近年来高级可持续威胁(Advanced Persistent Threat,APT)攻击事件频频发生,木马程序作为一种高潜伏性、高威胁性、高隐蔽性的恶意软件在APT攻击中扮演着重要的角色。木马程序对个人、企业、社会组织以及国家的网络空间安全造成严重的威胁。对木马程序的检测一直是网络安全领域的研究热点,国内外的研究者已经提出了许多的木马检测方法,但是目前的检测方法大多是单独分析主机或网络的特征表现,其检测的漏报率和误报率仍有待降低,并且检测结果的可靠性也有待提高。本文首先深入分析了木马程序的运行原理及其通信过程中的不同阶段的不同表现。针对目前基于网络的木马检测方法需要一段时间来统计流量特征而导致的检测延迟问题,提出了一种基于网络流量分析的快速木马检测方法,实现了在木马通信早期对木马通信会话进行快速检测。其次,为了进一步降低木马检测的误报率和漏报率,增强木马检测抵抗混淆技术的能力,提出了一种基于主机和网络特征关联的分段木马检测方法,该方法将主机特征和网络特征进行关联,并为木马通信的两不同阶段使用机器学习分类算法训练了不同的检测器。最后,搭建了真实的实验环境进行了实验。实验结果表明基于网络流量分析的快速木马检测方法可以在木马通信早期快速检测木马通信,基于主机和网络特征关联的方法在增加抗混淆技术的基础上进一步降低了检测的漏报率和误报率,验证了方法的有效性。