随着互联网的迅猛发展,越来越多的人成为互联网的使用者。由于针对客户端系统的攻击越来越多,用户在受益于互联网的同时,其权益也受到巨大威胁。在各种恶意软件层出不穷,攻击手段不断提高,行为越来越隐蔽的情况下,寻求减少甚至避免互联网用户遭到攻击的有效手段刻不容缓。防火墙和杀毒软件可以对已知的恶意攻击进行有效拦截,但对于未知的攻击很难进行有效的检测。而且,防火墙和杀毒软件都是进行被动的拦截和检测,并不能主动的探测互联网上的威胁。如何通过主动探测对互联网上存在的威胁进行辨别、确认,从而避免互联网用户登陆含有恶意行为的网页、网站成为一个亟待解决问题。针对以上问题,本文构建了Windows客户端行为实时监控系统。利用具有该系统的Windows虚拟客户端主动登陆待检测网页,通过系统对捕获数据的分析,从而判定系统是否受到入侵。首先,通过定义一组核心的Windows客户端行为,包括进程、远程线程、注册表、驱动加载、文件,并实时监控这组客户端行为的状态,根据监控的结果判定主机系统状态是否发生改变。其次,制定关联性分析的规则,通过关联性分析规则对实时监控的结果进行关联分析,得到有关客户端行为变化的有效精简的数据集。最后,根据关联性分析的数据集及恶意行为的定义,判定系统的安全性。经过测试,本文提出的Windows客户端行为实时监控系统可有效地对含有恶意行为的网页或网站进行判定,从而避免互联网用户登陆恶意网页或网站,有效地提高了互联网的安全性。