随着计算机技术的发展和互联网应用的深入,各种恶意代码(计算机病毒、网络蠕虫等)成为计算机使用者遇到的最普遍问题。网络蠕虫的传播不仅可以占用被感染主机的大部分系统资源,对目标系统造成破坏,同时,还会抢占网络带宽,造成网络严重堵塞,甚至整个网络瘫痪。由于网络蠕虫泛滥产生的巨大危害,如何对网络蠕虫进行检测、预警和应对,已经成为计算机网络安全研究领域的一个重要课题。 本文首先回顾了计算机病毒、网络蠕虫的出现和发展,对网络蠕虫的定义进行了阐述,并综述了入侵检测技术和网络蠕虫检测技术的研究现状。 通过对网络蠕虫工作机制的研究和分析,提出了两种网络蠕虫检测方法:1)基于贝叶斯方法的网络蠕虫检测技术,该技术以失败连接概率作为网络蠕虫检测指标,当失败连接的概率值超过了网络蠕虫判断阈值时,则认为该主机是网络蠕虫主机,当失败连接概率值难以判断时,则将该概率值作为下一次计算的先验概率,这样保留了历史行为对当前行为的影响,使检测结果更加精确。2)基于信息熵的网络蠕虫检测技术,该技术以源地址主机的所有连接中的目标地址分布情况作为考察对象,当计算得到的目标地址熵值超过了设定的网络蠕虫判断阈值时,则认为该源地址异常。对于上述两种网络蠕虫检测技术,通过实验进行了验证和分析,实验结果说明这两种检测技术效果良好。 利用网络蠕虫检测技术的研究成果,设计和开发了一套实时网络蠕虫检测系统。该系统主要包括了网络蠕虫检测端、监控管理端和数据库系统三个组成部分,可以实现网络蠕虫检测策略修改、实时报警、历史记录查询等功能。 最后对研究工作进行了总结,本文提出的两种网络蠕虫检测技术具有较低漏报率和很高的有效性,基于这两种网络蠕虫检测技术开发的实时网络蠕虫检测系统具有很好的网络蠕虫检测能力。同时分析了存在的问题,并对下一步的研究工作做了展望,由于网络速度的提高、漏报率和误报率仍然存在,本文提出了几个研究工作的发展方向,包括:实时高速网络数据捕获、流量分析、提高检测精度、实时应对等。