1.一種基于網絡通信行為特征的木馬識別方法，其特征在于，所述木馬識別方法至少包括以下步驟：

建立木馬數據流量的馬爾科夫模型；

對網絡上的數據流量進行監測；

對所監測到的網絡通信行為進行篩選；若所監測到的網絡通信行為并非木馬通信會話，則證明當前數據流量為無關流量；

若所監測到的網絡通信行為為木馬通信會話，則得到所述網絡通信行為的時序序列；

將實際網絡數據流量還原成若干的網絡會話，再將網絡會話與馬爾科夫模型進行匹配；若二者不匹配，則證明當前網絡會話并非木馬通信數據；

若二者匹配，則證明當前網絡會話為木馬通信數據。

2.根據權利要求1所述的基于網絡通信行為特征的木馬識別方法，其特征在于：還包括以下步驟：證明當前網絡會話為木馬通信數據后，發出木馬識別的報警。

3.根據權利要求1所述的基于網絡通信行為特征的木馬識別方法，其特征在于：對網絡上的數據流量進行監測時，采用交換機獲得網絡數據流量的鏡像數據流量。

4.根據權利要求1所述的基于網絡通信行為特征的木馬識別方法，其特征在于：所述馬爾科夫模型中，采用包長度、包方向和包間隔作為屬性來描述木馬的網絡通信行為特征，并以一個TCP會話為研究的基本單元。

5.根據權利要求1所述的基于網絡通信行為特征的木馬識別方法，其特征在于：所述馬爾科夫模型中，由木馬通信會話過程中發送的一個具有負載的數據包來觸發一次行為狀態的遷移。

6.根據權利要求1所述的基于網絡通信行為特征的木馬識別方法，其特征在于：所述網絡通信行為包括目錄瀏覽、文件下載、遠程終端、鍵盤記錄、屏幕監控。

7.根據權利要求1所述的基于網絡通信行為特征的木馬識別方法，其特征在于：將還原的網絡會話與馬爾科夫模型匹配時，根據馬爾科夫模型中的轉移矩陣判斷木馬的網絡通信行為發生的階段。