随着互联网的发展，计算机木马变得越来越猖獗，在网络安全是如此重要的今天，如何有效的检测和预防计算机木马，逐渐成为网络安全界的热点。传统单一的木马检测方法无论是基于静态文件特征或者基于流量分析都无法对以窃密为目的的特种木马进行很好的检测。为此，根据国内外木马检测研究及作者参与的实验室承接的特种木马项目的研发需求，提出了一种基于改进的nProbe以及数据挖掘的特种木马检测系统，使得在保证效率的前提下同时进行特征匹配过滤和流量分析成为可能，并能通过对历史数据的挖掘分析来预测未知的攻击。阐述了系统的架构设计以及关键技术的实现方式。实验表明，本系统对于特种木马以及绝大多数流行木马都有较高的检测率。　　本文的工作主要有以下几点:　　1.比较了常见的数据采集方案，之后通过对nProbe方案进行二次开发实现了高性能的数据捕获以及流量统计;　　2.实现了基本的协议还原模块，并对常见的四个应用层协议进行了还原（HTTP，SMTP，TELNET，FTP），并且讨论了一个高性能的协议还原模块的设计;　　3.研究了常见的模式匹配算法，阐述了BM算法，KMP算法以及Wu-Manber算法的主要实现机制;　　4.重点研究了关联规则挖掘算法，研究了其中的Apriori和FP-Growth算法，针对这两种算法存在的问题进行研究，并分别从FP树的构造、查找、遍历等几个方面提出了FP二叉树、FP排序树的基本思路，并且讨论了在木马检测系统中应用数据挖掘需要解决的几个关键问题;　　5.提出了特种木马检测系统的设计，并对模块实现过程中涉及到的具体情况一一作了分析与说明，并给出了模拟环境中的测试结果。　　测试与结果表明，该系统对通用型木马和窃密型特种木马都有较高的查杀率以及较低的误报率。