近年来,互联网与社会经济发展和人们生活的关系越来越密切。计算机和网络已经成为社会不可或缺的重要部分,而互联网的安全问题也随之而来。其中,网络蠕虫是最大的安全隐患之一。网络蠕虫的历史可以追溯到1988年著名的Morris蠕虫,它侵入了当时互联网中10%~20%的计算机,造成高达上千万美元的经济损失;2001年8月爆发的Code Red蠕虫感染了超过36万台服务器,使大量网站陷于瘫痪;2007年出现的熊猫烧香蠕虫则是国内较为有名的蠕虫爆发案例。国外计算机安全专家甚至论证了设计合理的蠕虫,理论上可以在30分钟内传遍全球的互联网。为了尽早发现网络蠕虫的爆发,研究人员设计了众多的蠕虫检测手段,主要分为两类,一类是以网络为研究对象,称为基于网络的检测;另一类就是通过计算机的防火墙、病毒库的特征匹配等技术来发现网络蠕虫,称为基于终端的检测。本文重点研究前者,使用主成分分析算法对全局网络流量进行分解,并提出一种构建异常空间的网络异常检测方法。仿真结果表明,本文的方法能够实现对网络流量异常,特别是网络蠕虫爆发的检测和定位。在蠕虫对抗方面,目前主要依靠用户的主动升级补丁、使用杀毒软件等单机方法。研究人员认为,传统的单机杀毒方式已经很难遏制网络蠕虫的传播。本文以互联网上的计算机升级补丁清除蠕虫等现实行为为依据,提出了以一种新型补丁代替当前的普通补丁的混合式蠕虫防治策略——监听反制(MCA)策略,并建立蠕虫在此策略下的传播模型。与传统的蠕虫传播模型局限于易感主机群体不同,本文将研究对象扩展到了易感主机群体之外的正常主机。模型的仿真结果表明,监听反制策略可以有效遏制蠕虫在互联网上的传播,为网络蠕虫的防治提供了新的思路。