信息时代的到来,带来了快捷的互联网应用,但是互联网给予我们方便的同时,也带来了各种网络安全威胁。木马,是这些威胁中导致信息窃取的重要因素之一,如何检测木马成为计算机安全研究的重点内容。目前的安全软件,大都运行在单机环境下,难以对整个局域网提供有效的保护和监管。现有的木马检测系统,大都局限于对于通信端口的监控,难以深入通信内容,对于木马检测的准确性难以保证。因此,需要有更加专业的网络层面的木马检测系统对网络进行监控。本文在此需求基础上对木马的原理和通信方式进行了研究,对现存的木马检测产品做出了分析,利用Bloom Filter算法设计并实现了木马报文检测系统。文章前面分析了现有网络环境下的各种报文捕获机制,比较了基于BPF的传统Libpcap、NAPI改进型Libpcap、PF_RING改进型Libpcap以及HPPCP报文捕获技术。在分析木马特征码和行为的基础上,制定一系列规则对报文进行分析及过滤,分析和过滤的规则是一系列八元组(源IP、源端口、目的IP、目的端口、协议、报文长度、报文频率、是否含有二进制字符)。对于发往IP白名单的报文采用Bloom Filter算法进行快速高效的过滤。接着对常用的模式匹配算法进行了分析比较,并根据实际情况,对BM算法进行了分析。接着设计并实现了利用Bloom Filter的木马报文检测系统。介绍了系统的总体架构以及报文捕获、行为监管、报文过滤、报文重组、内容监管、系统配置和通信控制等模块。完成实现后,对系统的报文捕获关键模块进行了单元测试,然后对整个系统进行了整体测试。测试发现,系统的功能正常使用,具有较好的稳定性。可以在千兆网络中提供较好的检测效果。最后,文章对系统做了总结和展望。并提出改进方向,希望此类报文检测系统可以应用到实际的安全工作中去。