根据卫生专家的定义，甲型H1N1流感病毒属于病毒家族中正黏液病毒科，可以分为l5个H亚型。 流感病毒的一大特性就是多变性。如果人流感病毒和禽、猪流感病毒经过抗原转换形成新的人类流感病毒毒株，就可以在人与人之间传播。人群对这种新的病毒毒株没有免疫力。本次北美发现的A/H1N1病毒就具有来自猪、禽类和人类的基因片段，因此防范这种病毒还是有比较大的挑战性。
    木马一词源自于古希腊著名的特洛伊战争。现代计算机中对于木马的定义是：木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它的运行遵照TCP/IP协议，由于它像间谍一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似，因而得名木马程序。
    根据木马程序对计算机的具体控制方式，可以把现有的木马程序分为以下几类：
    1．远程访问型木马
    远程访问型木马是现在最广泛的特洛伊木马。这种木马可以使远程控制者在本地机器上做任意事情，比如键盘记录、上传和下载功能、发射一个“截取屏幕”等等。这种类型的木马有著名的BO（Back Office）、国产的冰河等。
    2．密码发送型木马
    密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。
    3．键盘记录型木马
    键盘记录型木马只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动，记录每一个用户事件，然后通过邮件或其他方式发送给控制者。
    4．毁坏型木马
    大部分木马程序只窃取信息，不做破坏性事件，但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控者计算机上所有的.dll、.ini或.exe文件，甚至远程格式化受害者硬盘。毁坏型木马的危害很大，一旦计算机被感染而没有即时删除，系统中的信息会在顷刻间灰飞烟灭。
    5．开启后门型木马
    如：FTP型木马就是打开被控制计算机的21端口（FTP所使用的默认端口），使每一个人都可以用一个FTP 客户端程序，不用密码连接到受控端计算机，并且可以进行最高权限的上传和下载，窃取受害者的机密文件。
    6．下载型木马
    下载型木马是近年来出现的一种新型木马，它本身不对电脑做破环，但该木马一旦执行，会在瞬间下载上百个木马，就象蝗灾来袭时那样铺天盖地。这些木马以“集群作战”的方式，从各个途径彻底破坏用户电脑安防体系。木马下载器具有很强的驱动级自我保护能力，可以让杀毒软件的普通查杀模式全都失效，并且传播途径非常广泛，目前主要是通过网页挂马的方式来进行。
    结合H1N1的流感病毒和木马的特点，我们可以清楚地看到它们的相同点和不同点。
    相同点：
    • 木马和流感病毒都是独立存在的个体。
    • 对于植入对象有明确的危害性。
    • 被植入对象均能表现出一定症状。
    不同点：
    •  流感病毒具备自繁殖性和自动感染，因此危害比
    较大，而木马本身不具备繁殖性和自动感染的功能，只能依赖木马作者或获取源代码的人进行变种，并通过网页挂马、社会工程或结合蠕虫等方式扩大传播面。
    • 流感病毒源自于自然界，形成机理比较复杂，涉及到医学、病毒学、基因学等多个层面，目前还需要进一步研究。而木马完全源自人为，形成模式有规律可循。

    1．检测思路的异同
    从SARS防治的成功经验来看，防范流感病毒的首要条件就是及时发现疑似病例。具体的方式就是国家的高度重视，同时配合广泛的媒体宣传和报道。对于这种输入型的流感病毒，加强机场、出入境人员的检查和事后的人员追查。在医院专门设置发热门诊，进行有效过滤。这些都是从管理措施来提升检测的有效性。而另一个层面，从发现疑似病例到确诊这个阶段，就是纯技术层面的了。从检测模式来看，基本可以归为如下流程：发现确诊案例后提取其相关的样本，经过专门的检测机构进行一系列提取、分离等动作，并配合基因测定等方式，最终确定病毒样本，然后再进入到耐药性等一系列测试，以发现有效抗病毒的药物。
    现在的木马检测流程与这个过程有非常相似的地方，安全厂商及相关的实验室、研究机构通过截取、用户主动上报等方式获得新的木马样例，经过内部的脱壳、反编译等分析手段，发现木马的特征码，然后发布检测和清除方法。
    如果说两者的不同点，还在于获取样本和分析周期上。相比较而言，对于单个木马的分析和特征提取比分析单个流感病毒更容易一些，投入相对小，分析周期快。但是从新样本增加的趋势来看，新型木马出现的数量、频度远高于新型流感病毒出现的数量、频度，2008年新增木马的数量是27.6万个，比2007年相对上升了5.6%。
    2．检测思路面临的困境
    流感病毒源自于自然界。科学发展到现在，虽然有了非常大的进步，但人类对于自然界的了解和掌控还只是前进了一小步。因此，对于流感病毒的及时检测发现注定存在一定的缺陷，我们很难在这个方面取得质的突破。
    同样，对于新型木马检测目前在业界已经成了一个难题。在2000年初，传统的防病毒厂商在宣传产品优势的时候，木马样本库还是厂商重点宣传的指标，可以达到上万个。但是到现在，木马数量的发展速度已远远超出了防病毒厂商特征库的更新能力。不管防病毒厂商的收费模式如何变化，电脑用户对于病毒厂商的抱怨越来越大，信任度也越来越低，以致于出现“杀毒软件”是否应该免费的巨大争论，传统的防病毒厂商面临着生存困境。究其根本原因，其实是防病毒厂商的传统检测机制出了问题。由于木马的二进制属性和互联网的普及，木马的变化、新增能力远远超过自然界的病毒生物属性的变化能力。传统的检测模式就像“黑客帝国”一样，演变为一场人和机器人之间的战争。这是一场不对等的战役，几乎没有胜利的可能。不转变检测思路，木马泛滥的问题是无法解决的。

