数据挖掘和恶意软件检测综述

合集下载

数据挖掘中聚类算法研究综述

数据挖掘中聚类算法研究综述随着数据量的不断增加，数据挖掘成为了探索数据背后规律的一种重要方法。

而聚类算法作为数据挖掘中的一种基本技术，其在数据分析、模式识别、生物信息学、社交网络分析等领域都有着广泛的应用。

本文就对数据挖掘中的聚类算法进行了研究和总结，旨在对聚类算法的原理、特点、应用等方面进行探讨。

一、聚类算法的基本原理聚类算法是指将一组对象划分为若干个组或类，使得组内对象之间的相似度尽可能大，组间对象之间的相似度尽可能小，从而达到数据分类和分析的目的。

聚类算法的基本原理包括以下三个方面：1. 相似度度量：聚类算法的基础在于相似度度量，即将每个对象之间的相似度进行计算。

相似度度量可以采用欧几里得距离、曼哈顿距离、余弦相似度等多种方法。

2. 聚类分配：聚类分配是指将每个对象划分到合适的聚类中。

聚类分配可以通过最近邻法、k-means算法等实现。

3. 聚类更新：聚类更新是指对各个聚类进行调整，使得聚类内对象之间的相似度尽可能大，聚类间对象之间的相似度尽可能小。

聚类更新可以采用层次聚类法、DBSCAN算法等。

二、聚类算法的分类根据聚类算法的不同特点和应用场景，可以将聚类算法分为以下几种类型：1. 基于距离的聚类算法：包括最近邻法、k-means算法、k-medoid 算法等。

2. 基于密度的聚类算法：包括DBSCAN算法、OPTICS算法等。

3. 基于层次的聚类算法：包括凝聚层次聚类法、分裂层次聚类法等。

4. 基于模型的聚类算法：包括高斯混合模型聚类、EM算法等。

三、聚类算法的应用聚类算法在各种领域中都有着广泛的应用，包括数据分析、模式识别、社交网络分析、生物信息学等。

下面简单介绍一下聚类算法在这些领域中的应用：1. 数据分析：聚类算法可以对数据进行分类和分组，从而提取出数据中的规律和趋势，帮助人们更好地理解和利用数据。

2. 模式识别：聚类算法可以对图像、声音、文本等数据进行分类和分组，从而实现对数据的自动识别和分类。

图像数据挖掘研究综述

０引言
近年来，随着图像获取和图像存储技术的迅速发展，得我使
１图像数据挖掘的定义、点及与相关研究领特域的异同处
们能够较为方便地得到大量有用的图像数据（：感图像数如遥
据、医学图像数据等）。但如何充分地利用这些图像数据进行分析并从中提取出有用的信息，为我们面临的最大问题。图成像数据挖掘作为数据挖掘中的一个新兴的领域应运而生。
ＡｂｓｒｔｔａｃＩｈｓｐｐｅａｑｔｕｌｐｉｔｅｉｉｅｏｔｅｅｒｈｏｗｅｄｆｄａａｍｉｎ — ｎｔｉａｒ，ｕｉｅｆｌｃｕｒｓｇｖｎｔｈｅｒｓａｃｎａｎｅｆｌｏｔｎｉｇｉｉａｅｄｔｎｎｇＴｈｅｃｎｅｔｏｍｇａａｍｉｉ．ｏｃｐｆ
’ 中国地质大学（汉）算机学院（武计（中科技大学武汉光电国家实验室华
朱静
湖北武汉４０７）３０４湖北武汉４０７３０４）
摘
要
对数据挖掘中的一个新兴领域— — 图像数据挖掘作出了较为全面的研究。给出了图像数据挖掘的定义，析了图像数分
第２８卷第２期
２１０ｔ年２月来自计算机应用与软件
ＣｏｕｅｐｉａｉｎｎｏｗａｅｍｐｔｒＡｐｌｃｔｏｓａｄＳｆｒｔ

数据挖掘隐私保护综述.doc

数据挖掘隐私保护综述作者：李詹宇朱建明来源：《信息安全与技术》2012年第09期【摘要】随着社会信息化和电子商务与电子政务的不断发展，数据成为社会的重要资源，数据挖掘技术的应用逐渐深入。

