快速而准确地提取蠕虫特征对于有效防御多态蠕虫的传播至关重要。通常对蠕虫攻击的防御都是在其对网络造成了较大的危害之后才开始进行的，对于蠕虫的响应速度滞后于蠕虫的传播速度，因此，特征的快速自动提取已经成为研究者们越来越关注的问题。然而已有的特征产生算法无法在有噪音的情况下提取出蠕虫特征。随着多态蠕虫的快速传播，出现了针对多态蠕虫特征产生系统的攻击，导致这些系统无法产生正确的多态蠕虫特征。　　 本文在对蠕虫多态变形技术研究的基础上，对多态蠕虫特征以及特征自动提取算法进行了深入研究。本文的主要研究内容和创新点包括：　　 已有的蠕虫特征均基于蠕虫负载本身，检测目标比较单一，无法有效地检测形态多变的多态蠕虫。本文结合多态蠕虫特点，着重考虑蠕虫负载字节之间的关系，提取基于近邻关系的多态蠕虫特征NRS。实验测试表明了NRS能够很好的表示多态蠕虫的特性，并能用于有效地检测多态蠕虫。　　 针对已有的多态蠕虫特征提取方法不能很好地处理噪音的问题，本文引入彩色编码方法来解决有噪音干扰情况下的多态蠕虫特征提取问题。首先提出基于字符串匹配的特征提取算法CCSF，该算法将可疑池中的n条序列分成m组，然后运用彩色编码对每组序列进行特征提取，再对每组提取出来的特征集合进行过滤筛选，最终产生正确的蠕虫特征。实验表明CCSF算法能够在有噪音干扰的条件下有效地提取出多态蠕虫的特征，而且该特征不包含碎片，易于应用到IDS中对多态蠕虫进行检测。另外，为了能够在有噪音的情况下提取出有效的NRS特征，本文提出了CGNRS算法，并对该算法产生的NRS特征与其它方法产生的特征进行了比较。比较结果显示CGNRS无论是在无噪音还是在有噪音的情况下都优于其它方法。　　 本文提出了一种基于随机策略的多态蠕虫特征提取方法SGARS。该方法首先采用随机的策略，然后在解决噪音干扰的过程中引入彩色编码方法来提高算法运行的效率。实验验证了该方法的正确性，和其他已有特征提取方法的实验比较表明，当可疑池中存在噪音时，SGARS能够更快速提取出多态蠕虫特征。　　 本文进一步提出了基于种子.扩充的多态蠕虫特征自动提取方法SESG，解决可疑池中存在噪音以及多类蠕虫的特征提取问题。SESG算法分为计算序列权重、选择种子、扩充簇和产生特征四个子算法。SESG算法与其它方法比较结果表明，能够在包含噪音的可疑池中很好的区分各类蠕虫序列，更易于提取有效的蠕虫特征。　　 本文借鉴自然生物的取食.繁殖规则提出了一个模型来精确刻画结合了Permutation扫描特征的多态蠕虫的传播。并在模型中评估基于字符串匹配的特征和NRS特征用于IDS进行检测时对蠕虫传播的影响。模型分析了传播过程中各类蠕虫的数目，以及传播过程中存在IDS和不存在IDS时各参数对蠕虫传播的影响。