目前，新型木马软件的不断出现，当前基于特征码的防火墙和入侵检测系统已经难以实现对新出现的未知木马软件的检测，基于主机的行为检测方法又难以在网络层部署。本文提出了一种新的基于网络连接的通信行为证据链的木马软件检测模型DTrojan。该模型结合贝叶斯分类算法的理论和思想，首先对大量已知木马的网络特征进行抽象、提取和概括，形成待检测（分类）特征项，然后通过对木马样本数据进行一定的训练形成检测引擎（即分类器）实现对未知木马的检测。该模型部署在整个局域网的网关处，以整个局域网的通信数据作为木马检测的数据基础，针对木马软件在通信连接建立、数据交互、连接维持等不同阶段的多个通信特征进行检测，该检测模型并不会通过单一的特征来判定木马，而是会在综合多次检测和多个特征检测结果来判定木马，并会给出木马的可疑概率供用户参考，因此该系统不仅能够对未知木马具有良好的检测能力，而且有着非常低的误报率。同时在此模型的基础上实现了恶意软件检测的原型系统DTrojanPrototype。该系统能够有效实现对整个局域网内主机的流量特征进行检测，从而实现对整个局域网的防护，有效解决了单机检测系统的跨平台问题和多次重复安装问题。