远程控制木马是一类以窃取机密信息为主要目的的恶意程序,常被用于高级可持续威胁（Advanced Persistent Threat,APT）攻击的后渗透阶段,严重威胁着网络空间安全,对远程控制木马的检测方法研究具有重要的实际意义。现阶段基于网络的远程控制木马检测方法大多对数据流的完整性有较高的要求,其检测存在一定的滞后,而相应的早期检测方法中漏报率与误报率有待进一步降低,同时,少有研究者考虑远程控制木马通信流量中的时间序列特性。时间序列作为一组按照时间先后顺序进行排序的随机变量,能够提供多样的特征信息,提高检测方法的准确率。本文以远程控制木马通信行为中流量的时间序列为研究对象,对远程控制木马的初期通信的时序信息进行研究分析。首先,针对远控木马与正常应用在建立通信初期数据流的时间序列差异特性,提出一种基于KNN-DTW的远程控制木马检测方法。方法重点关注软件运行初期的网络通信会话,并对其提取首条TCP流中前t秒的方向序列与负载序列,再结合KNN-DTW算法构建检测模型,以此实现对流量的判别。实验结果表明,该方法能够对远控木马流量实现有效检测,在较短的数据流就能高准确率地检测出远控木马流量。其次,为进一步降低检测远控木马的误报率,提出了一种融合统计特征与时序特征的远程控制木马早期检测方法。该方法以远控木马被控端和控制端交互中首条TCP流为分析对象,重点关注流中由内部主机向外部网络发送且数据包传输层负载大于α字节的第一个数据包（上线包）及其后续数个数据包,从中提取包含传输负载大小序列、传输字节数和时间间隔在内的三维特征并运用机器学习算法构建了高效的早期检测模型。实验结果表明,该方法具备快速检测远程控制木马的能力,其通过远控木马会话建立后初期的少量数据包即可高准确率地检测出远控木马流量。