1.一種基于主成分分析的用戶行為異常檢測系統，其特征在于：所述用戶行為包括兩種類型：用戶數據庫訪問行為和用戶Web服務器訪問行為；每種類型的用戶行為中用戶行為元素包括：當用戶行為為數據庫訪問行為時，用戶行為元素包括用戶訪問的數據表名、用戶訪問時間、用戶訪問表中的主鍵、用戶訪問的原始數據和用戶更改數據；當用戶行為為Web服務器訪問行為時，用戶行為元素包括用戶向Web服務器提出的訪問請求的對象和相鄰訪問請求的時間間隔；

所述系統包括：

用戶行為預處理模塊，(1)在用戶行為訓練階段，用于從數據庫中獲取一種用戶行為類型歷史用戶行為數據；從歷史用戶行為數據中提取用戶行為類型對應的用戶行為元素，并將用戶行為元素轉換為向量元素，得到歷史用戶行為向量；將歷史用戶行為向量分組構建歷史用戶行為矩陣；求解每個歷史用戶行為矩陣的最大特征值對應的特征向量；將每個特征向量中每一個元素的值減去向量所有元素的平均值，得到歷史用戶行為特征向量集合，并發送到用戶行為訓練模塊；

(2)在用戶行為檢測階段，用于實時獲取實時用戶行為數據，并判斷用戶行為類型；從每個實時用戶行為數據中提取用戶行為類型對應的用戶行為元素，并將用戶行為元素轉換為向量元素，得到實時用戶行為向量；將實時用戶行為向量分組構建m個實時用戶行為矩陣；求解每個實時用戶行為矩陣的最大特征值對應的特征向量；將m個特征向量中每一個元素的值減去向量所有元素的平均值，得到實時用戶行為特征向量，并發送到用戶行為檢測模塊；

用戶行為訓練模塊，用于在用戶行為訓練階段，接收用戶行為預處理模塊發送的歷史用戶行為特征向量集合，并將集合中不可信的歷史用戶行為特征向量刪除，得到歷史用戶正常行為特征向量集合，并發送到PCA模塊；接收PCA模塊發送的歷史用戶正常行為特征向量的主方向，選取其中一個子集的主方向作為歷史用戶正常行為特征向量的主方向樣本，計算其他所有子集合中歷史用戶正常行為特征向量的主方向與主方向樣本之間的相似系數，即歷史用戶正常行為相似系數，并根據歷史用戶正常行為相似系數計算該種用戶行為類型的用戶行為異常閾值，并發送給用戶行為檢測模塊；將歷史用戶正常行為特征向量的主方向樣本發送給用戶行為檢測模塊；

所述將集合中不可信的歷史用戶行為特征向量刪除的具體方法為：對集合中所有歷史用戶行為特征向量中位置相同的對應元素求取平均值和標準差，將平均值與標準差的倍數分別相加、相減后得到歷史用戶行為特征向量中該位置元素可信區間，如果一個歷史用戶行為特征向量中的任何一個元素不在該元素所在位置的可信區間內，就將這一用戶行為特征向量刪除；

PCA模塊，(1)在用戶行為訓練階段，用于接收用戶行為訓練模塊發送的用戶正常行為特征向量集合，將歷史用戶正常行為特征向量集合中每m個向量構成一個歷史用戶正常行為特征向量子集合，使用PCA計算每個歷史用戶正常行為特征向量子集合中歷史用戶正常行為特征向量的主方向，并發送給用戶行為訓練模塊；

(2)在用戶行為檢測階段，用于獲取用戶行為檢測模塊發送的m個實時用戶行為特征向量，并將m個實時用戶行為特征向量構成實時用戶行為特征向量集合，使用PCA計算實時用戶行為特征向量集合中實時用戶行為特征向量的主方向，并發送給用戶行為檢測模塊；

用戶行為檢測模塊，用于在用戶行為檢測階段，接收用戶行為訓練模塊發送的每種用戶行為類型的用戶行為異常閾值、每種用戶行為類型的歷史用戶正常行為特征向量的主方向樣本和用戶行為預處理模塊發送的m個實時用戶行為特征向量，并將m個實時用戶行為特征向量發送給PCA模塊；接收PCA模塊發送的實時用戶行為特征向量的主方向，并計算實時用戶行為特征向量的主方向與同種用戶行為類型的歷史用戶正常行為特征向量的主方向樣本之間的相似系數，即實時用戶行為相似系數；根據實時用戶行為相似系數與同種用戶行為類型用戶行為異常閾值，判斷實時用戶行為是否異常，如果實時用戶行為異常，則將該用戶實時用戶行為特征向量發送給用戶行為異常處理模塊；如果實時用戶行為正常，將該用戶實時用戶行為特征向量放入用戶行為類型對應的數據庫中；

用戶行為異常處理模塊，如果接收到用戶行為檢測模塊發送的該用戶實時用戶行為特征向量，則停止該用戶相應用戶行為類型的操作，并進行報警；

所述相似系數采用如下公式生成：

其中，q_ij為相似系數，x_ik為第i個主方向X_i＝(x_i1，x_i2，…x_ik，…，x_im)′中的第k個元素，x_jk為第j個主方向X_j＝(x_j1，x_j2，…，x_jk，…，x_jm)′中的第k個元素；

所述用戶行為異常閾值采用如下步驟生成：

定義異常值為1減去相似系數的絕對值，計算每個歷史用戶正常行為相似系數的異常值，將異常值的平均值加上異常值的標準差，得到用戶行為異常閾值。