随着计算机网络技术的迅速发展,Internet逐渐渗透到政府、工业、教育、国防领域,网络在方便地带来大量信息的同时,也带来了病毒、木马、蠕虫等诸多安全问题,特别是木马,严重威胁着联网计算机的信息安全。单机检测方法针对木马文件信息进行检测,无法保证发现所有木马。行为分析虽然有效,但是如果网络中存在未采用单机检测的计算机,就可能存在木马,危害整个网络的信息安全。入侵检测系统主要针对外部对内部的病毒攻击,对于网络内部的监控审计有所欠缺。因此,设计一种专用于检测网络中活动木马的系统是必要的。本文主要研究基于网络传输内容的木马检测系统的设计与实现。实现对网络数据进行实时采集,通过对捕获到的帧进行协议分析和处理,从而有效的监测网络中存在的木马。即使在被检测的网络内部,用户没有安装防护软件,也能够由网络监管人员发现木马并及时采取措施,避免造成不必要的损失。该系统采用C/S架构,利用PF_RING、 NAPI、实时中断的帧捕获技术进行网络接口层的帧捕获；采用协议分析技术对TCP/IP各层协议头部的解析并获取传输层数据；使用WM多模式匹配算法,对传输层数据进行木马检测并将检测结果输出到数据库；对可疑的TCP连接,通过伪造并发送RST包,进行强制阻断。该系统采用MySQL数据库保存木马通信特征码、TCP阻断名单和木马检测结果,为静态数据库分析提供数据支持。本文首先介绍了基于网络传输内容的木马检测系统的设计背景及相关技术,通过分析系统的可行性和需求,采用模块化设计思想完成整个系统的总体设计和详细设计。实现部分详细介绍了系统各个功能模块的具体实现流程、主要数据结构和模块接口,完成系统木马检测功能和TCP阻断功能。通过在构建的实验环境下对该系统进行了相关测试,并对实验数据和实验结果进行了分析,系统功能能够达到预期目标。最后对本文的设计进行了总结,指出设计中有待改进的地方,明确下一步的研究方向。