随着互联网的不断发展,网页木马这一新形态的恶意代码已经成为互联网上最主要的安全威胁之一。由于其具有被动传播、可利用浏览器提供的客户端执行能力等有别于传统恶意代码的特点,传统的检测机制并不能对其进行有效的检测。因此,如何对其进行有效的检测与防护已成为了网络安全领域的研究热点之一。本文以提高客户端对网页木马的防护能力为目标,围绕面向网页木马的入侵检测技术展开研究。　　 网页木马执行过程中的关键一步是针对客户端漏洞发动的渗透攻击,而大部分的攻击都利用了浏览器提供的客户端脚本语言执行引擎与浏览器其他组件间的交互能力。基于这一特性,本文提出了一种全新的面向网页木马的主机入侵检测机制,即通过对浏览器组件间的通信流进行监视,进而检测网页木马发动的渗透攻击。　　 鉴于目前大部分的网页木马都是针对微软IE浏览器及其插件进行攻击,基于本文提出的入侵检测技术,本文构建了一个基于COM组件通信流劫持及漏洞特征匹配的网页木马检测系统。利用网页木马重放技术及ActiveX插件模拟技术,本文使用北京大学计算机研究所信安中心M工程捕获的网页木马样本库及正常样本对该系统的性能进行了测试。测试表明,在选定的测试集上,本文实现的系统有着较高的检出率和较低的误报率,性能影响也在可以接受的范围内。　　 对比传统基于系统事件的高交互式蜜罐,该系统优势在于:可提供更多的信息,可对待下载恶意代码在检测时无法访问的样本进行检出,蜜罐的稳定性有所提高。对比低交互式蜜罐,该系统的优势在于不存在由于模拟不完善造成的漏报。对比基于Heap Spray检测的机制,该系统优势是:可以检测不依赖shellcode的攻击,系统的性能影响有了较大改进。总的说来,相较于目前在客户端使用最广泛的三种检测机制,本文提出的系统均具有一定的优势。