本发明涉及一种识别WEB入侵的方法，包括：获取访问者的访问行为；判断所述访问行为是否为可疑请求，如果是可疑请求，根据预设的可疑分值评判标准，累加所述访问行为涉及的可疑分值得到安全分值；当安全分值大于预设的阈值，用户行为异常，存在WEB入侵。本发明提供的技术方案摆脱了对高度依赖规则式的传统IPS、IDS等设备的依赖，实现基于无规则式识别未知的高级入侵WEB服务器的手段和0day漏洞的利用，而且做到了对Web服务器安全状态和运行情况实时感知。