随着信息技术的飞速发展，Internet已成为人们工作生活中不可缺少的重要部分。同时，Internet面临的安全形势严峻，尤其是以木马攻击为主的网络攻击行为危害日益严重，由此造成的经济损失也越来越大。木马攻击的检测技术是当前网络安全领域研究热点。木马攻击是网络攻击行为的一种，但由于其是攻击者精心构造，攻击行为个异化很强，如果只是运用常用入侵检测手段很难发现木马攻击行为。同时，由于入侵检测技术在大规模网络中往往产生大量的误告警，而将真正的高危害木马攻击告警湮没。由于缺乏木马攻击行为的深入分析，以及不可避免的误告警泛滥，是木马攻击检测系统面临的主要问题。　　本文是在大规模网络环境背景下，以提高对木马攻击的发现和理解能力为研究目标，对木马行为分析与检测和木马告警数据处理技术进行研究，实现了基于行为分析的木马攻击检测系统，并通过实际实验验证理论的可靠性和有效性。本文主要内容包括:　　1、木马行为分析与检测技术:通过对三十余种木马及其变形样本的深入研究分析，建立木马行为模型，并结合样本分析深入研究木马植入、回连、注册、远程控制、文件传输和“心跳”六类典型木马行为，最后有针对性的提出基于行为分析的木马攻击检测技术。　　2、木马告警数据处理技术:通过对告警数据的可信度分析，梳理出告警数据处理模型，将数据挖掘技术中的告警筛选和聚类分析引入告警数据的深度处理，并设计相应的算法和机制，最后运用基于因果关联的木马攻击序列识别技术将零散的告警转换为木马攻击序列。告警筛选中设计了关联模式、序列模式和周期模式三种模式挖掘算法，能够有效的去除误告警。聚类分析中通过在线聚类分析算法，将具有相似度的告警聚合成告警簇，为木马攻击序列识别提供高可信的告警数据集，缩小告警关联分析范围，提高攻击序列识别效率。木马攻击序列识别基于因果关联的攻击序列识别模型，定义木马攻击序列图，通过木马攻击行为的分类归约构建木马攻击序列，并讨论了因漏报而断裂产生木马攻击序列。　　3、木马攻击检测系统:通过木马攻击检测前端、模式挖掘、告警过滤、聚类分析和攻击序列识别等模块设计，实现了基于行为分析的木马攻击检测系统。在实验环境下，告警筛选比率和聚合率均能达到90％以上，并能识别生成木马攻击序列。　　本文通过对木马攻击行为及其检测方法研究，采用告警筛选、聚类分析和攻击序列识别技术对告警数据进行分析处理，实现大规模网络环境中木马攻击行为检测和攻击序列识别。基于行为分析的木马攻击检测系统，有效解决了木马攻击检测系统中误报率过高，能够通过构建木马攻击序列发现木马攻击意图。同时，告警筛选和聚类分析算法能够根据不同的网络环境进行调整，扩大了系统的环境适用性。