随着互联网技术的发展与革新,Web服务由于异构性、动态交互性、跨平台性等优于传统应用的特点,受到了个人、机构和服务提供商的一致青睐,以电子商务、信息管理平台、社交网络等为代表,Web服务迅速发展,成为了互联网的核心应用服务之一。与此同时,由于网络本身具有的开放性和共享性,Web服务面临的安全隐患不容忽视,近年来针对Web服务的攻击手段日趋复杂且攻击规模较之前不断扩大,Web服务安全形势严峻,传统的安全技术与攻击防护体系对未知威胁的检测效果并不理想,在管理疏忽的情况下内网违规行为也无法得到及时的制止。为了弥补传统的安全体系在Web服务安全防护方面的不足,本文针对Web服务提出了基于业务逻辑的异常检测方法和基于日志分析的异常检测方法来解决上述问题。论文主要完成了如下工作:(1)将业务逻辑与异常检测相结合,提出了一种用Web服务实现过程中产生的业务逻辑来构建用户正常行为轮廓的异常检测方法;该方法以用户访问Web服务时产生的流量数据作为异常分析的数据源,通过抽取Web服务中服务器层面的业务逻辑,以是否遵循访问路径的规律作为判定标准,区分正常用户访问的产生的有序数据与异常行为产生的无序数据,得出检测结果。该方法是为部署在重要节点上的Web服务器而设计的,能够检测用户的访问是否存在违反业务逻辑操作的异常情况,为发现未知威胁和及时调整站点安全策略提供参考信息。(2)将日志分析、孤立点算法和异常检测相结合,从Web日志文件中提取特征值,对经典的孤立点检测算法进行改进后,使用经过优化的OPT-LOF算法分别对站点的日志记录进行纵向异常分析和横向异常分析。纵向异常分析将用户以IP地址作为分类标准进行文件划分,选取纵向异常检测对应的特征项,分别对每个用户的所有访问数据进行异常分析,得到与用户自身访问习惯产生偏离的异常访问记录;横向异常分析以访问时间作为分类标准对日志文件进行分类,选取横向异常检测对应的特征项后对同一段时间内的所有用户的访问情况进行分析,得出每段时间内与所有用户的访问行为规律不符的异常日志记录;该方法能够检测出用户违反常规操作和规律的行为,是对传统入侵检测方法的有效补充。(3)对本文提出的Web服务异常检测系统进行了设计,对系统进行了需求分析、总体设计、模块设计和数据库设计。最后,分别对基于业务逻辑的异常检测和基于日志分析的异常检测的有效性和效率进行了实验;实验结果表明,本文提出的异常检测方法能够发现用户对Web服务系统的无规律的大量异常访问、SQL注入尝试、语义URL攻击以及与正常用户访问记录存在差异性的异常访问等。该方法的提出有效地弥补了传统入侵检测方法的短板,增强了Web服务系统中对业务流的监控和对日志文件的分析与审查,能够检测出部分未知类型的非法入侵与用户违规操作,拓展了现有的安全防御方法、丰富了网络安全防御体系。