本发明公开一种挂马检测方法及系统。本发明提供的挂马检测方法包括：获取待识别统一资源定位符，待识别统一资源定位符为待识别网页的统一资源定位符；解析待识别统一资源定位符对应的待识别程序状态序列，待识别程序状态序列包括待识别统一资源定位符的多条属性；根据待识别程序状态序列与挂马事件特征库中各挂马程序状态序列的相似度确定待识别网页是否为挂马网页。可见，采用本发明提供的挂马检测方法及系统，能够自动检测出挂马网页，大大降低挂马告警事件的误报量，有效减少网络安全运维人员人工筛查的工作量，提高运维人员的工作效率。