随着网络技术的飞速发展,与互联网有关的安全事件与日俱增。近年来网页木马已成为恶意代码最常见的传播方式之一。部分黑客利用网页木马入侵因特网客户端主机,窃取虚拟财产和用户信息从而获得非法收入,构筑了以网页木马为核心的黑客地下经济链。这给互联网安全带来了严重的威胁,对互联网用户造成极大地经济损失。　　 目前网页木马攻击越来越规模化和集团化,一个挂马组织可能控制大量的网页木马,我们称这些网页木马“同源”。本文以近一年来的检测数据为基础,对网页木马同源性做了研究,主要内容包括:　　 (1)完善了网页木马攻击场景的概念,网页木马攻击场景是对一个网页木马案例的描述和可视化展示,本文将网页木马攻击的几个关键环节添加到现有场景中,使得它能有更加深入和准确地描述网页木马攻击过程。研究者借助扩展后的网页木马场景能更好地从整体方面分析网页木马,以及对其中每个部分进行深入分析。　　 (2)基于场景的网页木马同源性分析。本文首先提出了网页木马同源性的概念;然后借助层次聚类的思想对网页木马场景各个环节的数据做了同源性分析,得到了每个环节中频繁出现的类别;最后利用Apriori算法对各环节频繁项做了关联分析,得到了五个大规模挂马事件的模式特征。　　 (3)黑客社区研究。本文对中国黑客社区的历史、现状及主要团体和个人做了研究,并借助方正智思舆情分析系统实现了中国黑客社区动态信息的捕获和分析,利用这些信息我们充实了上述频繁出现的类别和大规模挂马事件的信息,对网页木马防御和取证工作提供依据。