随着互联网的普及率不断提升,Web服务器的功能越来越完善,每天都会产生大规模的Web用户行为数据,该数据被存储到服务器中。近年来,Web用户的异常行为分析问题是我国网络安全的重要问题之一,也是学术界研究的热点。从大规模数据中分析出Web用户的异常行为,并识别出该用户的异常行为类别不仅是舆情管控的重要目标,也是各种网络平台维护网络环境安全的重要手段。Web用户的异常行为一直影响着Web网页的安全与稳定,因此Web网页管理者需要每天对大量的日志记录进行分析,并不断花费时间和资源来维护Web网页。国内外对于Web用户异常行为的研究主要采用企业的一体化日志分析软件和各种机器学习算法或集成学习算法所搭建的模型。日志分析软件虽然提供了有效的日志采集和分析方案,但依赖其架构或者配置,安装配置比较繁琐。目前各种机器学习算法对日志分析的深度不够,对于特征提取,只提取一部分关键特征,未有效去除无关特征,对于Web用户异常行为的类别也没有进行有效识别。现有的集成学习算法模型也存在特征提取不充分、未有效降低特征维度和关联特征结合度低等问题。为了解决上述问题,论文从提取关键性Web用户异常行为特征的角度出发,来提高Web用户异常行为的分类准确率。从集成学习算法的理念出发,来搭建一个高精度模型。主要内容包括:首先,优化mRMR算法。引入标准归一化互信息函数用于冗余特征的度量,从而提升向量的敏感度。在增量搜索新特征时引入显著度函数,并将关键实例集代替原始实例集。基于特征之间的关联性和冗余性进行特征选择以获取更优的Web用户异常行为特征子集。其次,构建mRMR-XGBoost双层模型。模型第一层基于优化后的mRMR算法对特征集进行特征分类工作,输出Web用户异常行为的高质量特征子集。第二层通过XGBoost算法进行特征组合生成新的CART决策树,并利用XGBoost算法内设的正则化项有效了防止过拟合化现象的发生。树的节点划分选择贪心算法进行处理,生成多棵回归树,第K棵树对第K-1棵树的残差进行拟合,最终生成一棵最优的树。最后,本文在A Realistic Cyber Defense Dataset（CSE-CIC-IDS2018）数据集上提取了sql安全注入攻击、网络目录扫描攻击、XSS注入三个类别的数据,组成Web用户异常行为的实验数据集。首先,本文对mRMR算法优化前后进行实验对比,通过比较特征分类的收敛速度和准确性,证明优化后的mRMR算法在特征处理上效果更优。其次,本文对XGBoost单层模型和mRMR-XGBoost双层模型进行了实验对比,结果表明,mRMR-XGBoost双层模型在Web用户异常行为分析上具有更高的准确度。最后,本文将mRMR-XGBoost双层模型和XGBoostXGBoost双层模型做抗噪实验对比分析,结果表明,mRMR-XGBoost双层模型在Web用户异常行为分析应用中具有更好的抗噪性和稳定性,而且mRMRXGBoost双层模型在Web用户异常行为分析研究中分类速度更快。综上所述,本课题提出的mRMR-XGBoost双层模型在Web用户异常行为应用中性能更优,具有较好的鲁棒性。