随着网络技术的日益发展,网络安全机制的研究越来越被重视。随着入侵检测技术的研究越来越广泛,未知网络攻击的异常检测技术并没有得到广泛研究。由于Web应用技术的迅速发展,基于误用检测的入侵检测技术已经不能满足现有的网络安全机制,随着Web应用中B/S(浏览器／服务器)架构的广泛流行,同时现有网络攻击手段变得多样化,大量的客户端的未知网络攻击开始涌现。因此,本文研究了基于Web客户端行为的统计异常检测系统。首先采用基于统计分析的技术设计了用户预处理模块,在预处理模块中过滤掉大部分的正常用户的HTTP请求序列,将少量的可能存在异常的Web用户的HTTP请求序列交给Web用户行为判断模块处理；在用户行为判断模块首先采集正常用户的HTTP请求序列,采用隐半马尔科夫模型(HsMM)建立正常Web用户的访问行为,其次基于建立的正常用户行为模型对可能存在异常的Web用户的HTTP请求序列进行实时检测。在异常检测系统改进上,由于HsMM模型训练算法(Baum-Welch)对初始参数敏感的缺陷,在基于HsMM的异常检测系统基础上采用GA进行初始参数的优化处理,首先采集不同时间点的Web用户的HTTP请求序列,其次采用GA对不同时间点的HTTP请求序列初始参数进行全局优化,接着采用HsMM前向和后向算法对全局优化的初始参数进行重估处理,最后,在全局优化和重估的初始参数条件下采用HsMM前向算法建立正常Web用户访问行为。最终通过建立的正常Web用户的访问行为来检测实时到达的Web用户的HTTP请求序列。本文首先在用户预处理模块中,对Web用户的HTTP请求速度、请求的响应负载流量等设定相应的正常用户的流量闽值；其次在Web用户行为建模时,采用的数据源是萨斯喀彻温大学的校园服务器HTTP请求记录,分别建立了基于GA优化的HsMM检测系统和未优化的基于HsMM的检测系统。实验结果表明基于GA改进的异常检测系统较明显的提高了检测率和降低了将异常用户判定为正常用户的错误率。