本文设计和实现了基于进程行为的木马分析检测系统。传统的木马检测技术主要分为两类：静态扫描和动态扫描(主动防御)。静态扫描存在不能及时发现木马变种等问题,而主动防御需要一直开启,对系统运行速度有影响,并且难以对开启前就已经种植的木马行检测。本文所设计的系统汲取二者所长,提出一种新的检测思路,使用主动防御的监控技术捕获并分析木马的安装和启动行为,结合人工参与形成判定规则并用于行为比对来检测目标主机上是否已经被种植上了木马。由于不依赖特征码,本系统同样适用于变种木马和未知木马的检测。本文的基于进程行为的木马分析检测系统从使用上来说主要分为分析和检测两个部分,从功能模块上来说,分为行为捕获模块、规则库模块和行为比对模块。在内核级的行为捕获模块的捕获数据支撑下,于规则库模块中构建了普适规则和特殊规则两大分类。并且有创新性的基于贝叶斯原理,设计了用于普适规则的分类算法。在本系统中,普适规则的判定和特殊规则的判定有着相互的反馈作用,使得本系统拥有与时俱进的学习功能,以应对互联网上不断变化层出不穷的木马程序。具体来说,本论文的主要工作包括以下几个方面1)设计了基于进程行为比对的木马分析检测系统的框架。2)设计了基于贝叶斯理论的木马行为分类算法。3)详细描述了基于进程行为比对的木马分析检测系统各模块的具体实现原理。