近年来.网络蠕虫已经成为网络上一个重要的安全议题，网络蠕虫不仅对终端机造成信息上的安全危害，而且网络蠕虫在进行攻击时产生的大量封包以及连接，严重影响了网络的正常运行。　　 许多新型网络蠕虫主要利用操作系统或服务器漏洞而进行的设计，由于网络蠕虫使用互联网作为其活跃的舞台与传播的媒介，因此往往能够引发大规模泛滥，除了影响计算机正常运行之外，也直接占用网络资源，形成另一种形式的网络阻断服务攻击，造成网络管理上很大的困扰。　　 目前最常被采用的网络蠕虫检测方式是针对每一种蠕虫已知的特征，从网络信息库中找出符合特征的数据。使用这种蠕虫检测方式，我们必须事先知道每一蠕虫的特征，并针对每一种蠕虫的特征开发特定的蠕虫检测程序。由于蠕虫种类越来越多，对网管人员而言，一蠕虫一检测程序的管理方式的扩展性差，蠕虫检测工作逐渐成为网管人员沉重的负担，另一方面，新型蠕虫出现初期，其特征尚未被了解，特定的蠕虫检测程序也滞后，这是使用蠕虫特征检测的另一个缺点。　　 本论文利用网络信息动态基线进行分析的方法，利用每五分钟的各通讯端口的信息基线进行建立与分析，便可筛选出符合蠕虫行为的信息数据。此方法无须得知蠕虫特征以及开发特定蠕虫检测程序，只利用NetFlow网络信息监测工具，以其通讯端口、时间、流量三个维度所建立的信息基线过滤与基线偏离的信息，进而找出可能的蠕虫及受感染的节点。使用本论文所提的蠕虫检测方法，网管人员无须为每一蠕虫寻求或自行开发特定检测程序，且在新型蠕虫开始感染发作之前，此机制便能发挥作用，提供给网管人员重要的网络异常的相关资料。我们将以最近爆发的”震荡波”蠕虫(Worm Sasser)为实验测试对象，证明本论文所提蠕虫检测方法，能够有效协助网管人员检测网络蠕虫。　　 最后，我们将动态基线检测方法与特征比对方法相结合，构建了一套网络蠕虫检测系统-NetFloWorm，并在大学校园内进行实测，对校园网络的NetFlow信息进行测试，实验结果初步显示系统能够提供较低的误判率和良好的检测率。