与此同时，隐私保护方面的问题已经成为数据挖掘研究的热点问题之一。

本文介绍了数据挖掘隐私保护的发展现状，阐述了相关的概念、特征、分类和研究成果，并从数据扰动和多方安全计算两个方面介绍了数据挖掘隐私保护的相关技术，提出了未来的研究方向。

【关键词】隐私保护；数据挖掘；数据扰动；多方安全计算A Survey of Privacy Preserving Data MiningLi Zhan-yu Zhu Jian-ming(School of Information, Central University of Finance and Economics Beijing 100081)【 Abstract 】 With the development of E-commerce and E-government, and deepening use of the data mining technology, the problem of privacy preservation becomes one of the key factors in data mining. In this dissertation, we briefly introduce the history and current situation of Privacy Preserving Data Mining (PPDM). Some basic concepts, characters, classifications and research results related to PPDM are presented. In addition, we exhibit PPDM technology in data perturbation and secure multi-party computation respectively, pointing out the research area in the future.【 Keywords 】 privacy preservation; data mining; data perturbation; secure multi-party computation1 引言数据挖掘隐私保护（Privacy Preserving Data Mining，简称PPDM）是关于隐私和安全研究的热点问题之一。

基于大数据分析的APT攻击检测研究综述_付钰

2015年11月Journal on Communications November 2015 第36卷第11期通信学报V ol.36No.11基于大数据分析的APT攻击检测研究综述付钰，李洪成，吴晓平，王甲生（海军工程大学信息安全系，湖北武汉 430033）摘要：高级持续性威胁（APT, advanced persistent threat）已成为高安全等级网络的最主要威胁之一，其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别，因此新型攻击检测技术成为APT攻击防御领域的研究热点。

首先，结合典型APT攻击技术和原理，分析攻击的6个实施阶段，并归纳攻击特点；然后，综述现有APT 攻击防御框架研究的现状，并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展；最后，提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架，并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。

关键词：网络安全检测；高级持续性威胁；大数据分析；智能反馈；关联分析中图分类号：TP309.7 文献标识码：ADetecting APT attacks: a survey from theperspective of big data analysisFU Yu, LI Hong-cheng, WU Xiao-ping, WANG Jia-sheng（Department of Information Security, Naval University of Engineering, Wuhan 430033, China) Abstract: Advanced persistent threats have become the major threats of highly protected networks. Traditional detecting technologies were not able to find out APT attacks which were targeted, pretended and persistent. As a result, novel de-tecting technologies have become the hot topic in the field of APT defence. Firstly, concrete descriptions of the six phases of APT attacks were provided combined with typical technologies and theories of APT, the features of APT attacks were conduded. Secondly, the current research situation of frameworks defending APT was illustrated, and the research points and recent developments of four key technologies including anomalous detection of network flow, anomalous detection of malevolent codes, security events mining in social networks and correlation analysis of security events were analyzed.Finally, both the comprehensive defending framework and the detecting framework based on intelligent feedback were established, and the challenges and developing directions of detecting technologies in the process of dealing with APT attacks were pointed out.Key words: network security detection; advanced persistent threat; big data analysis; intelligent feedback; correlation analysis1引言在全球网络信息化程度高速发展的大背景下，具备隐蔽性、渗透性和针对性的高级持续性威胁（APT, advanced persistent threat）对各类高等级信息安全系统造成的威胁日益严重，针对特定目标的有组织的APT攻击日益增多，国家、企业的网络信息系统和数据安全面临严峻挑战[1~3]。

