测试,利用LoadRunner性能测试工具对系统分布式对等架构进行压力测试。实验结果表明系统能够检测 Web应用典型攻击,有效解决了传统分布式系统单点失效、负载不均衡的问题,提高了检测系统的可扩展性、实时性和可靠性。