1.一種基于通信行為聚類的木馬檢測方法，其特征在于步驟如下：

（1）抓取網絡流量數據包；

（2）對所述網絡流量數據包進行傳輸控制協議會話重組，生成TCP會話；

（3）提取所述TCP會話的通信行為特征，生成其通信行為的n維特征向量????????????????????????????????????????????????；

（4）對所述特征向量進行高斯歸一化處理，得到歸一化特征向量；

（5）對所述歸一化特征向量進行基于位置敏感哈希的實時增量聚類處理，生成三維的聚類簇?；

（6）根據所述聚類簇C判別所述網絡流量數據包為木馬、良性軟件或其他軟件的通信數據包，并對木馬進行告警。

2.按照權利要求1所述的一種基于通信行為聚類的木馬檢測方法，其特征在于所述步驟（3）中所述特征向量E為15維特征向量，包括TCP會話的上行流量、TCP會話的下行流量、TCP會話的上行小包數量、TCP會話的上行大包數量、TCP會話的下行小包數量、TCP會話的下行大包數量、TCP會話時長、TCP會話數據傳輸量、TCP會話上行數據包的平均長度、TCP會話下行數據包的平均長度、TCP會話數據信息熵、TCP會話心跳特征、TCP會話是否存在交互性命令、TCP會話連接時間、TCP會話是否存在逆向連接。

3.按照權利要求1所述的一種基于通信行為聚類的木馬檢測方法，其特征在于所述步驟（4）中所述歸一化特征向量的各元素?，若則規定，若則規定，其中?和?分別為所述特征向量E的均值和方差。

4.按照權利要求1所述的一種基于通信行為聚類的木馬檢測方法，其特征在于所述步驟（5）中對所述歸一化特征向量進行基于位置敏感哈希實時增量聚類的步驟如下：

（5a）從哈希函數族中隨機選取M個哈希函數；

（5b）計算的LSH值?；

（5c）計算的LSH值?；

（5d）計算歐氏距離；

（5e）若，則判定和為同類聚類特征，擇一保存至聚類簇中；若，則判定和為不同類的聚類特征，均保存至聚類簇中，其中r為差異距離；

（5f）重復~直至遍歷中除外的所有向量值，得到聚類簇；

（5g）將聚類簇作為新的特征向量，重復~直至得到三維聚類簇，其中、和分別標定木馬、良性軟件和其他行為的聚類結果。

5.按照權利要求4所述的一種基于通信行為聚類的木馬檢測方法，其特征在于所述步驟（6）中對所述三維聚類簇C的類別判定條件為。