近年来,互联网飞速发展,社交、购物、金融等不同行业都开始互联网化,随之出现了大量Web应用。受限于开发者水平,Web应用中的安全漏洞也层出不穷,使得用户隐私与数据安全遭受严重威胁。在众多Web漏洞中,反序列化漏洞由于漏洞利用条件低,攻击后获取权限高,影响范围广等特点已经成为Web应用中最具威胁的漏洞之一。如何快速、有效检测出未知反序列化漏洞,对于保障互联网安全具有重要意义。为了解决传统静态分析和动态分析无法有效检测未知反序列化漏洞的问题,本文将主机入侵检测与Web应用动态监控相结合,构造完整漏洞攻击行为链,从而系统地根据入侵行为检测Web应用中的未知反序列化漏洞。本文以主机监控为入手点,监控攻击者通过反序列化漏洞入侵主机后的活动行为,将主机的异常行为与Web应用相关联。通过在Web应用中hook PHP应用底层函数,获取PHP执行函数调用链,建立反序列化漏洞从输入点到漏洞利用点的调用链。最终,以漏洞触发点为中介,建立从漏洞触发到主机攻击的完整的反序列化漏洞攻击行为链,并以此检测反序列化漏洞的入侵行为。本文设计了由主机监控插件和Web应用hook扩展组成的入侵检测系统,对7个反序列化漏洞进行测试,在无先验知识的情况下,能够准确检测全部7个反序列化漏洞,并能够及时有效地预警,同时向用户还原和展示了漏洞细节和入侵行为,并具有良好运行性能。实验表明基于入侵行为的未知反序列化漏洞检测系统针对未知反序列化漏洞高效且及时。