数据挖掘中的本体应用研究综述

数据挖掘这些年来被广泛应用和研究，比如在生物科学、
是同一概念。而文献Ｅ３，据挖掘被认为是ＫＤ的关２中数Ｄ
键步骤。Ｆａｙｄ将ＫＤ的过程分为以下几个步骤：ｒｙａＤ（）据选择。从数据库中选择与业务相关的目标数１数据。在大型数据库中，历所有数据是不现实且不明智遍
的。
（）２数据预处理。根据需要去除噪声。收集必要的信息用以建模和对噪声进行说明，据决策需要决定需要丢根弃的数据，据时间需要等等因素选择数据。根（）据转化。转换数据为数据挖掘工具所需的格３数
方法为混合本体方法。
在单本体中，用一个统一的本体 —— 全局本体来描采述所有的数据源。多本体方法对各个数据源采用一个局部本体来描述，样做的优点是在数据源发生增改和删除这
骤（）（）数据挖掘中也被认为是数据挖掘的准备工１一４在
作，此在本文中将数据挖掘与ＫＤＤ视为同一概念。因
１２本体．
本体方法、本体方法和混合方法（１。目前，用的多图）常
储打下了物质基础。
完全的、噪声的、糊的、有模随机的数据中，提取隐含在其中的、们事先不知道的、又是潜在有用的信息和知识人但的过程 ” ２０（０１年提出）后者是被广泛引用的数据挖掘定，义。数据挖掘定义的变化伴随着数据挖掘方法的研究深入而变化，在商务智能领域，据挖掘被定义为是对商业数

对抗攻击的检测及对策方法研究现状

对抗攻击的检测及对策方法研究现状随着互联网的快速发展和普及，网络安全问题日益引人关注。

网络攻击作为其中的重要问题，给个人、企业甚至国家的信息安全带来了严重的威胁。

为了有效对抗攻击行为，研究人员一直致力于探索各种检测和对策方法。

本文将对当前对抗攻击的检测及对策方法的研究现状进行综述。

一、对抗攻击的检测方法1. 基于行为分析的检测方法基于行为分析的检测方法通过分析网络流量、系统日志以及用户行为等多个角度来识别和检测攻击行为。

这些方法通常使用机器学习和数据挖掘技术，通过训练模型来区分正常行为和异常行为。

然而，这种方法在面对未知攻击时的准确率较低。

2. 基于特征分析的检测方法基于特征分析的检测方法通过提取网络流量、文件特征、恶意代码等攻击特征来进行检测。

这些方法可以利用黑白名单、模式匹配、规则引擎等技术进行攻击特征的识别和匹配。

然而，攻击者不断采取新的攻击手段，使得这种方法的适用性和准确性受到一定限制。

3. 基于协议分析的检测方法基于协议分析的检测方法通过深入分析网络协议的安全漏洞和攻击特征来进行检测。

这些方法可以通过对协议头和载荷进行检查、验证数据的合法性，从而发现潜在的攻击行为。

然而，由于协议复杂性和恶意攻击者的技术不断进化，该方法仍然存在许多挑战。

二、对抗攻击的对策方法1. 入侵检测与防御系统（IDS/IPS）入侵检测与防御系统（IDS/IPS）是当下最常见的对抗攻击的对策方法之一。

IDS可用于检测网络中的潜在攻击和漏洞，而IPS则在检测到攻击后，采取主动阻断措施来保护网络安全。

不过，随着攻击手段的不断提升和逃避技术的发展，IDS/IPS也存在一定的局限性。

2. 威胁情报共享机制威胁情报共享机制旨在促进网络安全领域的信息交流和合作，及时分享攻击行为的情报和防御策略。

通过建立信息共享平台和组织专家团队，能够快速获取最新的攻击情报，并采取相应的对策措施。

然而，由于涉及到信息的隐私和安全，威胁情报的共享和信任仍然是一个挑战。

数据挖掘技术在移动Ad Hoc网络入侵检测中的应用

［２］雷震洲．线通信发展走势Ｕ邮电设计技术，０１．无】．２０，７【】ＬｉｅＮｉｓｎＤ，ｏａｉＦＡ。ｓｅａｋｒＲａｉｔｒｓｎ【】．ｒｃｅｉｇ３ｅｒＢＭ，ｅｏＬＴｂｇＩｕｓｉＰｃｅｄｏＮｅｋＤｅｉＣＰｏｅｄｎｓｎｌｓｎｗｏｇ
时，若不针对具体的情况加以变化，则不一定产
、
（）事务数据库扫描次数过多，Ａｆｆ算法生预期的结果。传统的关联规则挖掘过程目的在１ｐｏｉｉ中每次由Ｃｋ得到Ｌｋ都需要再次对事务数据库于得到关联规则。
４
ＡＣＥＡＢＣＥ
ＢＥ
项集ＡＢ的支持计数为ＩＢ。ＭＡ］（）改进的Ａｒｒ算法思想二ｐｉｉｏ基于传统Ａｒｒ算法用于入侵检测系统存ｐｉｉｏ
在的问题，本文提出一种建立移动ＡｏｄＨｃ网络
图２改变结构后的事务数据库
节点的恶意行为难以检测、网络缺乏自稳定性移动Ａｅ网络通信产生的数据量太大而不可能ｄＨｏ
的特点，特别容易受到各种攻击，比传统的无全部存放在内存中的，扫描时数据需要频繁在主它线网络面临更多的安全威胁。同时也更难建立存与外存中进行数据交换。因而数据库扫描的开有效的防御措施。入侵检测技术作为保障移动销很大。对海量数据进行挖掘时，由于访问数据

