目前網絡入侵檢測系統（NIDS）主要利用特征碼檢測法來監測與阻止網絡蠕蟲，而蠕蟲特征碼提取仍是效率低的人工過程。為解決這個問題提出了基于陷阱網絡的蠕蟲特征碼自動提取思想，介紹了原型系統的體系結構和主要算法。該系統利用數據包負載中出現頻率高的字符串來提取蠕蟲特征碼。最后通過實驗結果分析算法主要參數對系統的影響。
近幾年爆發過的一系列蠕蟲病毒給信息社會造成巨大經濟損失，因此對蠕蟲病毒的研究仍然是網絡安全研究重點。蠕蟲病毒是一種利用軟件漏洞實現自動傳播和破壞的人為惡意程序。由于同構型網絡環境中運行的操作系統與服務器軟件缺乏多樣性，因此蠕蟲在Internet 或Intranet 中能夠迅速蔓延。目前主要有以下兩種蠕蟲檢測技術：流量檢測。在網絡全局范圍內監測可疑隨機掃描流量。如果發現可疑IP 地址，則將其加入IP 黑名單，列入下一步過濾范圍。對利用隨機掃描傳播的蠕蟲該技術十分有效，但是對于郵件病毒和P2P 蠕蟲檢測效果差，由于以上兩類病毒不使用IP 隨機掃描；另一種技術是行為檢測。因為蠕蟲病毒是一種非典型性的Internet 應用程序，所以在單機范圍內可監測其特異程序行為來發現蠕蟲。
此項技術缺乏網絡層次的檢測能力，對蠕蟲檢測存在很大滯后性。總之，盡量阻斷被感染主機試圖與潛在受害主機的連接是蠕蟲檢測的主要策略[1]。
目前商業網絡入侵檢測系統NIDS（Network Intrusion Detection System）多數采用比較成熟的誤用檢測技術，檢測網絡范圍內可疑數據包，如果發現與入侵特征庫中相匹配的數據包就向網絡管理員發出警報。NIDS 是一種體現主動防御思想的安全工具，其特征規則檢測法結合了流量檢測和行為檢測。NIDS的特征規則一般表示為一個三元組<協議類型，目標端口，字符序列>, 由于蠕蟲通常針對某個端口服務程序的漏洞來實現傳播和破壞，因此協議類型、目標端口體現了蠕蟲網絡層面的特點；另一方面，因為蠕蟲行為的非典型性，比如利用溢出實現攻擊、自我復制等功能。所以能夠提取反映該功能的機器碼序列作為檢測的依據，這些字符序列即蠕蟲的特征碼。總之，NIDS 采用基于內容過濾、阻斷的策略防御蠕蟲。
NIDS 檢測的關鍵是檢測規則。首先對檢測規則提取時間要求高。Internet 主機對蠕蟲的免疫有很高的時間要求。對傳播速度慢的蠕蟲要求最多60 分鐘作出免疫反應，比如RedCodeII；高速傳播的蠕蟲要求5 分鐘甚至60 秒的免疫時間。另外特征碼質量對NIDS 工作效率影響很大。因此蠕蟲特征碼的提取工作十分重要，現在主要由安全專家人工提取蠕蟲特征碼，這是個費時、枯燥并且技術水平要求高的工作。
人工提取蠕蟲特征碼需要較長時間，導致了NIDS 對蠕蟲檢測存在很大滯后性甚至失敗。普通計算機病毒特征碼大約有%5 ~ %6 來自陷阱機Honeypot 捕獲的數據，蠕蟲與普通病毒不同，在網絡中傳播速度快，設計精巧的陷阱機能及時有效地捕獲到新蠕蟲或蠕蟲變種[2]。本文提出一個基于陷阱網絡Honeynet 的蠕蟲特征碼自動提取原型系統Cuckoo，描述原型系統的體系結構與自動提取原理，最后通過實驗分析蠕蟲特征碼的質量。本文以后各節組織如下：第二節，介紹蠕蟲特征碼自動提取的相關研究；第三節，闡述了原型系統Cuckoo 的體系結構，特征碼提取的流程與算法，以及特征碼廣譜優化策略；第四節，通過實驗分析原型系統中重要參數的作用與影響；第五節，總結并提出進一步研究的設想。