应用静态污点分析检测Android应用的隐私泄露漏洞会产生许多虚警，为此提出一种上下文敏感、路径敏感和域敏感的半自动程序分析方法，仅需遍历少量执行路径即可判定漏洞是否虚警。首先，运行插桩后的应用来获得一条覆盖Source和Sink的种子Trace。然后，应用基于Trace的污点分析方法来验证Trace中是否存在污点传播路径，是则表明漏洞真实存在；否则进一步收集Trace的条件集合和污点信息，结合活变量分析和基于条件反转的程序变换方法设计约束选择策略，以删除大部分与污点传播无关的可执行路径。最后，遍历剩余执行路径并分析相应Trace来验证漏洞是否虚警。基于FlowDroid实现原型系统，对DroidBench的75个应用和10个真实应用进行验证，每个应用平均仅需遍历15.09%的路径，虚警率平均降低58.17%。实验结果表明该方法可以较高效地减少静态分析结果的虚警。

Web程序的安全威胁主要是由外部输入未验证引发的安全漏洞,如数据库注入漏洞和跨站脚本漏洞,动态污点分析可有效定位此类漏洞。提出一种基于对象跟踪的动态分析方法,与现有动态方法跟踪字符和字符串对象不同,追踪所有可能被污染的Java对象。方法应用对象哈希值表示污点对象,定义方法节点和方法坐标记录污点传播时的程序位置,支持污点传播路径追踪,针对Java流对象装饰模式提出流家族污点传播分析。方法设计一种语言规范对Java类库中污点传播相关的方法集合以及用户自定义方法建模,按照污点引入、传播、验证和使用,对方法集分类后设计和形式化定义各类方法的污点传播语义。在SOOT平台实现对J2EE源码或字节码插桩框架,使用静态分析计算可达方法集以减少插桩规模,应用原型系统对真实网站的测试结果表明该方法可有效发现注入漏洞。

传统的入侵检测系统（IDS）由于其规则的抽象程度较低，导致一次攻击行为会产生大量重复和相关报警。研究表明，入侵场景可提供较高层次的抽象来表示攻击过程，但是已有研究方法均无法在线生成入侵场景。提出一种自动构建入侵场景的方法，将原始报警按照（源，目标）IP对和优先级分类成不同超报警序列集合，从中挖掘频繁闭序列作为入侵场景。在Darpa数据集上的实验表明，该方法可以满足在线运行，并可有效发现攻击过程。