发明名称 |
网站异常访问分析方法 |
摘要 |
网站异常访问分析方法属于网站访问分析、数据挖掘、安全审查领域。本发明根据访问会话Session持续时间,通过对URL请求数量或发送和接收流量以及服务器处理时间等“异常访问”特征,快速分析出“异常访问”会话Session,并且通过多种图形和表格,给出可视化的、直观的分析结果,来确定哪些异常访问是持续的、哪些是突发的,以及提供人工判断异常访问的工具。 |
申请公布号 |
CN101232399A |
申请公布日期 |
2008.07.30 |
申请号 |
CN200810010423.6 |
申请日期 |
2008.02.18 |
申请人 |
刘峰;孙宏 |
发明人 |
刘峰;孙宏 |
分类号 |
H04L12/24(2006.01);H04L29/06(2006.01) |
主分类号 |
H04L12/24(2006.01) |
代理机构 |
沈阳杰克知识产权代理有限公司 |
代理人 |
杨华 |
主权项 |
1.网站异常访问分析方法,其特征在于,步骤如下:(1)确定访问者类型:根据网站实际情况,来确定访问者是由IP来决定、还是由IP+User Agent、Cookie或在网站页面上嵌入代码来决定;(2)数据清洗:读取访问日志,对访问记录进行分析、清洗、过滤、以及优化数据结构,将自然形成的面向单个URL请求的访问记录,通过分析识别,当同一访问者、且间隔时间小于系统定义的“会话”Session时间限制Time Out时,给予一个相同的会话标识Session ID,形成带有访问会话标识Session ID的记录清洗数据,并以优化的数据结构进行存储;(3)选择异常分析指标:一般情况,“URL请求数量”被默认为异常指标X;根据需要,可以选择“流量”或“服务器处理时间”为异常分析指标X;(4)设置“阀值”:设定ΔTk持续时间和分析指标X的“阀值”;(5)异常分析:读取经步骤(2)数据清洗程序处理后的清洗数据,分析每个访问会话记录Session,用会话中的最后访问时间T2减去会话中的首次访问时间T1,得到一个会话持续时间ΔT=T2-T1;如果ΔT在ΔTk范围内,并分析指标X超过步骤(4)中设定的“阀值”,那么该Session被认定为“访问异常”,存储访问异常数据;(6)异常类型判断:判断步骤(5)中得到的异常数据为持续异常或突发异常,并用直观易懂的图表形式表示。 |
地址 |
110013辽宁省沈阳市沈河区北京街19号先锋大厦14楼 |