1.一種網絡木馬的綜合檢測方法，包括：

A.檢測參數的初始化處理：將需要保護的內網網段、檢測模塊網絡地址、木馬病毒 管理器網絡地址以及各類網絡木馬病毒檢測標準進行初始化設置；

B.錄入待檢測數據：從內網偵聽端口錄入數據，然后抽取數據中記錄的內網地址、 內網端口號、外網地址、外網端口號、數據流向、數據量大小、協議編號、關鍵字數據、 出現時間，作為待檢測的原始數據、以備檢測；

C.按已知木馬病毒標準檢測：首先按照已知的木馬病毒標準對待檢測的原始數據進 行對比分析檢測，若與任一已知的木馬病毒標準相符，則將原始數據以及觸發的檢測標準 和觸發時間作為木馬病毒信息，送木馬病毒管理器作后繼處理；若不符合已知的木馬病毒 標準，則轉下一步繼續檢測；

D.按木馬病毒的流量標準檢測：將經步驟C檢測后輸入的數據，與數據庫中的在先 分析數據逐一進行比對檢測，如果數據庫中已經存在與輸入數據對應的分析數據，則按照 設定的木馬病毒的流量標準逐一進行對比分析檢測，若與任一木馬病毒的流量標準相符， 則將輸入數據以及觸發的流量標準和觸發時間，作為帶木馬病毒信息，送木馬病毒管理器 作后繼處理、同時轉下一步驟對分析數據作丟棄處理，若均不相符亦轉下一步驟作數據丟 棄處理；如果數據庫中無在先分析數據或不存在對應分析數據，則將該輸入數據存入數據 庫中，作為分析數據；

E.對分析數據進行丟棄處理：將當前時間與數據庫中的分析數據錄入時間之差，逐 一與設定的分析數據留存時間進行比對，并陸續將達到留存期限的分析數據丟棄。

2.按權利要求1所述網絡木馬的綜合檢測方法，其特征在于所述設定的木馬病毒的 流量標準包括：復位報文檢測標準，郵件行為檢測標準，通信連接行為檢測標準，關鍵字 檢測標準，以及經過加密處理的報文檢測標準在內的全部或部分標準。

3.按權利要求2所述網絡木馬的綜合檢測方法，其特征在于所述復位報文檢測標準 為內網傳出數據中的RST協議報文，在規定時間范圍內不允許重復傳出的次數；而郵件 行為檢測標準為從內網中傳出的收件人地址和主題均相同的郵件，在規定時間范圍內不允 許重復傳出的次數；通信連接行為檢測標準為，在規定時間范圍內從同一內網地址流出到 同一外網地址的數據流量，與從該外網地址返回該內網地址的數據流量的差異程度不允許 達到的值；關鍵字檢測標準為從內網流出到外網的數據流量中不允許出現的字符；經過加 密處理的報文檢測標準為從內網流出到外網的數據流量中不允許出現加密后的字符。

4.一種網絡木馬的綜合檢測裝置，包括：

A.一個參數初始化處理單元模塊，用于存儲需要保護的內網網段、檢測模塊網絡地 址、木馬病毒管理器網絡地址以及各類網絡木馬病毒檢測標準的初始化參數的數據；

B.一個錄入待檢測數據單元模塊，用于抽取從內網偵聽端口錄入的待檢測數據以備 檢測；

C.一個已知木馬病毒標準檢測單元模塊，用于調用已知木馬病毒檢測標準，對待檢 測的原始數據進行對比分析并判斷其是否符合已知木馬病毒檢測標準；

D.一個木馬病毒流量標準檢測單元模塊，用于調用木馬病毒流量標準對分析數據進 行逐一對比分析并判斷是否與任一木馬病毒流量標準相符，是否作為分析數據存儲入數據 庫；上述木馬病毒流量標準包括復位報文檢測標準、郵件行為檢測標準、通信連接行為檢 測標準、關鍵字檢測標準、以及經過加密處理的報文檢測標準在內的全部或部分檢測標準；

E.一個木馬病毒發送單元模塊，用于將已知木馬病毒標準檢測單元模塊和木馬病毒 流量標準檢測單元模塊送出的木馬病毒信息，發送到木馬病毒管理器；

F.一個對分析數據進行丟棄處理的單元模塊，用于對分析數據的滯留時間進行判斷， 并陸續將達到設定存儲期限的分析數據從數據庫中清除。