Web服务器正在成为各种重要信息汇集和分发的中枢,自然也成为网络攻击的首选目标.已经发生的重大网络安全事件,绝大多数都是针对Web服务器进行的.通过攻击Web服务器,入侵者可以获取大量重要的保密信息和系统的控制权,并可借助这个跳板,发动对其它目标的攻击.Web服务的普遍性和重要性,使得Web安全成为网络安全中极为重要的一环.该文运用行为科学的方法对Web安全问题进行了研究,主要侧重于以下几个方面:1)根据行为科学和计算机安全的特点,提出了运用行为科学的方法研究计算机安全问题,讨论了研究的内容和方法.2)研究了Web服务器实现的协议兼容性问题,提出了使用"刺激-反应"的行为模型研究兼容性问题的方法,设计了一种测试Web服务器兼容性的工具――WSPCT.3)介绍了Web服务器普遍采用banner信息隐蔽的方法,提出利用行为特征来识别服务器真实身份的Web服务器映射方法,设计了一个Web服务器映射工具――WSMT.4)讨论了侦察活动对系统安全的影响.提出了防风墙的概念,并介绍了一个Web站点的防风墙原型系统――WSW2,描述了利用行为控制来防范侦察的技术.5)介绍了一个通过模拟攻击者的行为方式,评估Web服务器安全的Web服务器安全评估工具――Webprobe,它利用攻击验证的方法,有效地降低了安全评估的误判率.6)提出学习攻击者的攻击思路和策略,用启发式策略检测口令安全性.它针对中国人的口令选择特点,模拟攻击者的启发式破解思路,可以很好地检测口令的安全性.