1.一種內網木馬的檢測方法，其特征在于，包括以下步驟：

S1、采集網絡數據包，執行步驟S2或S3；

S2、獲取所述網絡數據包中的DNS請求數據，利用D1-D3中至少一種進行惡意域名的識別，形成惡意域名集合，將向所述惡意域名發出請求的IP地址識別為存在木馬，其中

所述D1為：記錄出現異常心跳的DNS請求數據的域名，查詢所記錄的域名對應的所有DNS請求的源IP數和域名創建時間，將查詢到的源IP數和域名創建時間不符合預設要求的域名識別為惡意域名；

所述D2為：將指向特殊IP且出現跳轉為指向正常IP的DNS請求的域名識別為惡意域名，所述特殊IP是指按照國際互聯網標準RFC規定的非廣域網IP地址，所述正常IP是指常用的內網IP地址；

所述D3為：將DNS訪問域名與瀏覽器訪問域名進行對比，將未在瀏覽器訪問域名中出現的DNS訪問域名識別為惡意域名；

S3、提取所述網絡數據包中的網絡流量，利用D4-D5中至少一種進行木馬的識別，其中

所述D4為：判斷提取的網絡流量中是否出現逆向流量，如果出現，則將逆向流量的目的IP識別為存在木馬；

所述D5為：判斷提取的網絡流量中的請求包或應答包是否符合國際互聯網標準RFC規定的協議規則，如果不符合，則將所述請求包的源IP或者所述應答包的目的IP識別為存在木馬。

2.根據權利要求1所述的方法，其特征在于，所述D1具體包括：

步驟D101、分析獲取到的DNS請求數據，記錄出現異常心跳的DNS請求數據的域名，形成可疑域名集合；

步驟D102、針對所述可疑域名集合中每一個域名統計對應的所有DNS請求的源IP數，當當前域名的源IP數低于預設訪問數時，查詢當前域名的創建時間，如果查詢到的創建時間小于預設時間要求時，則識別出當前域名為惡意域名。

3.根據權利要求2所述的方法，其特征在于，在步驟D101之后，還包括：將預設的DNS白名單中的域名從步驟D101形成的可疑域名集合中排除，對得到的可疑域名集合執行步驟D102。

4.根據權利要求1或2所述的方法，其特征在于，所述出現異常心跳的DNS請求數據包括：單位時間內同一源IP發出DNS請求的數量超過預設訪問次數閾值且發出DNS請求的時間間隔相等。

5.根據權利要求1所述的方法，其特征在于，所述D3具體包括：

步驟D301、從客戶端主機上提取瀏覽器訪問域名；

步驟D302、從服務器的DNS日志中提取該客戶端的DNS訪問日志，或者從客戶端主機上提取記錄的DNS訪問日志，得到DNS訪問域名；

步驟D303、對比瀏覽器訪問域名和DNS訪問域名，記錄在瀏覽器訪問域名中未出現過的DNS訪問域名；

步驟D304、將預設的DNS白名單中的域名從步驟D303記錄的域名中排除，將不能與預設的DNS白名單相匹配的域名識別得到惡意域名。

6.根據權利要求1所述的方法，其特征在于，在所述步驟S3之前，還包括所述步驟S2；

所述步驟S3中提取所述網絡數據包中的網絡流量包括：從網絡數據包中提取包含步驟S2識別到的惡意域名的網絡流量。

7.根據權利要求6所述的方法，其特征在于，如果所述步驟S2采用D1-D3中多于一種方式的結合進行惡意域名識別時，將至少被其中兩種方式識別為惡意域名的IP地址識別為存在木馬，對僅被一種方式識別為惡意域名的執行步驟S3。

8.根據權利要求1所述的方法，其特征在于，如果執行所述步驟S3，則該方法進一步包括執行所述步驟S2；

所述步驟S3中將逆向流量中的目的IP識別為存在木馬包括：判斷逆向流量的目的IP是否在于步驟S2識別到的IP地址中，如果是，則將該逆向流量的目的IP識別為存在木馬。

9.根據權利要求1所述的方法，其特征在于，如果執行所述步驟S3，則該方法進一步包括執行所述步驟S2；

所述步驟S3中將所述請求包的源IP或者所述應答包的目的IP識別為存在木馬包括：判斷所述請求包的源IP或者所述應答包的目的IP是否在于步驟S2識別到的IP地址中，如果是，則將所述請求包的源IP或者所述應答包的目的IP識別為存在木馬。