与信息时代一同到来的,除了互联网应用,还有网络安全威胁。根据统计,木马,正是导致信息破坏与信息窃取的最主要的因素。于是,如何有效的检测与防范木马成为了人们关注的焦点。当前一般的木马检测与防范方法,大都基于单机安全保护,难以在网络层面提供有效的监控,不利于网络监管部门开展工作。基于入侵检测系统的网络检测,大都着眼于通信端口,而未深入通信内容,难以准确认定木马。为了更有效的监控网络中的木马威胁,网络专用木马检测系统势在必行。因此,本文以某网络监管项目为依托,设计并实现了基于网络通信内容的木马检测系统。本文对网络中木马的基本原理及通信机制做了研究,并对现存的木马检测技术及产品加以分析,又比较了基于Berkeley Packet Filter的传统Libpcap、New-API中断减轻、Memory-Map内存映射、PF_RING新型套接字与实时中断等多种数据采集相关技术,以及朴素的模式匹配算法、Knuth-Morris-Pratt算法、Boyer-Moore算法、Boyer-Moore-Horspool算法等模式匹配算法,提出了采用集成PF_RING、New-API、实时中断的数据采集技术,以及Boyer-Moore-Horspool匹配算法的基于网络通信内容的木马检测方法。本文随后详细设计了基于网络通信内容的木马检测系统。本系统使用分布式Client/Server架构,采用数据采集、协议分析、木马检测、响应操作四层结构,实现的功能包括高速数据采集,实时协议分析提取关键信息,高速木马检测及TCP连接检测,将检测结果实时输出到数据库,对指定TCP连接强制阻断等。本文在对系统的结构、功能进行了详细设计后,对系统进行了实现,并给出了服务器、客户端,以及数据采集、协议分析、木马检测、相应操作各模块的实现流程、重要数据结构、模块接口等内容。在完成实现后,本文对系统的关键模块、模式匹配算法、TCP阻断功能分别进行了测试,并进行了整体测试。经过测试,系统的各项功能都能正常使用,且系统具有较好的稳定性。在800Mbit/s-900Mbit/s的大流量网络环境中,提供几乎线速的数据采集性能,并能准确检出ZXShell木马样本。最后,本文进行了总结并提出了展望。希望本文设计并实现的基于网络通信内容的木马检测系统能够为我国的网络安全监管工作提供有益的帮助。