1.一種基于動態反饋的自適應木馬通信行為檢測方法，其特征是：對木馬檢測的報警信息進行處理，利用報警信息構造動態反饋學習的樣本集，所述動態反饋學習采用增量支持向量機算法，通過檢測數據流概念漂移確定檢測的更新時機；

對木馬檢測的報警信息進行處理包括以下內容：首先，將檢測的木馬報警信息經過規范化描述，存儲在數據庫的原始報警表中；其次，利用數據庫的便利性，對規范化描述后的報警信息進行合并和關聯處理，存儲處理后的報警信息；然后，將合并和關聯處理的報警信息建立攻擊軌跡事件，存儲在攻擊事件表中；

所述合并處理是指對報警信息進行相似度對比后進行合并：

①設行為報警信息B1、B2，合并條件應滿足：

當合并條件成立時，直接將兩條報警信息用一條報警信息表示，合并后的時間信息，用其中一個時間值表示；

其中t₁^*是時間長度，單位為秒，表示兩次報警的時間鄰近度，ip_S為源IP地址，ip_D為目的IP地址，dport為目的端口，sport為源端口，B1.T表示B1報警產生的時間，B2.T表示B2報警產生的時間；B1.ip_S表示B1的源IP地址，B1.ip_D表示B1的目的IP地址，B2.ip_S∧B1.ip_D表示B2的源IP地址與B1的目標IP地址同時成立；

②設心跳報警信息H1、H2，合并條件應滿足：

當合并條件成立時，直接將兩條報警信息用一條報警信息表示，合并后的時間信息，可以用其中一個時間值表示；

其中t₂^*是時間長度，單位為秒，表示兩次報警的時間鄰近度，將不同類型的報警信息進行關聯，減少誤報；針對H1報警，H1.ip_S為源IP地址，H1.ip_D為目的IP地址，H1.dport為目的端口，H1.Inter表示H1報警的心跳周期，H1.T表示H1報警產生的時間；針對H2報警，H2.ip_S為源IP地址，H2.ip_D為目的IP地址，H2.dport為目的端口，H2.Inter表示H2報警的心跳周期，H2.T表示H2報警產生的時間；

所述關聯處理是指將“行為報警”和“心跳報警”類型的信息關聯處理，描述一次攻擊事件的兩種異常行為，用于判斷報警信息的準確度，減少誤報提供依據；關聯處理如下：

設行為報警信息B1＝{ip_S,ip_D,sport,dport,T}，心跳報警信息H1＝{ip_S,ip_D,dport,Inter,T}

其中，ip_S是源IP地址，ip_D是目的IP地址，sport為源端口，dport為目的端口，Inter代表心跳周期，T代表報警時間；

其中t'是時間長度，單位為秒，表示“心跳報警”與“行為報警”的時間間隔。

2.根據權利要求1所述的基于動態反饋的自適應木馬通信行為檢測方法，其特征是：t₁^*＝72000，t₂^*＝1200，t'＝300。

3.根據權利要求1所述的基于動態反饋的自適應木馬通信行為檢測方法，其特征是：為進一步去除誤報信息，構造HTTP的GET請求包和進行IP-DNS對應查詢，探測控制端的信息，根據探測的信息，修正報警信息，構建動態反饋學習的樣本集，使用增量支持向量機算法，根據檢測數據流概念漂移確定檢測的更新時機，實現動態反饋自適應檢測。