本發明涉及一種基于會話特征相似性模糊聚類的異常用戶檢測方法，包括以下步驟：步驟S1：為每個會話建立滑動窗口，收集用戶的網頁訪問信息；步驟S2：對收集到的網頁訪問信息進行數據預處理，生成用戶會話信息；步驟S3：采用PageRank算法計算網頁權重信息；步驟S4：基于得到的用戶會話信息和網頁權重信息，采用SimHash算法計算用戶之間的相似性，建立用戶相似性矩陣；步驟S5：采用基于模糊聚類的λ?截算法對每個會話滑動窗口得到的用戶相似性矩陣進行切割，得出嫌疑用戶；步驟S6：根據所有會話滑動窗口返回的嫌疑用戶信息，檢測并定位異常用戶。該方法有利于快速準確地檢測并定位異常用戶。

技術領域

本發明涉及Web服務異常檢測技術領域，特別是一種基于會話特征相似性模糊聚類的異常用戶檢測方法。

背景技術

Web服務作為互聯網信息服務的入口為人們帶來了許多的便利，但是同時它的安全問題成為信息時代人類共同面臨的巨大威脅。來自Web的各種攻擊已經成為全球領域最大的挑戰之一。針對Web服務的異常檢測已經成為一個研究熱點。一般來說，異常是實際應用中發生了與正常行為不一致的事件，可能是事件本身潛在的特性所決定的，也可能是由于系統錯誤或者測量錯誤所造成的，或者是客體的不當行為所導致的。對于異常檢測的問題描述可以簡化為如何定義異常和發現異常。

一般來說，較常見的異常檢測方法大體上分為三類：(1)基于統計分析的流量異常檢測；(2)基于時間序列模型的流量異常檢測；(3)基于流挖掘的流量異常檢測。基于統計分析的異常檢測方法采用統計分析技術對時間序列進行檢測。它按某一時間間隔對系統或用戶的行為來描繪該行為輪廓，再將合并的最終輪廓并與正常行為輪廓比較，檢測是否存在異常行為。基于時間序列模型的異常檢測方法從全局角度分析，無需拆分數據，將當前時間段流量模型與前段時間流量模型的相關參數進行比較，當相差較大時認為存在異常。基于流挖掘的流量異常檢測方法從網絡流量中挖掘具有某種隱含的、有潛在價值的模式、信息、關聯等，用以檢測異常。其主要特點是可以檢測已知或未知的異常流，確定異常位置，而且還能用于實時異常檢測。基于流挖掘的流量異常檢測方法由于其檢測精度高，善于發現隱藏異常，對異常檢測有著至關重要的作用。然而，隨著Web流量的海量化與時效化，如何利用大數據技術提出有效的Web流量分析方法，準確描述用戶的行為，找出有效特征，也是流挖掘方法的主要問題。

當前對異常檢測進行了大量的研究，總的來說，現有的方法通常需要大量的有標記信息作為系統的訓練集，需要耗費大量前期工作時間來訓練模型，而這就需要專家預先判斷出原始數據是否為異常并標記，這顯然不利于異常檢測系統的移植和推廣。

發明內容

本發明的目的在于提供一種基于會話特征相似性模糊聚類的異常用戶檢測方法，該方法有利于快速準確地檢測并定位異常用戶。

為實現上述目的，本發明的技術方案是：一種基于會話特征相似性模糊聚類的異常用戶檢測方法，包括以下步驟：

步驟S1：為每個會話建立滑動窗口，收集用戶的網頁訪問信息；

步驟S2：對收集到的網頁訪問信息進行數據預處理，生成用戶會話信息；

步驟S3：采用PageRank算法計算網頁權重信息；

步驟S4：基于得到的用戶會話信息和網頁權重信息，采用SimHash算法計算用戶之間的相似性，建立用戶相似性矩陣；

步驟S5：采用基于模糊聚類的λ-截算法對每個會話滑動窗口得到的用戶相似性矩陣進行切割，得出嫌疑用戶；

步驟S6：根據所有會話滑動窗口返回的嫌疑用戶信息，檢測并定位異常用戶。

進一步地，所述步驟S2中，對收集到的網頁訪問信息進行數據預處理，包括以下步驟：

步驟S21：對網頁訪問信息進行數據清理，只保留html和htm的訪問記錄；