2、解决方案

　　木马与合法程序的区别就在于木马行为的隐蔽性和目的的恶意性。从这两点区别入手，控制木马植入、隐蔽和恶意操作行为所需要的资源条件，监控木马运行、通信、启动的隐蔽行为和恶意操作，就可以对木马的检测和防范起到较为理想的效果。

　　鼎普科技积极跟踪市场需求、木马形势和国家相关政策，自主研发了鼎普木马监测与评估系统，指在对已知或未知木马进行监测与评估，综合分析木马行为特征，与此同时，对木马的最终目的——窃取关键信息进行分析判断有无感染木马或被窃取重要信息。

　　通常电脑逐台查杀的检查方式对于个人应用来说，还是很方便的，但对信息安全监管部门来说，这样的方式却是非常费时费力的，鼎普科技根据这一需求，开发了网络木马监测与分析评估系统。该系统首先通过网络监测模块扫描并分析网络中的所有主机，并进行木马特征分析与重要信息匹配，准确判断并定位出网络中感染木马的主机，然后再用单机检测模块去做深入检查，从而可以大大的提高整个网络中木马检测与分析的效率。

　　根据不同的应用环境需求，鼎普科技提供了两种形式的解决方案：检查版木马检测方案与监测版木马检测方案，分别用于随机性检查或长期性监测、评估某个网络中是否存在木马病毒，其中检查版由单机检测模块和网络监测模块组成，而监测版则以专用网络监测硬件平台为载体，仅由网络监测模块组成。

　　2.1快速探测的网络木马监测模块

　　网络监测模块可以根据用户需要，通过对网络数据的实时采集，对IP源地址、目的地址进行分析从而有效的监测网络中存在的木马，并进而准确定位感染的主机，之后即可利用单机检测模块有针对性的对感染木马电脑进行细致的检测，以致清除。该模块既可以安装在笔记本上，也可以专用硬件平台为载体，安装在笔记本上并配以单机检测模块，提供灵活、便捷的木马检测技术手段，可以方便检查部门随时检查某个网络;以专业硬件平台为载体，则可以长期部署在网络上，实现对木马的连续、实时监测。图1表示了监测版木马检测系统的具体部署拓扑图。