    不论是应对H1N1流感病毒还是网络安全中的木马问题，从理论角度来看都是可以用现有的动态安全模型  PDR(Protect+Detection+Response)来考虑的。
    对木马检测思路的突破主要体现在以下三个环节：
    一是如何在传播链上及时发现木马。鉴于目前主流的木马传播方式是通过网页挂马模式进行的，有必要对网页挂马概念做一下阐述。网页挂马，其实并不是真的把木马放到合法网站上，而是在合法网站的网页上嵌入一段隐藏的恶意代码或脚本，当浏览网站的用户在访问网站时，这段代码或脚本在后台被执行，使得用户的计算机在不知不觉中到黑客控制的网站中下载了木马文件，从而被木马控制利用。据调查，2008年在遭受木马攻击的用户中，有53%的是通过网页挂马方式中招，而且这种比例在不断增加。可见，网站在木马传播链中起到非常关键的作用。因此，必须加强对网站的主动监查，一旦发现被挂马，便及时采取措施，可以确保木马的危害面减小；同时通过检测挂马可以向上追溯，发现托管木马的恶意网站，及时查封并找到木马上传人员、木马制作人员，通过法律手段来进行管控。
    二是如何及时判别新的木马和应对木马变种。基于特征检测的传统方式由于数量急剧膨胀，必然带来检测效果的滞后性，无法满足当前形势。如果我们转换一种思路来看木马产生的本原，可能豁然开朗。木马是人用计算机语言来编写的，因此木马无论怎样变化都不会逃出人已知的范畴。木马要在计算机中运行，执行木马制作者的目的，就会有相应的行为和动作，而这种行为和动作是可以进行总结归纳的，归纳后形成的检测规则就可以用来指导木马检测。
    三是检测支撑平台选择上的思路转变。医学上对于一种病毒的检测分析往往会采用活体实验的方式，但是不可能在人身体上实验，通常就是选择小白鼠。但是木马不同于生物病毒，对人体没有危害，我们可以通过现在流行的虚拟化技术来模拟实际计算机运行环境，在这个我们称为“沙箱”中来进行木马采样和充分分析，而且即使有危害也不会扩散，很容易恢复。这一点和目前的一些厂商不一样，这些厂商为了拓宽木马的采集，是通过在实际网络计算机上来发现新的样本，似乎有把用户当“小白鼠”之嫌，并有可能获得用户的一些隐私信息，笔者认为有不可取之处。
    同样，对于木马的整体防范体系来说，单从木马检测技术层面也不能完全解决，需要配合其它安全产品和技术，并做好组织保障和应急预案。

    以网站安全为例，当前网站主要存在如下的风险。结合PDR模型，我们不难发现P、D、R都存在着一些问题。

 

    1.网站防护脆弱：防不住SQL注入、XSS等网站常见的攻击。
    2.网站缺乏对安全漏洞、网页挂马的发现机制：往往是网站发生损失和利用造成伤害后才发现被入侵。
    3.响应对象不完整：由于缺乏有效的检测，很多网站有事故才响应，不知道有安全漏洞和入侵存在，自然没有及时响应，直至损失被发现才有响应，甚至响应也仅仅停留在恢复层面，而没有解决导致入侵存在的安全问题。
    根据PDR这一视角，就需要一个不仅仅是简单，而且要完整的安全措施来对应上述这些问题。这一措施必须能够分别加强网站的防御、检测、响应的质量，一方面加强防御，提升有效防护时间（Pt），一方面缩小Dt（检测的时间）和Rt（响应的时间）。分解了每部分的安全需求，就可以用明确的安全措施来完善网站安全。

    流感病毒侵袭人类是很正常的事情，H1N1爆发也有其必然性。 H1N1事件时刻提醒人类在和病毒的斗争中不可大意。自然界的神秘莫测使我们无法控制新病毒不出现，但是我们可以通过良好的卫生习惯、完善的公共防疫体系和科学技术的突破来控制流感病毒的传播，降低流感病毒造成的危害，最终形成对流感病毒的免疫力。
    互联网也是攻击事件和木马的孳生之地，既然我们应用了网络，也就无法不承受黑客、木马的攻击，而且攻击者往往会利用热点事件来集中攻击。如：受甲型H1N1流感事件影响，各类健康专题网站、地方卫生局类网站的关注度和访问量都持续攀升，也因此成为商业黑客选择攻击的目标。因此，及时发现和防范挂马、新型木马会是一个持久性的话题，这就需要安全从业人员用跨界思维来拓宽思路，加强研究，打造一个全新的木马检测防范体系。