基于特征库的安全防护系统(如IDS/IPS、防火墙等)是对抗网络攻击的主要手段,特征的质量和数量决定这类系统的检测性能。随着多态技术的应用,网络蠕虫的感染能力大幅增强,初始阶段期间其繁殖速度近似指数增长。因此,如何在蠕虫传播的早期快速准确地提取出特征是防御的关键。传统依靠安全专家事后分析产生特征,对于新型攻击和多态攻击的检测具有滞后性,难以保障系统安全。特征自动提取技术无需人工干预,能快速自动的提取出攻击特征,是网络安全研究领域的热点和难点,具有重要的学术价值和广泛的应用前景。本文借鉴生物序列比对的思想,从基于攻击的特征自动提取角度出发,研究Zero-day多态蠕虫的特征自动提取技术。主要工作如下：1.结合多态蠕虫的结构特征,分析其保守片段特性；对现有特征自动提取方法进行了综述,并比较分析各自的特点。2.研究面向特征提取的攻击数据收集方法。精确的样本数据是特征提取的前提和基础,本文从多态蠕虫的扫描特性出发,采用基于白名单和IP地址离散熵的方法对数据进行过滤,并结合多态蠕虫结构特点,给出多态蠕虫数据流维度化表示方法和一种基于加权模糊聚类的攻击分类方法,产生攻击类用于后期特征提取。3.从生物信息学视角出发,在对序列比对理论研究的基础上,结合多态蠕虫自身的特点,针对Needleman-Wunsch算法容易造成局部特征片段损失问题,提出一种两阶段多序列比对算法TsMSA(Two-stage Multiple Sequence Alignment),用于Zero-day多态蠕虫的特征自动提取。该自动提取方法利用TsMSA算法对每一类多态蠕虫样本数据进行序列比对,识别出此类蠕虫的保守特征片段,然后将其转化为标准IDS规则,以用于后期防御。实验结果表明,基于TsMSA算法的Zero-day多态蠕虫特征自动提取方法,能有效提高提取特征的质量,降低误报率,对于随机噪声数据也表现出很好的容噪性能。