随着网络系统应用及复杂性的增加,网络蠕虫成为网络系统安全的重要威胁。近几年来,蠕虫本身又有了新的进展,即多态蠕虫的出现,其通过使用多种变形技术可以很容易的避开现有入侵检测系统的检测,成为未来威胁到互联网络安全的一个重大隐患。目前,针对多态蠕虫的检测技术的研究已经成为现在蠕虫研究的热点。尽管针对多态蠕虫的研究已有了许多有价值的研究成果,但均建立在多态蠕虫只能进行简单变形与隐蔽的假设基础上,对现有蠕虫变形技术及工具缺乏全面的分析与认识。虽然多态蠕虫还未在网络上大规模的出现,并像Morris、CodRed等蠕虫那样给社会带来巨大的损失与危害,但随着代码混淆技术及变形技术的不断提高,其潜在的破坏性与危害性不得不引起我们的关注。本文试图以多态蠕虫及其检测技术为主题,对其进行系统及全面的分析与研究。基于行为的多态蠕虫检测技术,由于其利用蠕虫行为不变性这一特点以及在检测多态蠕虫方面的灵活性,已成为目前多态蠕虫检测技术研究的重点。本文综合论述了多态蠕虫本身的结构及常用变形技术,对近几年来针对多态蠕虫的防治技术进行了归纳总结和比较分析,并在此基础上对多态蠕虫本身进行了进一步的研究与探讨,提出了一个针对能力更强的多态蠕虫的检测方法,所做主要工作如下:1)针对现有多态蠕虫检测技术给出了系统及全面的分析。通过对现有几类检测技术的比较,给出了它们各自的优点与局限性,并以图表的形式清晰全面得对其各个方面的特点进行了对比与总结。2)给出了一种能力较强的多态蠕虫的结构及变形方式——可改变程序结构的多态蠕虫。通过对大量文献及现有变形技术的分析,给出了一种能力较强且具有潜在危害性的多态蠕虫,并对其多种变形方式进行了分析。同时,本文还对现有检测技术在防治该种多态蠕虫时表现出的局限性进行了分析与总结。3)针对上述多态蠕虫给出了一种新的检测技术——利用PDG(程序依赖图)检测结构可变的多态蠕虫。通过对该蠕虫行为特点的深入分析,即在整个传播与攻击过程中功能保持不变的特点,提出利用PDG来描述形态各异的蠕虫实例间功能上的共性,以检测该种多态蠕虫。本文为多态蠕虫技术的发展提供了一个全新的思路,即结构可变的多态蠕虫,并提出了相应的检测方法。通过实验与测试,该方法具有良好的检测能力和较低的误差,以及可接受的检测效率。