网络蠕虫以其多样性的传播方式、快速的繁殖能力和破坏能力不断造成损失。当前运用最为广泛的网络蠕虫检测系统多采用误用入侵检测技术,其检测能力在很大程度上取决于攻击特征的数量和质量,而依靠专家事后提取特征的方式已远远不能应付层出不穷的新蠕虫攻击,因此,对蠕虫特征自动提取技术的研究具有非常重要的意义。蜜罐技术的目的在于诱使攻击,其捕获恶意数据针对性强、数据量小,能较迅速的排除正常流量的干扰收集攻击信息。为进一步区分出蜜罐系统中的蠕虫攻击信息,将贝叶斯方法结合到蠕虫检测技术中,通过将蜜罐系统捕获的数据按访问总次数、最大访问频度、访问范围、端口风险度和平均负载长度5个观测参数综合评分判断是否属于可疑蠕虫流量。将蠕虫攻击手段分为网络扫描、快速扫描,缓冲区溢出以及后门,分别模拟这4类攻击方式统计得出4类异常观测参数的概率值作为网络蠕虫检测指标。通过这种结合蜜罐技术与贝叶斯方法的蠕虫技术,减少了噪音数据对系统的干扰,使提取的特征片段更加精确。目前可用的特征提取算法非常有限,生物信息学中的Needleman-Wunsch算法则是利用动态规划的思想寻求两条序列间的全局最小距离(最相似子序列)。通过引入激励函数改进Needleman-Wunsch算法能克服原算法易产生碎片的缺点,使之很好的适用蠕虫病毒的特征提取要求。结合多层序列联配算法能较快的舍弃干扰序列,保证整个特征提取算法的收敛速度;通过引入通配符尽可能的保留蠕虫病毒的特征,增强特征码的灵敏性。利用网络蠕虫检测技术与特征提取技术的研究成果,设计和开发了网络蠕虫特征提取系统。分别模拟蠕虫攻击和样本数据两种方法对系统进行了测试,验证了本系统的实际能力。