随着计算机技术,特别是互联网技术的迅速发展,人们在享受计算机带来各种好处的同时,也在经受着各种恶意代码(计算机病毒、网络蠕虫、特洛伊木马等)的困扰和侵害。根据CN CERT近几年的报告中,蠕虫病毒已经成为最大的安全威胁。网络蠕虫发生的频率越来越高,影响的范围更广,传播能力和破坏能力更强,造成的损失也更大。如何抑制蠕虫病毒已经成为信息安全领域中一个亟需解决的问题。现有的蠕虫检测、抑制方法主要有基于扫描、Honeypot、包匹配、内容和传播行为的蠕虫检测方法,但是这些方法都存在一些不足,随着新蠕虫病毒的不断出现,这些方法已经不能有效地控制蠕虫病毒的爆发。本文结合沈昌祥院士提出的终端安全源头理论和蠕虫传播的共有特征,即“在尽可能短的时间内,感染尽可能多的机器”,设计出一种基于终端源头安全的蠕虫抑制模型。整个模型分为三个部分:蠕虫监控模块、蠕虫进程定位模块以及中心控制模块。由蠕虫监控模块来监控终端中发出的网络数据包,当一个发送请求来到时,首先查询该数据包中的目的地址在不在已访问过的主机地址表中,如果在,则表明该地址已经访问过,这个数据包就被正常发出,不做任何的处理;如果发现这是一个新地址,则将该数据包加入到等待队列中;每隔一个时间段t,查看等待队列中有没有数据包存在,如果有,取出第一个数据包,将它的目的地址加入到已访问过的主机地址表,将该数据包发出;并且查看等待队列中还有没有与它目的地址相同的数据包,如果有,也一起发出。设定一个警戒值f,当等待队列中包的数量超过f时,则认为出现了蠕虫病毒,通知中心控制模块,利用蠕虫进程定位模块进行可疑蠕虫进程定位,最终实现蠕虫病毒的查杀。随后在Windows操作系统中实现了该模型。使用Windows中NDIS和TDI两层网络驱动层,以及应用层的相互配合,实现蠕虫病毒的检测、抑制和查杀。最后对该系统进行了测试,证明了该系统对于蠕虫病毒的抑制是有效的。