互联网的发展改变了人们的生活工作模式,网上新闻、网上购物、远程教育、电子商务等各种应用层出不穷,一个全新的、充满机遇与挑战的数字化世界正逐渐演变为现实。在数字化世界中,信息,尤其是信用卡、邮箱地址等私密信息,不仅是一种重要的资产而且已成为一种可销售的商品。据统计,地下交易系统中所售此类商品(如信用卡信息、邮箱地址薄或游戏帐号等)的总价值已超过2.76亿美元,其中最常出售的信用卡信息潜在总价值则高达53亿美元。目前获取此类商品的一个重要手段是利用恶意软件。2007年互联网上传播的有记载的恶意软件(包括蠕虫,木马等)数目达2,227,415个,与2006年相比翻升了接近4倍,其中70%的恶意软件能够窃取机密信息。有些具有传染病特性的恶意代码由于可瞬时将间谍软件、木马、Rootkit等窃密软件作为其载荷(Payload)发送到互联网上的巨量机器上,完成相关用户敏感信息的收集甚至对整个互联网络的破坏,已引起研究人员的广泛关注。与恶意软件相比,蠕虫有其自身的特点：蠕虫是通过网络传播的,它可以快速传播,造成的危害也更大：2003年1月26日,一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使互联网网路严重堵塞,DNS的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓,同时银行自动提款机的运作中断,机票等网络预订系统的运作中断,信用卡等收付款系统出现故障,据估计,此病毒造成的直接经济损失至少在12亿美元以上。恶意软件和网络蠕虫是Internet安全的最大威胁。因此,恶意软件和网络蠕虫的检测是信息安全的重要研究课题。本文主要工作之一就是提出了一个新的恶意软件检测方法—基于API的机器学习方法：先捕获程序运行过程中关键API调用,然后采用4-Gram和信息增益的思想提取特征,最后调用2-level的BKS算法进行多视角的融合分类。试验证明本分类方法的正确率较高,能有效的检测恶意软件,并且对恶意软件进行分类。本文的另一个工作是提出了一个基于漏洞的蠕虫特征自动生成技术——PASG (Protocol Aware Signature Generation)。PASG通过抽取捕获到正在攻击的网络蠕虫的网络和主机相关信息,通过最长公共子串、基于数据库的训练和协议分析等技术自动生成一个符合入侵检测系统Snort要求的特征,这个特征不仅能有效的表征蠕虫,而且在一定程度上能够识别针对同一个漏洞的其他蠕虫攻击。试验证明,特征虽然长度比较短,但是误报率低,正确率高。