网络蠕虫以其快速、多样化的传播方式不断给网络世界带来灾害,与传统的主机病毒相比,网络蠕虫具有更强的繁殖能力和破坏能力。从蠕虫爆发到蠕虫被消灭的时间却越来越长,但从发现漏洞到蠕虫爆发的时间越来越短,采用人工方法控制蠕虫的快速传播是不现实的,这就亟需蠕虫的自动检测系统。新的网络蠕虫层出不穷,蠕虫变种也越来越多,破坏力也越来越大,而且更加隐蔽,传统的基于模式匹配算法的检测系统也难以胜任,这就需要能够检测未知蠕虫的系统。网络蠕虫脱胎于病毒,但又于病毒有所不同,在定义了网络蠕虫之后,介绍了蠕虫的行为特点、实体结构和工作流程。从蠕虫检测方面考虑,重点分析了网络蠕虫的扫描方法,比较蠕虫自动扫描与黑客人为扫描的区别,并简要介绍了蠕虫的传染模型。以蠕虫扫描失败的特征、感染主机的特征、蠕虫爆发时的网络特征为依据,主要研究在网络层检测未知网络蠕虫,采用基于出入口双向流量分析的方法来检测。目前多数蠕虫检测系统利用网络流量的某一属性来检测蠕虫的攻击,可能存在单点时效性,故对入口流量进行多属性的相似度分析;考虑到静态时间窗口的流量统计失去了前后的相关性,故对出口流量进行基于滑动窗口的失败连接的统计分析。二者共同构建可疑属性数据库,作为检测未知蠕虫的依据。捕获网络流量,参照可疑属性数据库,从中找出异常流量,认为其为可疑的未知蠕虫数据包,将其导入可疑流量池。当可疑流量池中的流量超过一定规模时,触发蠕虫特征码自动生成系统。特征码自动生成系统以可疑流量池为数据来源,输出未知蠕虫特征码到特征码数据库中。系统采用两种不同的方法来生成特征码:最多令牌特征码和最少令牌特征码,其基本思想都是根据同类蠕虫传播时数据包的相似性,从中提取公共的部分,构建令牌集,自动产生未知蠕虫的特征码。根据上述的研究,开发出生成未知网络蠕虫检测与特征码自动生成的系统原型,并进行简单的系统测试与问题分析。