软件工程数据挖掘存在的挑战与解决方案

软件工程数据挖掘存在的挑战与解决方案软件工程数据挖掘工作的最后阶段是将获取的挖掘信息呈现给所需用，下面是的一篇关于软件工程数据挖掘问题探究的，欢迎阅读借鉴。

数据挖掘技术既是在海量的数据当中将需求信息挖掘出来的过程[1].软件工程数据挖掘那么是数据挖掘技术在软件工程领域的重要应用[2].软件工程数据挖掘技术可以有效地提高软件的开发效率，增强软件的稳定性以及可用性，随着软件工程数据挖掘技术的不断提升，其应用范围更加的广泛[3].因此，对其的研究工作不仅具有重要的学术价值，更具有重大的实际应用价值。

本文重点探索软件工程数据挖掘技术面临的挑战以及将来的开展趋势。

(1)软件工程数据挖掘的必要性软件工程数据主要是指在软件开发阶段积累的相关数据，其中包括软件的可行性分析以及需求分析文本，软件的注释或者代码等等。

这些信息是软件开发者获取软件相关数据的唯一。

随着软件研发技术以及规模的不断提升，其中包括的软件工程数据也是成指数性增长。

例如：Linux操作系统软件，其仅代码一项就超过了500万行。

这在无形中增加了软件开发者获取软件相关数据的难度。

因此，借助于数据挖掘技术的软件工程信息搜索技术是十分必要的。

(2)软件工程数据挖掘任务及其过程一般来讲，软件工程的数据挖掘工作主要包括：a.软件数据的预处理。

这一过程主要是将未曾加工的数据变为便于挖掘出来的形式。

其主要涉及到不同以及格式数据的融合，进而转化成为统一格式的数据。

选取数据挖掘任务有关的数据记录，并对数据中的噪音以及重复值进展清理。

目前，数据挖掘的预处理技术主要采用的是LSA、PLSA、LDA等。

b.数据挖掘。

这一过程主要是要将海量数据中能够反映出软件本质或者规律的信息搜取出来。

其中运用了大量的算法。

输入的是构造规整的数据，而将关联、分类等信息模式进展输出，这些信息模式与挖掘任务有关。

c.结果评估。

这一过程的目的就是要是用户获得有用的信息。

主要包括提出信息质量不高的部分结果数据，以及将计算机处理以及理解的信息模式转换成为用户能够理解的信息模式，并传递给用户。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

数据挖掘和恶意软件检测黄宗文，16721539 2016-11-20

摘要: 由于计算机网络的发展以及恶意程序编码水平的提高，传统的恶意程序检测技术的不足已经越来越明显，很难满足人们对信息安全的需求。基于行为的恶意程序检测技术是利用恶意程序的特有行为特征来检测程序恶意性的方法，它能很好地检测未知恶意程序。这种恶意程序检测技术可以很好地适应恶意程序逐渐呈现的新特点，无疑具有巨大的优越性和广阔的发展空间，应该在今后相当长时间内代表着恶意程序检测技术的发展趋势。本文介绍了基于静态分析的恶意软件检测，和基于动态行为分析的恶意软件检测，并各自介绍了它们的优劣。

关键字：数据挖掘；恶意软件检测；特征提取；静态分析；动态行为分析；分类 Data mining and malware detection Abstract: With the development of computer network and improvement of malware programming, traditional malware detection methods seem obviously inadequate, failing to satisfy the need of people for information security. The malware detection based on behavior is a method which achieves detection through making use of the peculiar behavior features of malware. It does well in detecting the unknown malware. This malware detection technique could be adjusted to the emerging new features of malware, which has great superiority and broad space for development undoubtedly. Consequently, it could be the development tendency of malware detection in a long time. This article describes malware detection based of static analysis ,and malware detection based on dynamic behavior analysis ,and describes their pros and cons.

