蠕虫作为恶意软件的主要类型之一,迄今已有20多年的历史。1988年11月,美国康奈尔大学的学生Morris写成了用于攻击的第一个蠕虫版本,它利用UNIX操作系统的一个邮件漏洞迅速传播,最终感染了超过6000台主机和服务器。随着Internet的发展,特别是信息时代的来临,蠕虫作为一种新的恶意软件频繁出现,并且衍生出不同的版本,攻击的领域也不断扩大,因此引起了信息安全领域工作者和各国政府的重视。总的来说,蠕虫表现出的特点可以用16个字来概括:体积较小、隐蔽性强、传播迅速、危害巨大。蠕虫对Internet造成的危害和损失是与其自身特点和客观因素共同决定的。首先,不断有新的主机和路由器加入到Internet中,使之规模越来越大,这为蠕虫提供了更多的攻击目标。其次,蠕虫都是利用系统漏洞或者软件漏洞来传播,随着Windows操作系统占据了市场的大部分份额,蠕虫将主要的攻击目标瞄准了它们,而另一方面,Windows系统或者一些应用软件的漏洞时常为人们所发掘,这为蠕虫的感染和传播奠定了基础。最后,部分计算机使用者的安全意识不强,没有及时的为系统修补补丁,同时对于一些陌生的邮件附件和共享文件不经任何的安全措施随意打开,这也为蠕虫的传播提供了客观的有利条件。到目前为止,蠕虫已经成为信息安全和网络安全领域的一个重要的研究方向,主要集中在蠕虫特征分析、蠕虫建模、早期蠕虫预警、蠕虫检测方法、蠕虫抑制方法等方面。蠕虫特征分析主要是一部分分析蠕虫自身所固有的特点,特别是区别于其他恶意软件的特点,另一方面是研究客观因素对其传播的影响。蠕虫建模则是用一些模型来描述蠕虫的传播过程。早期蠕虫预警属于蠕虫的提前预防,主要侧重在早期的识别和对其抑制。蠕虫检测主要是确定当前的软件是否是一个蠕虫。蠕虫抑制侧重于在已知蠕虫的前提下,防止大范围的传播。这其中最重要的的两个方面是蠕虫检测和蠕虫抑制。蠕虫检测和其他恶意软件的检测有相似之处,主要分为特征检测和行为检测两个大类。蠕虫的抑制属于现今研究的一个热点,同时也是一个难点,现成的方法有路由器设置、分治网络和良性蠕虫等。本文在现有成果的基础上,研究蠕虫的特征和抑制方法,取得了以下三方面的成果:1.蠕虫特征分析。采取自身特性和客观因素相结合的方法。自身特性包括定义、感染途径、功能结构、感染过程、扫描策略、关键技术等。客观因素包括网络规模、网络拓扑结构、漏洞主机数量、已感染主机采取的策略等。在分析各个因素相互关系的基础上,指出客观因素也会对蠕虫的传播造成很大的影响。2.蠕虫检测。在前面分析蠕虫特征的基础上,提出自己的一种基于蠕虫传播行为的改进蠕虫检测方法,仍然是属于行为检测的范畴。蠕虫在传播的前期的一个重要行为是要进行端口扫描,由于自身的局限性,这其中肯定包含了大量的无效地址,所以首次连接的失败概率很大。对当前主机的流量进行采集分析对蠕虫检测具有重要的作为。但是需要重视的一点是端口扫描不是蠕虫所特有的,一些普通的端口扫描软件也具有此类行为,如果不加以区分将会带来大量的误报。因此考虑蠕虫具有传播性这一特点,它需要从一台计算机传播到多台计算机,本文采用流量收集、失败流量判定、可疑流量判定和蠕虫识别相结合的方法,在检测蠕虫的基础降低误报率。3.蠕虫抑制。为了防止蠕虫在大范围的传播,本文采用对主机的连接进行管理的方法,核心思想是对各台主机赋予一个信任值并设定初值,若主机感染蠕虫,则信任值随时间递减,若已治愈,则随时间递增。对于在信任值安全范围之外的连接,当前主机则拒绝,否则,则正常通信。