随着互联网的普及和飞速发展,网络安全问题也愈发重要。Web日志记录了网站的运行信息和用户的所有操作,通过日志分析开发者可以检测出网络的异常流量,及时发现漏洞。由于传统的基于规则和模式匹配的日志分析技术对海量数据的处理效果不佳,也无法应对形式复杂多样的网络攻击,将机器学习和深度学习技术应用到日志分析领域是大势所趋。本文提出了一种自定义特征的方法,对比于其他基于统计信息的特征提取,该方法将特征提取的重点放在URL部分,忽略对其他冗余和对检测结果提升不大的信息,有效的减少了日志数据特征提取后的维度,结果证明,该种特征提取方法检测结果良好,检测效果也略微高于其他的基于统计特征的特征提取方法,但特征维度大大减小。接下来研究了一种与距离度量相关的特征系数调节方法,将其应用并改进KNN算法,使得机器学习中异常检测的各项评估指标得到提高。主要内容如下:首先介绍了Web日志的结构和特点,介绍了误用检测和异常检测两种常用的Web日志异常流量检测方法,其中,根据使用算法效果的不同,异常检测又可细分为基于神经网络和基于其他机器学习算法的异常检测,随后对相关的算法进行了简介。然后使用了一种基于统计知识的特征提取方法从Web日志中提取特征,对比了一些其他特征提取方法,检测效果较为良好,但特征提取的维度远远低于其他方法,经过进一步的降维手段,以牺牲较小的检测结果的代价,换取了维度的进一步降低,大大节省了数据特征的存储空间,提升了后续算法的处理速度。接下来重点研究了一种特征系数调节方法,不同于传统的特征标准化,特征筛选等特征工程,特征系数调节着重研究了不同特征间的重要性的差异,并赋予不同的权值系数予以调整距离度量中的贡献度。在此基础上应用K近邻算法,随后运用粒子群优化算法继续予以改进,使得特征系数的调节具有自适应性。与改进前对比,结果证明仅仅添加3个特征系数,准确率提升了0.84%、精确率提升了1.00%,f1-score提升了1.09%。最后,建立了一个基于ELK日志系统,综合前文所涉及的相关技术,进行总体的实验和仿真,并对结果进行具体分析。