随着互联网技术的高速发展,网络传输速率显著增加,网络应用复杂性增强,使得网络蠕虫成为网络系统安全的重要威胁。从1988年第一个网络蠕虫Morris到疯狂传播的ANI蠕虫,CERT(计算机应急响应小组)统计到的Internet安全威胁事件每年以指数增长,近年来的增长态势尤为迅猛。蠕虫对网络造成巨大损害的主要原因在于蠕虫传播的突发性。通常,其传播会经历慢速启动、快速传播和缓慢结束三个阶段,也就是说蠕虫传播初期速度通常比较慢,但随着传播的进行,其扩散速度将会呈指数态急剧增大,最后随着未被感染的主机数量减少,其传播速度又会逐渐降低。由此可见,只有在慢速启动阶段发现蠕虫并进行隔离才能真正有效地遏制其传播。如何在蠕虫传播早期快速有效地发现和定位蠕虫,并遏制蠕虫的扩散成为一个极具挑战性的研究课题。本文围绕蠕虫慢速启动阶段的预警方法进行研究,首先对蠕虫的国内外研究现状进行了总结,揭示了网络蠕虫研究的必要性。接着介绍了网络蠕虫的定义、行为模型、攻击过程等活动机理,深入分析了当前蠕虫常用的隐蔽技术。然后本文归纳总结了目前蠕虫检测和响应技术,描述了一种新的特征提取系统,这种系统区别于早期的基于报文语法、语义的特征提取模式,它采用虚拟执行的方式,将蠕虫所利用的漏洞的执行路径作为特征,引出一个新的蠕虫研究点。根据以上研究,本文提出了一种网络蠕虫检测与响应的整体解决方案,设计、实现了网络蠕虫本地化预警系统。该系统将误用检测和异常检测相结合,通过DSC算法来统计TCP RESET异常包以判断蠕虫的早期爆发,采用基于协议的特征匹配技术来识别已知蠕虫的传播,将网络蠕虫异常扫描行为与正常扫描行为进行区分,更好地实现蠕虫早期的预警检测。同时,考虑到系统自身的安全性,采用了SSL加密通信方式,将检测端注册为服务,保证系统在电脑重启或登陆前便可进行蠕虫的检测。文中详细介绍了通信模块、检测模块和响应模块的设计流程和实现难点。然后,利用Symantec推出的免费软件Worm Simulator来模拟蠕虫的爆发行为,在实验室环境下对网络蠕虫预警系统进行了测试,给出了功能测试和性能测试报告。测试结果显示,网络蠕虫本地化预警系统在本地局域网环境下能有效地检测蠕虫的早期爆发行为,其误报率低于Snort,系统整体性能有所提高,具有一定的应用价值。最后,本文对已有工作进行总结,并提出下一步研究方向。