特种木马是一种为间谍人员专门定制的恶意程序，对政府和企业内部网络都具有很大的攻击性和破坏性。摆渡木马作为一种有代表性的特种木马，是一种专门通过离线摆渡窃取敏感数据的攻击手段，使得现有的杀毒软件和防火墙面临着很大的考验，因此变传统的被动防御为积极的主动防御才是更有效的防护措施。研究特种木马的主动防御技术有助于保障国家信息安全以及企业的商业秘密安全，具有非常重要的应用价值。本文在研究了摆渡木马的攻击技术和现有的木马检测技术的基础上，设计了基于三层安全模型的摆渡木马主动防御框架，包括驱动层、行为分析引擎和应用层。从功能上说，摆渡木马防护系统包括文件监控、应用程序监控、注册表监控、网络监控和环境检测五个模块。其中环境检测模块是基于启发式分析的思想对系统运行环境和主机状态信息进行获取和分析，可以及时发现系统漏洞，并生成分析报告。接着研究驱动层捕获程序行为的方法，重点分析了API钩子技术和文件过滤驱动。行为分析引擎是实现主动防御的核心模块，本文通过对朴素贝叶斯分类算法和行为加权求和策略的研究，挖掘这两种主流的行为分析策略的优点和不足，提出了基于特征加权的贝叶斯行为分析算法，从理论上分析了其可行性，构建了WFB模型，并对权值的选取给出了说明，最后给出了此算法应用于摆渡木马防御时的处理方法。本文通过虚拟机仿真对摆渡木马防护系统进行了测试，然后在行为分析引擎中分别使用朴素贝叶斯分类算法和行为加权求和策略进行测试。实验结果表明，摆渡木马防护系统各功能模块运行稳定，并且在同等实验条件下本文提出的基于特征加权的贝叶斯行为分析算法在检测精度上高于朴素贝叶斯分类算法和行为加权求和策略，误报率和漏报率也有所下降，从而证明是对朴素贝叶斯行为分析算法的一种有效的改进。