蠕虫等大规模爆发的网络安全事件的发生对Internet安全构成了巨大威胁.2001年以来发生的Code Red、Nimda、Slammer、Blaster等蠕虫足以证明这一点,人们对此造成的损害仍然记忆犹新:网络拥塞、网站瘫痪,整个Internet几乎不可访问.据统计,仅Code Red在全球造成的损失就超过26亿美元.因此如何及早发现并有效控制蠕虫等网络安全事件的蔓延,已经成为一个维护社会安定和国家稳定的棘手问题,也为我们提出了一个新的网络信息安全课题.该文首先介绍当前Internet所面临的问题,重点强调了蠕虫和拒绝服务攻击的形式和危害,由此引出现有的几种应对这种形势的入侵检测和反应模型.在分析这些模型的优势和不足之后,本着主动测量和异常检测相结合的思路,该文提出大规模网络安全事件协作预警系统的设计思想和整体结构设计方案,并详细介绍了各个模块的功能和综合分析子系统的两个数据来源—主动测量和异常检测.然后重点介绍实现该系统的两大关键技术—基于聚类算法的宏观预警分析和控制策略生成.基于聚类算法的宏观预警分析以路由器间的跳数作为距离依据,选用基于密度的聚类算法分析路由器集合,找出异常分布的热点区域,为进一步在行政和技术上的管理提供信息;同时使用不同的颜色标识不同的区域便于管理者定位异常的来源;控制策略生成包括控制点选择和地址聚合两部分.控制点选择包括精简控制路由器集合和关键路由器集合,前者更注重准确性,后者更注重效率.地址聚合采用聚合方法,将异常检测提供的全部主机地址用几个CIDR地址覆盖,降低管理员在路由器上执行AccessList命令的负担.最后经过可视化处理,取得了较好应用效果,并通过在教育网上的实际运行验证了系统的有效性和可靠性.该文的工作成果将为计算机网络应急处理工作人员提供直接决策依据.