1.一種防范遠控類木馬病毒的方法，其特征在于，包括：

捕獲網絡中的數據包流量；

用預先設定的特征規則庫中的特征，遍歷捕獲到的數據包流量，判斷是否存在匹配的特征，如果匹配，則將所述數據包流量交給后續惡意代碼探頭處理，否則繼續判斷所述數據包流量；

排除捕獲的數據包流量中的已知URL，并判斷所述數據包流量是否為惡意流量，如果所述數據包流量是惡意流量，則進行阻斷并報警提示；否則放行所述數據包流量。

2.如權利要求1所述的方法，其特征在于，所述在用預先設定的特征規則庫中的特征，遍歷捕獲到的數據包流量之前，包括建立特征規則庫，所述規則特征庫中的特征為已知惡意程序的特征集合。

3.如權利要求1所述的方法，其特征在于，所述排除捕獲的數據包流量中的已知URL具體為：建立URL黑名單及白名單，判斷捕獲的數據包流量中的URL是否與URL黑名單及白名單匹配，如果是，則將所述數據包流量交給后續惡意代碼探頭處理。

4.如權利要求1所述的方法，其特征在于，所述判斷所述數據包流量是否為惡意流量具體為：

捕獲數據包流量中的所有原始數據包；

提取數據包信息，所述數據包信息包括時間、數據包大小、IP地址、端口；

根據IP地址及端口信息，確定數據包相關進程；

在預設時間間隔內，統計每個進程的數據包流量，并繪制預設時間間隔內的進程流量圖，根據預設條件判斷所述進程產生的數據包流量是否是惡意流量。

5.如權利要求4所述的方法，其特征在于，根據預設條件判斷所述進程產生的數據包流量是否是惡意流量為：

比較預設時間間隔內進程產生的上行數據包流量及下行數據包流量，如果上行數據包流量大于下行數據包流量，則所述進程產生的數據包流量為惡意流量，否則，所述進程產生的數據包流量為非惡意流量。

6.一種防范遠控類木馬病毒的系統，其特征在于，包括：

數據捕獲模塊，用于捕獲網絡中的數據包流量；

第一判斷模塊，用于用預先設定的特征規則庫中的特征，遍歷捕獲到的數據包流量，判斷是否存在匹配的特征，如果匹配，則將所述數據包流量交給后續惡意代碼探頭處理，否則將所述數據包流量發送到第二判斷模塊繼續判斷；

第二判斷模塊，用于排除捕獲的數據包流量中的已知URL，并判斷所述數據包流量是否為惡意流量，如果所述數據包流量是惡意流量，則進行阻斷并報警提示；否則放行所述數據包流量。

7.如權利要求6所述的系統，其特征在于，所述第一判斷模塊在用預先設定的特征規則庫中的特征，遍歷捕獲到的數據包流量之前，還包括建立特征規則庫，所述規則特征庫中的特征為已知惡意程序的特征集合。

8.如權利要求1所述的方法，其特征在于，所述排除捕獲的數據包流量中的已知URL具體為：建立URL黑名單及白名單，判斷捕獲的數據包流量中的URL是否與URL黑名單及白名單匹配，如果是，則將所述數據包流量交給后續惡意代碼探頭處理。

9.如權利要求6所述的系統，其特征在于，所述第二判斷模塊中判斷所述數據包流量是否為惡意流量具體為：

捕獲數據包流量中的所有原始數據包；

提取數據包信息，所述數據包信息包括時間、數據包大小、IP地址、端口；

根據IP地址及端口信息，確定數據包相關進程；

在預設時間間隔內，統計每個進程的數據包流量，并繪制預設時間間隔內的進程流量圖，根據預設條件判斷所述進程產生的數據包流量是否是惡意流量。

10.如權利要求9所述的系統，其特征在于，根據預設條件判斷所述進程產生的數據包流量是否是惡意流量為：

比較預設時間間隔內進程產生的上行數據包流量及下行數據包流量，如果上行數據包流量大于下行數據包流量，則所述進程產生的數據包流量為惡意流量，否則，所述進程產生的數據包流量為非惡意流量。