随着网络系统应用及复杂性的增加，Internet的正常运转时时受到安全威胁。在网络环境下，多样化的传播途径和复杂的应用环境使恶意代码的发生频率增高，而Internet蠕虫是目前危害最大的恶意软件，成为当前研究中的首要课题。现有的防病毒技术对蠕虫并不适用，已有的蠕虫研究大部分集中在对某个特定蠕虫的行为描述和清除上，缺乏比较全面的研究，迫使人们进一步认识恶意代码的本质，认清现有检测防御技术的局限性，寻找新的技术突破。 本文从现有检测蠕虫技术的起源、工作原理以及新的安全威胁形式的分析，揭示现有检测技术仅仅通过统计或概率的方法进行扫描检测无法克服的弱点，进而从蠕虫的扫描策略出发，提出一个分布式蠕虫检测防御响应系统DWDPRS，从蠕虫的检测、防御、预警、抑制等各个方面，全方位的进行了阐述。通过关联分析和API函数拦截技术克服了以往将真正的扫描者与已感染蠕虫主机无法区分的限制，并在一定程度上能检测到可疑蠕虫（变种和未知蠕虫）。 本文的研究重点是主动性蠕虫的理论研究，以及在此基础上构建分布式蠕虫检测防御响应系统所涉及到的技术实践，本文的主要工作如下： 对曾爆发网络蠕虫的行为进行分析，综合论述网络蠕虫的行为特征描述、蠕虫的统一功能结构模型；剖析了网络蠕虫的工作原理，讨论了主动性蠕虫的扫描策略。 归纳目前防范网络蠕虫的最新技术，并对其存在的优点和局限性进行了分析。 提出分布式蠕虫检测防御响应系统DWI）PRS，将网络检测与主机检测相结合，采取事件关联和API函数拦截的方法能检测到可疑蠕虫，并对系统的各个组成部件、算法以及流程进行了分析。 从一个全新的角度讨论了蠕虫的应用问题，即利用良性蠕虫对抗恶性蠕虫技术从事有益的工作，同时讨论了良性蠕虫的控制策略，并对良性蠕虫模型进行了分析。 利用变种蠕虫对DWDPRS系统进行了实验测试，并对检测结果进行对比分析。实验证明，能检测到感染蠕虫的源主机和本地被保护网络中的已感染蠕虫主机，虽然采取躲避扫描检测算法的可疑蠕虫在扫描阶段产生漏报，但从蠕虫工作的后续步骤中通过事件关联，依然能还原出主动性蠕虫的攻击步骤；同时API函数拦截技术能对可疑蠕虫的行为进行准确的定位。因此该系统具有较高的准确性、较强的综合性及可用性，更接近网络安全的最终目标，特别适用于当前的网络应用环境，希望为未来的恶意代码的检测防御提供有益的理论准备和实践尝试。