网络蠕虫的爆发,不仅占用被感染主机的大部分系统资源,破坏目标系统,同时,还会抢占网络带宽,造成网络严重堵塞,甚至导致整个网络瘫痪。网络蠕虫已经成为经常困扰网络用户的问题,如蠕虫攻击引起的信用卡密码被盗、源代码泄漏的事件,除了给上网用户带来很大的麻烦,还使一些企业损失惨重。为了减小并尽量避免网络蠕虫大量爆发对社会造成的影响及损失,就需要对蠕虫的传播特性进行分析建模,描述其在网络中传播的趋势,从而更好的认识把握蠕虫的特征更合理的设计安全防御措施,提高网络蠕虫防御检测系统的效果。同时,还需要设计更好的攻击特征提取算法,好的算法可以加快分析提取速度,得到高质量的攻击特征,从而节省系统响应时间提高检测的准确度,真正提高防御检测蠕虫的效果。针对上述问题,本文的主要贡献是:对数学传播模型的特点进行了分析,给出了考虑多个网络实际因素和网络中节点属性的微分模型描述蠕虫的传播行为;通过对蠕虫防御系统中所需要的攻击特征形式的分析以及对广泛用于生物序列联配的联配算法和用于优化求解的EM算法的研究,结合蠕虫攻击特征提取中输入数据的特点,设计了两种算法:基于序列联配的攻击特征提取算法和基于EM算法的攻击特征提取算法。本文首先回顾了网络蠕虫的出现和发展,分析总结了蠕虫的定义、分类、功能结构及其常用的扫描策略,在上述基础上分析了蠕虫的传播特性。在介绍了几种经典的蠕虫传播分析模型和特性之后,对数学微分模型的特点和局限性进行了分析,并详细描述了体现主要的网络特性和节点属性的微分分析模型。主要考虑了网络阻塞、空地址/重复扫描同一地址的因素,以及网络中节点平均安全意识随蠕虫传播改变并对其传播趋势产生影响的因素。通过将一些节点属性和网络特性抽象概括成特定的参数或者变量,用数学语言进行描述,新的描述蠕虫传播特性的微分式子更真实反映蠕虫传播过程中网络的情况和主机节点状态的变化。对上述的数学微分模型,进行实验统计验证并与实际观测到的CodeRed蠕虫传播图进行比较分析,结果说明模型参数体现了网络蠕虫本身的特性和传播的网络环境,更准确地反映了传播的趋势。其次,本文对网络中蠕虫的防御检测技术进行了系统介绍,对其中的关键技术(蠕虫攻击特征的自动提取算法)进行了认真分析研究。在现有蠕虫检测技术、生物序列分析和参数的优化求解等其它研究成果的基础上,提出了两种对得到的网络蠕虫攻击样本数据集进行分析,并提取其攻击特征的算法。1)基于序列联配的攻击特征码提取算法。通过设置判断条件和设置过滤函数的方法提高算法提取签名的精度和运行的性能。2)基于EM算法的攻击特征提取算法。根据对所求签名形式的需求,考虑EM算法在实际应用中的问题,结合输入数据的特点,该算法改变求初试解的方法,避免局部最优,加快收敛速度。最后,通过实验对算法的性能进行了统计比较,验证了算法的性能。此外,论文对研究工作进行了总结,并指出了下一步工作的方向和方法。