Key words: Data mining；Malware detection ; Feature extraction ;Static analysis ;Dynamic behavior analysis ;Classification 随着社会信息化程度的不断提高，工业、国防、教育、金融等社会各行各业的信息越来越依赖于计算机和互联网。然而频繁发生的网络安全事件给人们敲了安全警钟。计算机与网络安全问题正成为人类信息化所面临的巨大挑战，直接威胁着个人、企业和国家的利益。而目前计算机与网络安全的主要威胁隐患之一就是恶意程序。近年来，随着编程技术的普及，恶意程序制作的门槛逐步降低，恶意程序的制作呈现机械化、模块化和专业化特征。在恶意程序灰色产业链带来的巨大利益的驱使下，恶意程序产业正朝着规模化发展。恶意程序的爆炸式增长，在使企业及用户遭受到巨大的经济损失的同时，也给恶意程序分析人员带来了巨大的工作压力。传统的恶意程序分析技术已经远远不能满足新的安全需求。一方面，基于特征码的恶意程序分析技术，需要对每一个恶意程序的特征码进行提取，对于目前每天有成千上万的恶意程序产生的情况，提取特征码的工作量是巨大的且效率不高。另一方面，用户端需要定期的升级最新的病毒库，随着新恶意程序的爆炸式增长，病毒特征库的容量也要大幅增长，长此以往会拖累检测分析系统的速度。因此如何对新的恶意程序样本快速地进行检测和分类，已成为越来越多的专业计算机安全厂商所关注的焦点。

1恶意软件和检测的现状近年来，随着编程技术的普及，恶意程序制作的门槛逐步降低，恶意程序的制作呈现机械化、模块化和专业化特征。在恶意程序灰色产业链带来的巨大利益的驱使下，恶意程序产业正朝着规模化发展。从2008 年开始恶意程序大规模爆发，每年新增木马病毒等恶意程序数量级从数十万级跃升至千万级。 1

图 1 2003年至2010年间恶意软件的数量增加 Fig 1 Increased volume of malware from 2003 to 2010 自从恶意程序出现以来，恶意程序的检测技术一直是计算机安全领域关注的焦点。根据恶意程序分析工具技术模块不同，恶意程序检测方法通常分为静态和动态方法。在静态方法领域，2001 年，在文件二进制特征检测的基础上首次提出了基于数据挖掘的恶意程序检测方法[1]；之后，借鉴入侵检测、恶意程序检测与分类系统设计与实现中的常用方法，越来越多的研究集中在利用数据挖掘方法对恶意程序二进制文件信息进行学习建模，然后将学习到的模型用于未知恶意程序的检测。MihaiChristodorescu在恶意程序静态分析[2]方法上提出了使用有限状态机对恶意程序进行描述，并提取了一系列用于恶意程序匹配的状态转换图，取得了良好的效果。但是随着恶意程序制作人员的技术水平不断提高，恶意程序的加密、加壳、压缩等多态及变形技术的使用使得基于静态分析的方法变得越来越困难。随后Moser指出了基于恶意程序静态分析技术的缺陷，提出了一种基于行为特征的分析检测方法。因为恶意程序为了实现其恶意功能，在程序执行过程中总是会存在一系列异常的恶意行为。 2004 年，J.Xu等人在一次国际会议上的会议论文[3]中提出应用程序的API 调用序列大致反映了程序行为。因为应用程序通过API 调用获取系统服务和访问系统资源，所以分析API 调用可以间接地反映程序的行为。J.Xu等人基于此做了大量行为分析实验后提出了一种新的恶意程序检测方法：通过对比已知恶意程序和未知可疑程序的API 调用序列，并对两类API 调用序列做相似化度量分析，从而确定未知可疑程序的恶意程度。之后，R.Koike等人利用上述方法开发了一套可以自动检测未知恶意程序行为的系统[4]。由德国的曼海姆大学分布式系统实验室开发的CWSandbox是恶意程序行为检测技术发展过程中一个具有里程碑意义的产品，它不仅具有行为捕获能力，而且可以生成检测报告。CWSandbox引入了虚拟机技术，让可疑程序在虚拟环境中运行，从而避免了可疑程序可能造成的潜在危害。并且它采用了API hook 技术提取程序运行过程中API调用序列。CWSandBox论文有一个重要贡献，它清楚的用实验比较了用户态和内核态API hook 的优缺点。内核SSDT hook具有很高的检测率，不易被反检测技术侦测到；用户态hook 实现简单，具有较强的通用性和稳定性。CWSandBox采用了用户态inline hook 的方式的来采集程序行为特征。CWSandBox实验得知绝大多数恶意程序为了实现大量传播都是直接调用的标准Windows API，因此采用用后台inline hook的方式不会影响系统检测率。Anubis是一款基于开源模拟器QEMU 的优秀的恶意程序行为监控系统，TTAnalyze是其前身。该系统采用了与CWSandbox截然不同的技术原理，在QEMU 的虚拟机监控层拦截API 调用。该系统有全自动化，无需修改被监控程序源代码，使用全系统模拟器难以被恶意程序分检测等优点。但是Anubis 和CWSandBox仅仅是根据系统采集到的API数据生成程序行为报告提供给分析人员参考，并没有对采集到的行为进行深度挖掘。2009 年胡永涛等人发表的《Win32 环境下恶意代码行为分析实验及思考》[5]文章中，全面总结了Windows平台上35种恶意行为，采用Ring3级debug的方式来hook系统API，使

