近年来,随着互联网技术及应用的飞速发展,网络上频繁发生的大规模网络入侵、机密信息失窃和计算机病毒泛滥等安全事件给各国互联网安全造成了极大地危害,甚至造成巨大经济损失。互联网安全已经面临严峻的形势。其中,木马和木马组成的僵尸网络已经越来越成为危害互联网安全的重大威胁之一。木马盗取私人信息、银行账号,甚至金融机构、国家机关及军队的机密信息等事件经常发生;木马组成的僵尸网络正在以每天千亿封垃圾邮件的数量充斥全球网络,其控制着数量惊人的肉鸡,可随时实施DDOS攻击,其造成的危害之巨大、损失之严重,甚至无法用金钱来衡量。因此,木马和僵尸网络的防范已迫在眉睫。　　 本文首先介绍了木马的概念及相关技术原理,并对木马异常流量的检测方法进行了总结。为了更深入的研究木马异常流量,搭建了木马离线与在线测试环境,测试了近百种主流木马工具,对其本地和网络行为进行了深入分析,并提取木马异常流量指纹特征,以“凌云远控”和“froian.Zbot.1194”为例进行了详细分析。　　 在以上分析的基础上,本文接着介绍了木马指纹特征自动提取系统和木马异常流量检测系统的设计与实现。木马指纹特征自动提取系统实现了木马异常流量指纹特征自动化提取,在已有指纹特征提取算法AutoSig的基础上,针对指纹特征在木马通信流量中存在少的特点,利用K-Means聚类算法对木马流量按功能分类,将多条相同功能的流进行合并作为系统输入,来提取木马异常流量指纹特征。木马异常流量检测系统利用木马具有周期性通信行为和其流统计特征进行木马异常流量检测,系统分两级:第一级周期性检测;第二级流统计特征检测。第二级是第一级的补充,使检测结果更加准确。周期性检测利用木马具有周期性通信行为的特点进行检测;流统计特征检测利用RandomSubspace分类算法来实现。