本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质，从而识别出网内处于失活或者暂时失活的木马程序，定位被该木马程序感染的主机。该方法包括：从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据；根据训练数据和提取出的数据，确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率；在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时，确定未知类型的流量来自于失活木马程序。