网站异常访问分析方法

摘要

网站异常访问分析方法属于网站访问分析、数据挖掘、安全审查领域。本发明根据访问会话Session持续时间，通过对URL请求数量或发送和接收流量以及服务器处理时间等“异常访问”特征，快速分析出“异常访问”会话Session，并且通过多种图形和表格，给出可视化的、直观的分析结果，来确定哪些异常访问是持续的、哪些是突发的，以及提供人工判断异常访问的工具。

主权项

1.网站异常访问分析方法，其特征在于，步骤如下：(1)确定访问者类型：根据网站实际情况，来确定访问者是由IP来决定、还是由IP+User Agent、Cookie或在网站页面上嵌入代码来决定；(2)数据清洗：读取访问日志，对访问记录进行分析、清洗、过滤、以及优化数据结构，将自然形成的面向单个URL请求的访问记录，通过分析识别，当同一访问者、且间隔时间小于系统定义的“会话”Session时间限制Time Out时，给予一个相同的会话标识Session ID，形成带有访问会话标识Session ID的记录清洗数据，并以优化的数据结构进行存储；(3)选择异常分析指标：一般情况，“URL请求数量”被默认为异常指标X；根据需要，可以选择“流量”或“服务器处理时间”为异常分析指标X；(4)设置“阀值”：设定ΔTk持续时间和分析指标X的“阀值”；(5)异常分析：读取经步骤(2)数据清洗程序处理后的清洗数据，分析每个访问会话记录Session，用会话中的最后访问时间T2减去会话中的首次访问时间T1，得到一个会话持续时间ΔT＝T2-T1；如果ΔT在ΔTk范围内，并分析指标X超过步骤(4)中设定的“阀值”，那么该Session被认定为“访问异常”，存储访问异常数据；(6)异常类型判断：判断步骤(5)中得到的异常数据为持续异常或突发异常，并用直观易懂的图表形式表示。