随着近年来网络技术的飞速发展,与Internet有关的安全事件愈来愈多,安全问题日益突出。目前,网页木马成为恶意软件传播中最常见的形式之一,网页木马具有传播速度快、变种形式多样、破坏力强等特点,给普通网络用户带来严重的安全威胁,所以高效、准确的网页木马检测研究是很必要的。目前防御网页木马通常采用以下两种方法,基于庞大的“木马网址库”建立网页木马防火墙,或者依赖于各种网络安全产品的主动防御系统。但两种方法在检测网页木马时均存在缺陷:前者要根据已检测到的结果不断更新“网页木马地址库”,但是网页木马地址数量非常巨大而且有效期可能很短,此方法不仅缺乏时效性而且非常浪费资源;后者虽然借助主动防御系统可以针对网页木马做出主动检测,但是面对变种形式多样、隐藏技术特殊的网页木马缺乏准确性和针对性,而且由于网页木马独特的传播运行原理,主动防御系统的有效检测往往发生在网页木马安装运行之后,缺乏时效性。本文提出基于行为特征分析的网页木马检测方案,在研究网页木马行为特征的基础上,采用相应的技术方案实现网页木马检测。本文首先在研究当前网页木马应用技术发展特点的基础上,采集主流的各类型网页木马构建试验样本库,然后利用各种软件工具结合适当方法采集其代码行为和运行行为的特征,分析研究检测技术的基本原理。在此基础上本文首先基于进程监视技术设计检测方案,然后通过分析其设计和检测上的优缺点,结合内核模式下的API函数调用拦截技术提出改进方案,并在此基础上设计和实现了网页木马检测系统。此系统通过拦截浏览器激活网页木马所必需的API函数实现检测,并通过拦截报警方式解决可能存在的误报问题。实验表明本文提出的检测方案能够有效地提高网页木马的检测准确率和检测效率,达到预期的研究目的。