在前面一篇文章“【Splunk】几个web日志分析app介绍”中介绍了两个WEB日志分析的app，其中trafficray将WEB访问日志进行可视化输出，可以用来进行IP活动模式分析、检测恶意行为、查看带宽消耗趋势、协助发现针对网站的攻击行为。以下从主要从IP访问趋势类型图分析，看看与正常访问用户的区别在哪。

示例一：

从图中可以看出，这几个IP的访问趋势类型图相似，在全天均有大量的访问，并且带宽消耗远超其它IP。该IP的具体情况，在文章“【Splunk】prelert机器学习app简单介绍及案例”中有详细介绍。

示例二：

可以看到该IP访问趋势类型为全天平均分布，访问路径均为/phpstatus，ua为curl，为运维人员通过脚本监控网站运行状态。

示例三：

可以看出几个IP的访问趋势类型图相似，选择其中一个IP查看详细信息，ua为NuSOAP，uri只有3个。该访问为基于NuSOAP方式的PHP webservice调用，用来和百度知道交互的。

示例四：

两个IP的访问趋势类型图相似，点击分布相同，页面访问分布相同，从ua知道这是运维使用监控宝产生的访问。

示例五：

这几个IP的访问趋势类型图相似，点击分布相似，页面访问分布相似，从访问的uri知道应该是用来抓取页面信息的。

如上所述，非正常访问用户的访问趋势类型有比较显著的特点：

1. 时间分布：对于监控、爬虫、抓取页面等行为，访问在全天几乎全部分布；

2. IP活动类型图：有明显的规律，比如访问在时间段上均匀分布，或者访问趋势在时间段上呈有规律的分布；

3. 其它信息：如访问uri分布规律、页面点击分布规律、分布式扫描\监控等存在多个IP相同的访问趋势类型等；