随着计算机网络的规模和应用范围的不断扩大,能够快速传染的网络蠕虫给计算机网络安全防护工作带来极大的挑战。现有的安全防御工具如入侵检测系统等大多都是采用基于误用的检测技术,即通过匹配蠕虫数据包中的特征进行检测并防御,其防护能力很大程度上取决于特征的数量和质量。那种依靠网络安全专家在蠕虫传染爆发后对蠕虫数据包和样本代码进行人工分析进而提取特征的方法,已经无法有效阻止在数小时内就能够在全球网络范围内传播而造成巨大损失的蠕虫。因此对蠕虫特征自动提取技术的研究具有非常重要的实际意义。在分析了蠕虫的行为、流量特性和现有蠕虫特征自动提取技术的基础上，针对现有蠕虫特征自动提取系统的预处理不足以及提取特征准确度不够的现状,本文提出了基于序列比对的蠕虫特征自动提取模型,并对其中的关键算法和技术进行了研究。依据蜜罐捕获数据纯度高的特点,本文提出了结合蜜罐的网络流量聚类预处理方法,即通过把每条网络记录定义为一个四元组进行多维层次聚类,把网络流量划分为显著流量和非显著流量的方法,以减少后期需要检测的网络流量,然后根据蠕虫爆发时的流量特征,即源、目的IP地址和源、目的端口的随机性,对显著流量进行可疑蠕虫检测。在捕获到的可疑蠕虫流量样本上,采用生物信息学中比对结果最为精确的T-Coffee多序列比对算法来提取蠕虫特征。针对其在蠕虫特征提取的具体应用,使用SLA算法构造其初级库,并对T-Coffee中指导树的生成过程进行了改进,使之更加准确地指导后续的渐进式比对,进而提取出更为准确的蠕虫特征。最后通过实验验证了模型的有效性。