用支持向量机（SVM）算法做智能分析，实验检测率可达95%以上。单纯依靠主动防御的商业安全软 2

件的只能达到56.18%，可见采用智能算法对程序行为进行分析可以有效的提高检测率。 2恶意软件恶意软件是指在目标计算机上运行的，执行一系列攻击者蓄意安排的攻击操作，可以破坏程序和数据完整性、可用性和计算系统机密性的程序代码和指令集合，传统恶意软件包括木马、病毒、蠕虫和后门程序等。

2.1病毒计算机病毒的理论早在 1949 年被提出。最早的科学定义出现在Frederick Cohen 的博士论文“计算机病毒实验”中，他将计算机病毒定义为一种形式化的数学模型。简单的说，计算机病毒就是一种可以通过修改别的程序，将自身复制进其中，使其感染，以达到传染目的的计算机程序[6]。计算机病毒传染的特性和生物病毒类似，因此，它被命名为“computer virus”。计算机病毒的最重要特性就是传播性[7]，它可以通过被感染文件的复制或者执行，达到不同计算机之间的传播。另外病毒还可以通过其他类型的恶意软件，如网络蠕虫，进行不同计算机，甚至不同网络之间的传播。虽然病毒的主要特征是传播性，但是它们通常都包含很多恶意代码，这些恶意代码可以在计算机上执行命令，删除或破坏文件，终止进程或者进行别的破坏活动。

2.2 木马特洛伊木马的名字起源于古希腊传说中的特洛伊战争。它是这样的一种恶意软件：除了良性程序所具有的基本功能外，还有一些不易被发觉的破坏作用。通常它都伪装成一般的无害的程序，并欺骗用户去执行它，从而进行一些隐蔽的破坏行为，比如可以在被感染的机器上打开网络端口，使木马的创建者远程执行命令。和病毒，蠕虫不同的是，木马不会进行自我复制传播。它不需要修改或感染其他程序软件，而是安装一个独立的可执行程序[8]。最近一些报告都显示，木马已经成为最为常见的，影响最为广泛的恶意软件之一。

2.3蠕虫蠕虫是一种能够自我复制传播，并能够通过网络连接将其自身拷贝感染到其他计算机上的程序。蠕虫进入计算机后，一旦被激活，就会像计算机病毒那样开始工作，并寻找更多的计算机来进行感染，并且利用其它被感染的计算机，不断进行扩散。除了传播之外，它还会进行一些破坏活动，对计算机植入木马程序或者执行一些分裂性或者破坏性的活动。蠕虫可以进行网络传播，借助的工具包括电子邮件，远程执行，远程登录等等。另外，它与计算机病毒有一些相似之处，都分为潜伏，传播，触发，执行几个阶段。而与其不同的就是它具备通过网络传播的能力。