[发明专利]一种网站日志异常会话分析方法

权利要求书

1.一种网站日志异常会话分析方法，其特征在于，所述分析方法将用户会话形成为一个独立的有目的的访问单元，在分析的初期，采用结合日志自动访问网站的方式分析出正常会话流程，并且在后续的处理过程中不断增加正常会话流，将所有正常之外的会话都被归结为异常，同时异常会区分成不同的等级分别显示和处理。

2.根据权利要求1所述的一种网站日志异常会话分析方法，其特征在于，所述分析方法具体实施步骤如下：

（1）加载网站日志，通过对日志的初步分析，得到网站访问的入口点和页面/文件访问地址信息；

（2）模拟浏览器和用户行为，启动爬虫引擎对网站的页面进行抓取，分析每个页面的结构，生成页面文档对象模型以及页面/文件内容间链接信息；

（3）使用爬虫生成的文档对象模型和页面链接信息，同时结合日志的访问信息，对网站日志进行二次分析，生成初步的会话信息流，同时对网站会话进行正常/异常进行标注；

（4）使用URL模式/访问方式/返回结果等对异常和正常会话进行归类，并反馈给用户，用户可以修正异常/正常会话属性，并可以合并/分拆/调整归类；

（5）根据用户的调整，对日志会话进行处理，输出所有异常会话流，异常会根据内置的配置模式分成不同的等级进行显示和进一步处理。

3.根据权利要求2所述的一种网站日志异常会话分析方法，其特征在于，所述步骤（1）扫描每一条日志，解析日志的客户端IP、访问时间、访问方法、访问的页面链接、客户端程序、服务器返回值、服务器状态等，分析得到的每一个访问的页面链接就是网站的页面/文件访问地址。

4.根据权利要求2所述的一种网站日志异常会话分析方法，其特征在于，所述步骤（2）模拟浏览器对网站的每一个不同的URL进行访问，分析返回页面内容的文档对象模型，如果某文档对象的访问不会引起对其它对象的引用访问，则确定为一个原子访问；如果访问某文档会同时获取其它文档对象的内容，则其它文档对象的连接包含在该文档中成为一个原子访问；包含多个文档对象链接的原子访问的构成标准会话，仅包含一个文档对象访问的原子访问不构成标准会话。

5.根据权利要求2或4所述的一种网站日志异常会话分析方法，其特征在于，所述步骤（3）根据步骤（2）中确定的会话和原子访问对日志进行扫描处理，将网站日志流转换成会话信息流；将所有标准会话确定为正常会话，将所有非正常会话确定为异常会话。

6.根据权利要求5所述的一种网站日志异常会话分析方法，其特征在于，所述步骤（3）通过如下步骤进行网站日志进行会话处理：

（31）完全符合模拟浏览器访问规律的页面会话被认定为正常；

（32）符合预先配置模式的会话被认定为异常；

（33）某一种会话用户重复访问超过设定的配置值被认定为异常；

（33）低于某一设定配置值的页面会话被认定为异常；

（34）不能标记为正常的页面会话被认定为异常；

（35）通过人工交互的方式对会话分析结果进行处理，对会话的正常/异常进行标注更改，对会话模式进行归并，使得正常会话的种类减少、数量增多。

7.根据权利要求2所述的一种网站日志异常会话分析方法，其特征在于，所述步骤（4）中按照模式匹配的方式进行合并/分拆/调整归类。

8.根据权利要求2所述的一种网站日志异常会话分析方法，其特征在于，所述步骤（5）过滤所有的正常会话，仅显示日志中的异常会话，根据配置的不同为异常会话生成不同的级别，具有类似级别和访问类型的异常显示为相同的模式。