Аннотация:Данная работа посвящена созданию прототипа средства обна- ружения полиморфного шеллкода в сетевом трафике на основе вы- явления сходства с известным шеллкодом. В работе приведён обзор существующих способов обнаружения шеллкода и сетевых червей в сетевом трафике. Предложен метод обнаружения полиморфного шеллкода на основе некоторого множества известных вредоносных образцов. Идея метода состоит в последовательном применении деобфусцирующих преобразований с последующим обнаружением сходства с имеющимися вредоносными образцами. Метод проте- стирован с использованием Metasploit Framework версии 4.1.0, а также обфускатора PELock, и показывает точность порядка 87% при отсутствии ошибок второго рода.