随着网络应用的扩展,网络安全受到的威胁日益严重,尤其是恶意代码的泛滥对网络和应用造成了很大的破坏。在恶意代码中,蠕虫由于无需人的干预,能够自动传播,因此造成的危害最大。如何有效地遏制蠕虫在大规模网络中的传播成为非常迫切的问题。为了解决蠕虫泛滥的问题,必须研究有效的抑制蠕虫在大规模网络中传播的手段。首先通过对蠕虫传播模型的理论分析,从中发现影响蠕虫传播的重要参数,本文认为防御系统的布置与遏制时间是影响最终抑制蠕虫传播效果的最重要的因素。在大规模网络中,通过对网络划分缩小各子网规模,并采用自动检测来缩短遏制时间,建立大规模网络蠕虫防御系统,可以对蠕虫进行有效的遏制。本文研究的主要内容包括以下四部分:第一,在对蠕虫的性质进行了讨论和深入分析后,提出了分割网络进行蠕虫传播抑制的方法。通过对蠕虫的传播行为,尤其是随机扫描阶段进行分析,可以发现蠕虫传播速度与网络规模具有一定的关系。并以SEM(Simple Epidemic Model)模型为主要对象,对模型进行了深入研究,在此基础上,提出了对网络进行分割以减小网络规模,在划分边界上对蠕虫进行隔离,从而在大规模网络上有效的抑制蠕虫的传播。本文建立了与规模相关的蠕虫传播模型,并讨论了分割后子网的数目以及分割时间对蠕虫传播抑制的影响,为在大规模网络中基于分割的蠕虫传播抑制提供了理论依据。第二,由于时间、空间等各项约束会让用户在访问网络时产生一定的用户习惯,在习惯的作用下,用户的访问目的地是较为集中和有限的。在蠕虫爆发时,由于蠕虫的传播会产生大量的陌生访问,从而破坏用户的习惯。因而,对用户的访问目的进行统计分类,并建立用户访问目的列表,则在蠕虫发作时则能及时有效的发现蠕虫。本文对用户的访问行为进行了分析,提出了一种对蠕虫进行早期发现的新方法,并且实现了一个基于用户访问的蠕虫检测系统。实验证明该方法能够有效快速的发现蠕虫的传播。由于用户访问目的中存在的习惯是用户习惯的一方面的体现,而用户的习惯多种多样,可以衍生出很多应用模型,因此具有很强的指导意义。第三,蠕虫由于快速的传播而在网络中造成了严重的危害,对蠕虫进行自动的快速检测是一项必需的研究。在入侵检测系统常用的两种检测模式中,误用检测无法检测到新蠕虫的出现,而异常检测存在效率低,误报高的缺点。本文结合了误用检测与异常检测的优点,提出了蠕虫自动检测的新途