随着 Internet 的快速发展，网络安全也随之成为一个重要问题。木马做为一种主要的信息窃取和破坏手段，对网络信息安全构成了重大的威胁。因此，木马的检测问题已成为互联网安全研究的一个主要课题。 木马的检测技术主要分为静态特征信息检测和动态行为检测。静态特征信息检测是应用最早，也是最成熟的木马检测手段，具有准确率高的特点。但随着木马数量的大量增加，静态检测出现了两个问题：一是检测效率下降；二是不能检测未知木马。因此，做为对静态特征信息检测的补充，动态行为检测因其具备检测未知木马的能力而备受重视。 动态行为检测是根据木马不同于合法程序的行为特点来进行检测。在众多行为中，网络通信是木马不能回避的关键行为。通信行为包括通信流量在时间上的分布特点以及通信所采用的技术。通信行为检测的关键是将木马通信行为与正常通信行为区别开来。 通过总结现有木马通信技术，本文提出了一种基于广谱通信行为分析的木马检测机制。该机制针对木马网络通信技术日益底层化的趋势，提出在网络驱动接口规范 (NDIS) 层上拦截主机向外发送的数据包。然后经过网络协议 (TCP/IP)解码，对这些数据包进行分析，得到发送端口信息。通过端口与进程关联，来判断这个数据包是否是木马发出的。同时根据得到的进程信息来查杀木马。该机制的特点是：由于在底层截获数据包，所以该机制具备广谱性，能对多种木马通信方式进行检测；由于端口信息是该机制的关键信息，所以能检测新出现的采用无端口通信方式的木马；由于通过进程信息来判别木马，因此具备一定的检测进程隐藏木马的能力。其中前两点是以前的基于木马通信行为的检测方式所不具备的。 基于广谱通信行为分析的木马检测机制，本文设计了木马检测模块 CBDM(Communication Behavior Detection Module)，并实现了其中的关键子模块。由于采用了模块化设计，具备了较好的移植性，因此它可以做为单独的木马检测软件使用，也可以做为附加功能添加到入侵检测系统和防火墙中。本文最后讨论了该模块的局限性，并提出了改进的方向。