近几年,万维网在中国蓬勃发展,给人们的生活带来方方面面上的改变。但万维网本身的开放性也带来了一系列的安全上的问题,2018年的爆发的facebook用户信息泄露事件,等更是让人们进一步意识到网络安全的重要性。根据安全公司Fireye的一篇报告,Web入侵是网络中最常见的攻击方式,而网站扫描和网站后门在所有安全威胁中最为常见。对不同类型的服务器进行访问行为检测,及时检测出网站扫描和网站后门等Web入侵行为能够维护服务器安全,减少损失。本文的主要研究内容为通过网站分类,对不同类型的网站分别建立细化的用户行为模型。再通过行为模型实现用户行为分类,得到细化的行为类别,从HTTP报文的请求响应信息和基于服务器或客户端的统计数据两个维度进行特征提取,从而检测出异常行为。针对网站分类,本文针对主流的互联网应用的特点,总结归纳出三种类型的网站,咨询信息类,资源下载类和信息交互类。针对每类网站的特点:资讯类网站用户访问分散度高,频度高;资源类网站用户访问频度低,访问次数少;交互类网站用户提交动作多。本文从HTTP报文内容,用户的归属和网站访问信息三个维度进行特征提取。针对实际数据量大且无标记的特点,使用半监督学习中的Tri-traing算法进行模型训练,得到了较好的分类效果。针对网站用户行为分类,因用户对万维网网站的访问行为即用户对网站的HTTP访问行为,本文通过对HTTP报文进行分析来进行用户行为分析。本文将用户行为分为两大类,正常的用户行为和异常的用户行为。对于异常的用户行为,本文通过对典型的Webshell和扫描器进行行为分析,总结出与正常用户不同的特征。考虑到算法的分类性能问题,使用xgboost算法进行模型训练,得到了较高的正确率和较低的误报率。最后在网站分类的基础上建立细化的用户行为模型,并与统一的用户行为模型进行对比,证明了其有效性。对于Web入侵检测方案,先使用网站分类的方法对用户进行分类,然后针对每一种网站的用户分别建立其对应的用户行为模型,对网络流量使用细化的用户行为模型进行行为判断,进行更加细化的行为划分,最终得出具体的行为类别,进而得知其行为的具体意义,达到Web入侵检测的目的。