本发明公开了一种基于行为分析的反弹型远控木马网络流量检测方法，首先对训练样本进行TCP会话重组、会话特征提取及会话标记后，将会话特征及会话标记输入随机森林检测模型。通过对比不同参数下模型的指标性能，调整模型，并最终确定优化后的木马检测模型。然后对于探针上采集的实时原始流量数据进行TCP会话重组及会话特征提取，将会话特征输入第一阶段优化后的木马检测模型中，模型将其分类为木马流量或正常业务流量。本发明的技术效果在于，从木马自身特点所产生的流量特征出发，通过模型直接对流量文件进行检测，故本发明不依赖已有的木马特征库，也能够检测未知的新型远控木马，还能够检测出通信流量进行了加密的木马。