随着计算机网络的不断发展,网络安全问题也渐渐浮现。作为黑客主要进攻手段之一的木马,也在迅速发展更新。传统的木马侦测手段在木马落地并且植入系统之后,检测率便会大大下降,因此如何检测已经被植入并且隐藏在系统中的木马,是一个值得关注的安全问题。本文首先介绍了木马的攻击手段和隐藏技术,并通过分析传统的木马检测技术在现阶段的应用和特点,得出传统木马检测技术的优势与局限性,提出了基于网络行为分析的木马检测技术的研究思路,设计了一种从网络行为检测到本地文件溯源的检测架构。其次论文详细介绍了如何通过对网络行为数据的分析,对比正常数据和木马数据的差异和特点,提出命令包的概念,提取出上传下载比、命令包个数、小包占比、会话时长和总包数等五个特征,采用决策树算法来根据特征提取规则进行数据筛选分类。通过HOOK技术挂钩发包函数,审查其中的传入参数,对发包函数进行监控,再通过栈回溯技术对调用的函数的调用栈进行追踪,最后根据其调用地址反查到木马文件具体位置,以达到对木马程序进行定位的目的。最后论文实现了该木马检测技术,给出了文中设定参数的取值,并且对实验结果进行了分析,验证了文中所提出的木马检测技术具有普适性和高准确度。