随着信息技术的普及，互联网逐渐成为人类物质社会的重要组成部分，应用领域已转向大型、关键业务系统，人们对网络的依赖越来越严重。但　　是频繁发生的网络安全事件，对信息技术的应用产生了很大的威胁。因此应建立完备的网络安全应急体制，对网络安全态势进行监测，及时制定网络安全策略，保障网络安全运行。　　本文在分析网络恶意代码传播特性的基础上，深入地研究了恶意代码监测遏制技术，主要研究工作如下：　　本文提出了基于自相似性的异常流量发现检测技术。运用统计学方法建立了大规模网络流量的数学模型，提出正常情况下描述网络流量的理想曲线的方法；通过对任意一个时间周期内的流量曲线和正常流量曲线的特征和振幅进行对比，发现当前流量是否发生异常，并根据临界值判断大规模恶意代码疫情爆发。　　提出恶意代码规则描述语言，设计了基于大特征集的单引擎网络级恶意代码检测系统的系统结构，通过特征归一化描述方法，简化检测过程，通过单一的检测引擎进行网络级恶意代码检测,实现对大特征集恶意代码的检测。提出了一种高速的网络恶意代码检测方法。通过定制恶意代码的特征码的方式，优化WM算法的输入数据，避免网络数据中的高频字符出现在特征串的尾部，使算法尽量避免进入耗时的Hash表匹配；同时，平衡 Hash表中链表分支，选取特征码时使其后缀的取值均衡分布，以提高WM匹配算法的效率。提出恶意代码特征码提取方法，从代码功能特异性和结构复杂度两个角度进行量化，实现自动提取技术；提出恶意代码特征码跨数据包检测的方法，分别用连续数据包缓存和特征码切割两个方法解决了由于互联网分组交换导致的特征码跨越数据包的问题。　　针对隔离后的网络恶意代码清除问题，提出了一种毒药蠕虫技术。通过预先设置在密罐主机上的一段有主动传播意识的，但没有传播能力的毒药蠕虫程序，对捕获的蠕虫进行修改，修改其传播模块，卸载其自我复制模块，加载控制模块及修补模块，利用恶意代码的传播能力继续进行可控传播，消除易感节点的危险性。建立SIPR模型并与传统SIR模型的传播趋势进行对比，证明此技术对网络产生的负面影响很小。　　设计并实现了基于网络的恶意代码监测系统。通过分析网络数据的特性，将其分为可以进行原始匹配的数据、对大小写不敏感的数据、需要进行预处理的数据和需要加权匹配的数据等四类，提出了针对不同的恶意代码特性采用协议定位技术，修正了系统架构，并分别设计实现了基本检测引擎、URL检测引擎、邮件检测引擎和脚本检测引擎。