随着网络的广泛应用和即时通信(Instant Messaging, IM)软件的迅猛发展，利用即时通信系统和即时通信协议的漏洞或者技术特征进行攻击，并在即时通信网络内传播的即时通信蠕虫（IM蠕虫）迅速发展。互联网连接到全世界各地，蠕虫病毒一旦爆发，就快速的复制传播，造成网络大面积瘫痪，并且现在一些蠕虫病毒可能同时还会捆绑木马，这些木马，驻留在用户的机器内，读取用户的按键信息，窃取银行账号等，给用户在经济上造成很大损失。IM蠕虫的迅速发展，其发生频率增强，攻击范围扩大，正逐渐引起网络安全研究人员的关注。本文针对目前IM蠕虫模型存在的问题展开如下研究工作：1．通过对IMWDP(IM worms discrete propagation)模型改进，提出了一个基于二次检测的IM蠕虫传播模型—SDWPM模型。IMWDP模型第一次把IM蠕虫的传播理论化，在该模型中只考虑了用户的干预和即时通信用户的联系人数量两个因素对蠕虫爆发时产生的影响，不能完全反映出IM蠕虫的实际传播情况；而改进后的IMWDP模型只是在IM蠕虫传播后期进行了改进，前期传播还不够完善。针对这些问题，提出了基于二次检测的IM蠕虫传播模型—SDWPM模型，SDWPM模型利用本地网关对用户进行流量检测，把异常信息反馈给服务器，服务器通过网关的异常信息反馈进行二次鉴定，从而能够更好的反应现实中IM蠕虫的传播趋势。仿真实验结果表明：SDWPM模型在IM蠕虫传播的过程中降低了IM蠕虫的感染速度，对IM蠕虫的传播能够进行有效的抑制，对IM蠕虫判断的成功率上有明显的提高。2．设计并实现了基于二次检测的IM蠕虫传播模型（SDWPM）机制的原型系统，在原型系统中实现了基于二次检测的IM蠕虫传播模型（SDWPM）机制，并对原型系统进行测试，验证了原型系统的有效性。