1.一種木馬發(fā)現(xiàn)系統(tǒng)，其特征在于包括目的IP地址可信度評(píng)估模塊、應(yīng) 用識(shí)別模塊、敏感詞檢測(cè)模塊、流量統(tǒng)計(jì)特征檢測(cè)模塊、木馬識(shí)別模塊，待檢 測(cè)的數(shù)據(jù)流分別經(jīng)過(guò)目的IP地址可信度評(píng)估模塊、應(yīng)用識(shí)別模塊、敏感詞檢測(cè) 模塊、流量統(tǒng)計(jì)特征檢測(cè)模塊、木馬識(shí)別模塊進(jìn)行識(shí)別，以判定是否為木馬程 序產(chǎn)生的數(shù)據(jù)流；

所述的目的IP地址可信度評(píng)估模塊判斷一個(gè)目的地IP是否屬于內(nèi)部網(wǎng)、 或可信網(wǎng)站、或高訪問(wèn)率網(wǎng)站、或國(guó)內(nèi)網(wǎng)、或有域名的網(wǎng)站、或可疑網(wǎng)站，并 進(jìn)行訪問(wèn)率統(tǒng)計(jì)；

所述的應(yīng)用識(shí)別模塊對(duì)連接進(jìn)行應(yīng)用識(shí)別，如果該應(yīng)用不能被識(shí)別，則記 錄其結(jié)果；

所述的敏感詞檢測(cè)模塊檢測(cè)設(shè)定的敏感詞；

所述的流量統(tǒng)計(jì)特征檢測(cè)模塊通過(guò)提取正常client-server的統(tǒng)計(jì)特征，用 于發(fā)現(xiàn)反client-server的行為；通過(guò)提取網(wǎng)絡(luò)中正常的簡(jiǎn)短會(huì)話過(guò)程特征，用于 發(fā)現(xiàn)異常的簡(jiǎn)短會(huì)話過(guò)程；通過(guò)提取現(xiàn)有木馬程序的行為特征，用于對(duì)木馬的 模式匹配；并記錄特征分析結(jié)果；

所述的木馬識(shí)別模塊采用決策樹(shù)分類器對(duì)目的IP地址可信度評(píng)估模塊、應(yīng) 用識(shí)別模塊、敏感詞檢測(cè)模塊、流量統(tǒng)計(jì)特征檢測(cè)模塊的評(píng)估結(jié)果進(jìn)行分析， 以識(shí)別該連接是否木馬程序產(chǎn)生的網(wǎng)絡(luò)流，并計(jì)算其為木馬的可能性的大小。

2.根據(jù)權(quán)利要求1所述的木馬發(fā)現(xiàn)系統(tǒng)，其特征在于所述的決策樹(shù)分類 器采用包含各種正常應(yīng)用的網(wǎng)絡(luò)流樣本實(shí)例集和各種已知木馬程序產(chǎn)生的網(wǎng)絡(luò) 流樣本實(shí)例集訓(xùn)練產(chǎn)生。

3.根據(jù)權(quán)利要求2所述的木馬發(fā)現(xiàn)系統(tǒng)，其特征在于還包括雙向數(shù)據(jù)記 錄模塊，所述雙向數(shù)據(jù)記錄模塊記錄可疑的雙向傳輸?shù)臄?shù)據(jù)，以便對(duì)可疑數(shù)據(jù) 流進(jìn)行后續(xù)分析，并保存對(duì)可疑數(shù)據(jù)流分析的結(jié)果。

4.根據(jù)權(quán)利要求3所述的木馬發(fā)現(xiàn)系統(tǒng)，其特征在于還包括域名查詢記 錄模塊，所述域名查詢記錄模塊記錄每一個(gè)被查詢過(guò)的目的IP地址，而所述目 的IP地址可信度評(píng)估模塊還包括判斷一個(gè)目的地IP是否屬于被域名查詢記錄 模塊查詢過(guò)的網(wǎng)站。

5.根據(jù)權(quán)利要求4所述的木馬發(fā)現(xiàn)系統(tǒng)，其特征在于還包括輸入輸出模 塊，所述輸入輸出模塊給用戶提供輸入界面、以及顯示木馬檢測(cè)結(jié)果、可疑數(shù) 據(jù)流的輸出界面。