随着互联网的日益普及，计算机技术日新月异的发展，计算机安全受到的威胁日益增加，计算机病毒、木马等也成为网络用户所熟知的名字，大多数的计算机用户都曾遇到过“盗号”、“密码泄漏”、“数据丢失”等现象。在网络给人们带来方便快捷的资讯信息的同时，也让人们更加深刻的体会到了来自网络的威胁，现今的网络安全已经是一个刻不容缓的问题。因此，一种高效的木马防护策略是十分必要的。本文首先对网络安全形势进行了分析，列出如今网络安全威胁的五大特征，并对网络安全构成威胁的因素进行了分析，指出木马是如今网络安全最大的威胁。然后本文从配置木马、传播木马、伪装木马和运行木马四个阶段对木马的特点工作原理进行了介绍。论文对木马的行为特征进行了分析研究，指出无论木马程序采用何种技术，为了达到入侵目的，其行为是存在共性的，论文总结了木马行为特征中存在的共性，从木马植入、安装、运行和通信四个阶段分析了木马的常见行为，重点分析了木马安装阶段的隐藏手段和运行阶段的进程隐藏时所可能的行为。本文对一种新型的木马防护策略——木马攻击树模型进行改进，对攻击树结构进行优化。从新给出结点集合属性，使攻击树模型更加完善。在原有与（AND）和或（OR）结点关系的基础上提出顺序与（SAND）结点关系，使得攻击树模型的适用范围得到扩大，更好的符合特种木马的行为特征匹配。定义最大攻击树概念，为不同的攻击树之间的关系提供解决方案。给出木马行为特征的匹配算法和危险指数的计算方法，量化被检测程序的危害程度，使得被检测程序更容易定性。文章最后通过开源软件Winpooch的辅助，验证攻击树模型的可行性。