互联网从诞生以来一直遭受着黑客攻击和恶意代码的威胁,随着互联网成为人们日常生活不可或缺的一部分,由地下经济链等多种因素驱动,新形态的安全威胁不断涌现并持续演化,从计算机病毒、互联网蠕虫、僵尸网络到网页挂马,攻击目标覆盖了服务器和各类客户端软件,主动、被动传播方式兼备,而防御技术并不能够及时地跟上安全威胁的演化步伐,这使得互联网的安全形势日益严峻。　　本文重点针对互联网上网络蠕虫、僵尸网络和网页木马三类代表性恶意代码,围绕收集、分析及检测等关键环节,开展相关监测技术研究,包括:　　1.针对互联网上主动传播的恶意代码,提出了一种基于多维比对的高交互蜜罐恶意代码实时收集方法。该方法采用“热比对”和“冷比对”技术,解决了蜜罐中包括隐蔽软件在内的恶意代码的检测和收集;采用透明代理技术,实现了高、低交互蜜罐攻击流动态迁移,有效地减少了高交互蜜罐处理己知网络攻击的频度;采用网络闲置资源重定向技术,解决了实际应用时可分配IP地址资源不足的问题,并有效地扩展了蜜罐监测的覆盖面。　　2.针对IRC及HTTP类型的僵尸网络,提出了一种基于客户端蜜罐的僵尸网络追踪方案。结合协议特征和决策树分类的方法,完成了僵尸网络控制信道的自动提取;通过控制协议交互模拟进行僵尸网络的并行持续追踪,并基于控制命令特征对僵尸网络的追踪数据进行详细的分析,为分析僵尸网络的工作机制、传播方式、攻击方法、危害范围等提供了技术支撑。　　3.针对互联网上大规模被动传播的网页木马,提出基于名字空间重定向及并行沙盒技术的网页木马动态检测方案,显著地提高了单机动态检测的效率。同时结合云计算架构动态资源调度方法,从整体上提高了互联网海量页面中网页木马的检测能力。　　4.针对网页木马的“易失性”和“结构松散性”,定义了网页木马场景的概念,提出了一种基于HTTP代理机制的网页木马场景收集和重放方法,有效地解决了网页木马场景固化问题,通过长期网页木马场景的收集,为网页木马的机理研究、攻击技术变化跟踪、检测技术的验证和改进提供了一个基础的评价集。　　基于以上研究,设计并实现了相关监测系统,通过在互联网真实环境中部署并长期运行,验证了方法的有效性和实用性。