伴随着互联网的快速发展，带来的是更多的安全威胁。近年来，CSDN密码泄密门、ApacheStruts2漏洞、棱镜门等一系列网络安全事件进入人们的视野，这其中绝大部分都与Web网站安全息息相关。根据CNCERT每年发布的年度安全报告，与Web网站相关的入侵行为呈逐年上升趋势。在所有安全威胁中，尤其以网站后门和网页篡改为甚。对于网页篡改的形式而言，近年来植入黑链的数量逐渐上升，而网页挂马则呈显著下降的趋势，因此植入黑链正成为网页篡改的主要形式。此外，攻击者在发动入侵行为之前，往往都会针对目标网站进行一系列的网站扫描，以期获得更多对入侵有利的信息，为进一步的入侵行为做铺垫。因此，检测网站扫描、网站后门和网页黑链对于维护Web服务器安全、感知安全态势具有极其重要的作用。　　CHAIRS(Cooperative Hybrid Aided Incidence Response System)是一个大型分布式应急响应管理系统，该系统部署在CERNET（China Educationand Research Network中国教育和科研计算机网）各主节点，为CCERT(中国教育和科研计算机网紧急响应组)、NJCERT（华东北地区网网络安全事件响应组）等各节点的安全管理人员提供应急响应管理功能，提高CERNET内安全事件响应的效率。　　本文的主要任务是研究针对Web入侵的检测方法，并为CHAIRS系统设计并实现一个Web入侵检测系统，使之能够针对网站扫描、网站后门以及网页篡改进行检测，同时生成警报和证据信息汇报给CHAIRS系统。　　针对网站扫描，本文根据扫描的目的和特点，分别针对敏感路径扫描和Web漏洞扫描进行检测。对于敏感路径扫描，本文提出了根据HTTP交互的检测方法，具体来说是根据HTTP响应状态码进行聚类，筛选出机器访问行为;再针对HTTP请求URL计算信息熵，以此判断暴力枚举扫描行为。对于Web漏洞扫描，本文借鉴了开源IDS的思路，但是不依赖于UserAgent，而是参考HTTP头部的全部字段，总结出扫描器的特点进行检测，减少了漏报。　　针对网站后门，为了提高系统的检测速率，本文提出了使用孤页检测进行预处理的方法，先筛选掉确定不是Webshell的页面，减少后期需要处理的数据量。对于剩下的可疑页面，本文提出了基于SVM的黑盒检测的方法，即在不知道脚本源代码的情况下，仅仅依赖HTML文档进行检测，取得了其他检测工具白盒检测的效果。　　针对网页黑链，根据植入黑链的目的是谋取经济利益的特点，本文提出了自动分析黑链并提取广告关键词的算法，并最终形成了黑链关键词库，可以对于未知安全性的网页进行黑链检测。