蠕虫传播检测——本质上是内网横向渗透检测

蠕虫传播攻击特点：内网主机感染蠕虫后，会在内网进行大面积扩散，伴随着扫描行为。

因为使用扫描检测，并基于扫描事件的相似性（端口、扫描频率、扫描报文字节数、扫描的时间）可以检测蠕虫传播。