随着计算机技术的发展和互联网应用的深入,各种恶意代码(计算机病毒、网络蠕虫等)对系统安全造成了严重的威胁。网络蠕虫的传播可能占用被感染主机的大量系统资源,影响目标系统的正常使用;也可能通过抢占网络带宽,造成网络的严重堵塞甚至整个网络的瘫痪。如何对网络蠕虫进行检测、预警和应对,已经成为计算机网络安全研究领域的一个重要课题。本文对网络蠕虫工作机制进行了研究,分析了网络异常检测的研究现状和网络蠕虫的传播方式,阐述了基于流特征分布相似度的网络蠕虫检测方法。基于网络蠕虫的传播普遍引起网络流量异常的特点,提出了一种基于流特征分布相似度的网络蠕虫检测方法。该方法利用蠕虫发作时流量异常的特点,选取三个特征(源地址、目的地址、目的端口),统计这三个特征属性分布并建立特征集;在检测阶段,运用马氏距离公式计算当前网络数据与特征集矩阵的相似度。当计算得出的相似度超出预先设置的阈值范围时,识别为局域网内发生了蠕虫攻击,发出蠕虫攻击报警。根据所提出的基于流特征分布相似度的蠕虫检测方法,设计和开发了一个网络蠕虫检测原型系统。该系统主要包括了网络状况信息采集子系统、网络状况信息统计与分析子系统、数据输出与显示子系统和蠕虫攻击报警子系统四个组成部分。通过局域网内的测试实验表明,本系统能够及时检测到局域网内出现的slammer、nimda和熊猫烧香等多种蠕虫病毒。