近年来,围绕恶意网站的攻防博弈在持续进行,恶意网站逐渐变得复杂化和隐蔽化。越来越多的恶意网站采用逃逸手段来应对检测,使得现有客户端蜜罐难以捕获攻击过程的特征信息,进而导致检测方法失效或存在较高的漏报。本文针对现有问题,设计并实现了一种网页细粒度行为捕获的方法,并提出了一种基于攻击过程行为相似性来检测恶意网站的方法。具体的研究工作和贡献如下:（1）设计并实现了一个基于低交互客户端蜜罐的恶意网页细粒度行为捕获系统。该系统通过扩展现有蜜罐内核记录网页渲染过程中的重要执行实体的行为以及相互之间的调用关系,进而将恶意网站的攻击过程表征成为网页执行图。测试结果表明,本文实现的捕获系统能够捕获细粒度行为特征,网页执行图能有效表征真实场景下的恶意网站行为,并且在合理的资源条件限制下,能够实现每天30万条的URL捕获。（2）提出了一种基于网页执行子图相似性的恶意网站检测方法。本文方法利用恶意网站在环境探测和重定向等各个攻击阶段的相似性进行恶意性检测。具体来说,该方法定义了一种网页执行图聚类算法,通过计算网页执行图之间的相似性将具有相似子结构的恶意样本聚类在一起,并通过从聚类结果中的提取公共子路径作为攻击模板,最后比较待测网页与攻击模板的相似性来判定恶意性。实验结果表明,该方法能够检测出98.7%的恶意网页,并且具有较高的检测准确率（97.0%）和较低的误报率（5.0%）。图23幅,表19个,参考文献54篇