木马是一种存在时间较长,攻击原理不断变化的网络攻击方式。随着互联网技术日新月异的发展,木马攻击在不断变更自己生存方式的同时,其攻击方式也不断进化,恶化了现有的网络环境,对整个社会造成了不良影响,已经成为广大网民面临的网络危害之一。如何能够快速、准确的地检测并防范木马攻击依然是一个重要课题。本文研究分析了网络木马攻击的通信流量特征以及常用应用流量特征,提出了一种基于多模式匹配原理与随机性检测原理相结合的木马识别模型,在一定程度上完善和补充了现有的木马识别技术存在的不足,满足了木马识别的实际需求。本文的主要研究内容及成果如下:(1)研究并分析了多个典型木马样本及部分常用应用的应用层协议,归纳了木马样本及常用应用的协议特点和规律。并且利用网络封包分析软件对应用通信过程进行分析,通过对比多次通信的应用层数据报文,提取了应用层协议的正则特征,总结了应用层协议特征的正则规律。(2)设计了一种基于组合AC算法的协议特征正则匹配算法。该算法将正则表达式与AC算法相结合,通过应用流量与协议库的匹配,有效识别非加密木马样本及常用应用。(3)提出了一种基于加权累积估计的加密木马识别算法。将随机性估计算法应用于加密木马的识别,通过对多样本多数量的加权累积和估计,结合木马流量特征,用以对加密木马的识别。(4)提出了一种基于组合AC算法与加权累积估计算法相结合的木马识别模型。该模型利用组合AC算法识别非加密木马及常用应用;利用加权累积和估计算法识别加密的木马流量,两种算法相互补充,可以有效检测木马。本文通过对木马及常用应用的分析,设计了基于组合AC算法与加权累积和估计算法相结的木马识别模型,通过大量数据的仿真测评,证明该模型能有效的对木马进行识别。