应用静态污点分析检测Android应用的隐私泄露漏洞会产生许多虚警，为此提出一种上下文敏感、路径敏感和域敏感的半自动程序分析方法，仅需遍历少量执行路径即可判定漏洞是否虚警。首先，运行插桩后的应用来获得一条覆盖Source和Sink的种子Trace。然后，应用基于Trace的污点分析方法来验证Trace中是否存在污点传播路径，是则表明漏洞真实存在；否则进一步收集Trace的条件集合和污点信息，结合活变量分析和基于条件反转的程序变换方法设计约束选择策略，以删除大部分与污点传播无关的可执行路径。最后，遍历剩余执行路径并分析相应Trace来验证漏洞是否虚警。基于FlowDroid实现原型系统，对DroidBench的75个应用和10个真实应用进行验证，每个应用平均仅需遍历15.09%的路径，虚警率平均降低58.17%。实验结果表明该方法可以较高效地减少静态分析结果的虚警。

Web程序的安全威胁主要是由外部输入未验证引发的安全漏洞,如数据库注入漏洞和跨站脚本漏洞,动态污点分析可有效定位此类漏洞。提出一种基于对象跟踪的动态分析方法,与现有动态方法跟踪字符和字符串对象不同,追踪所有可能被污染的Java对象。方法应用对象哈希值表示污点对象,定义方法节点和方法坐标记录污点传播时的程序位置,支持污点传播路径追踪,针对Java流对象装饰模式提出流家族污点传播分析。方法设计一种语言规范对Java类库中污点传播相关的方法集合以及用户自定义方法建模,按照污点引入、传播、验证和使用,对方法集分类后设计和形式化定义各类方法的污点传播语义。在SOOT平台实现对J2EE源码或字节码插桩框架,使用静态分析计算可达方法集以减少插桩规模,应用原型系统对真实网站的测试结果表明该方法可有效发现注入漏洞。

多态蠕虫特征提取是基于特征的入侵检测的难点，快速提取出精确程度更高的多态蠕虫特征对于有效防范蠕虫的快速传播有着重要的作用。针对层次式的多序列匹配(HMSA)算法进行多序列比对的时间效率较低和由迭代方法提取出的特征不够精确等问题，提出了基于改进蚁群算法的多态蠕虫特征提取方法antMSA。该方法首先对蚁群的搜索策略进行了相应的改进，并将改进后的蚁群算法引入到奖励相邻匹配的全局联配(CMENW)算法中，利用蚁群算法快速收敛能力，在全局范围内快速生成较好解，提取出多态蠕虫的特征片段；然后将其转化为标准入侵检测系统(IDS)规则，用于后期防御。实验表明，改进后的蚁群算法能够较好地克服基本蚁群算法的停滞现象，扩大搜索空间，能够有效提高特征提取的效率和质量，降低误报率。

针对传统建模容易引入不可信样本的问题，提出了一种自适应建立基于Web攻击异常检测模型的方法。依据样本中Request-URL的结构特征对样本集进行分类，并利用样本的各属性来构造样本分类子集的离散性函数，其中离散程度值将作为识别正常行为集的依据；在此基础上，使用改进的隐马尔可夫模型(HMM)算法对正常行为样本集进行建模，并利用HMM合并的方法实现检测模型的动态更新。实验结果表明，所提方法建立的模型能够有效地识别出Web攻击请求，并降低检测的误报率。

多尺度Gabor特征的维数和数据量过大，不适合在ARM板上直接实现完成。利用计算每个尺度Gabor特征不确定度并采用加权融合的方法，很好地解决了图像维数和数据量过大的难点。加权融合过程包括多尺度Gabor特征的提取、不确定度权值的计算和加权融合过程；同时使用了类Haar特征提取人脸、利用二维主成分分析(2DPCA)对人脸图像进行降维。基于EELiod 270嵌入式开发平台，使用ORL和Yale图像库对该方法进行了测试，并与其他人脸识别算法进行比较。结果显示，在保证识别率的同时，算法运算量大幅度下降，且实时识别效果良好。

提出了一种非迭代Apriori算法，无需多次扫描事务数据库，使用一步交集操作处理同一时间段的网络数据包，通过挖掘各数据包之间的强关联规则，可较快检测分布式拒绝服务（DDoS）攻击。与现有算法相比，检测DDoS攻击的时间和空间性能较优。在DARPA数据集上的实验结果表明应用该算法能有效检测DDoS攻击。

设计并实现了一套静态检测多态溢出攻击代码的方法，首先应用抽象执行思想构造控制流图，使用符号执行方法并结合Taint分析来检测攻击载荷，最后识别指定长度的填充字段来辅助检测。实验结果表明，该方法可准确识别网络数据中的多态溢出攻击代码。

在众多的关联规则挖掘算法中,Apriori算法是最为经典的一个，但Apriori算法有以下缺陷：需要扫描多次数据库、生成大量候选集以及迭代求解频繁项集。提出了一种一步交集操作得到最大频繁项目集的方法。支持度由交集的次数得到而无需再去扫描事务数据库，将其中一些属性进行编号能减少存储空间且方便搜索候选集列表，从而提高算法的效率。最后针对入侵检测系统形成关联规则。实验结果表明，优化后的算法能有效地提高关联规则挖掘的效率。

传统的入侵检测系统（IDS）由于其规则的抽象程度较低，导致一次攻击行为会产生大量重复和相关报警。研究表明，入侵场景可提供较高层次的抽象来表示攻击过程，但是已有研究方法均无法在线生成入侵场景。提出一种自动构建入侵场景的方法，将原始报警按照（源，目标）IP对和优先级分类成不同超报警序列集合，从中挖掘频繁闭序列作为入侵场景。在Darpa数据集上的实验表明，该方法可以满足在线运行，并可有效发现攻击过程。

提出了一种基于遗传聚类算法对入侵检测系统（IDS）报警进行聚合的方法。将报警间属性的相异程度转换到值域区间[0.0，1.0]上，两报警间的相异程度用一个相异度矩阵表示；利用遗传算法的自适应优化特性选取较优的聚类中心，根据报警间的相异度矩阵将相似的报警进行聚类；在此基础上，分别对每一类中的报警采用凝聚层次的聚合方法进行聚合。实验结果证明，该方法能够有效地减少重复报警。

基于关联和代理的分布式入侵检测模型，提出了一种分布式入侵检测系统的通信机制设计方案。其中通信Agent间的消息交换格式参照IDMEF标准，给出其消息内容详细设计，并根据需求扩充了警报数据XML描述；汇聚点通信Agent中使用基于subscription通信模式减少了系统的通信开销，具体描述了subscription的逻辑结构实现；还在通信机制中采用SSL技术较好解决了数据传输的安全问题。

如何聚合来自不同IDS的报警以减少重复报警是分布式IDS研究的重要问题。设计了一种入侵检测消息交换格式(IDMEF)报警消息格式规范，通过对IDMEF数据模型中的Alert类扩展而成，可统一描述不同IDS上报的报警信息。为有效聚合IDMEF报警，对基于分类和相似度的原始报警聚合算法进行了改进，并在Snort平台上实现了报警聚合模块原型和IDMEF报警生成模块原型。在DARPA99数据集上的实验结果证明了该方案的有效性。

提出了一种分布式IDS系统模型，其采集单元基于已有集中式IDS，仅增加后台信息转换组件，将其告警信息转换为标准的IDMEF格式；数据分析单元基于各种已有关联算法，对各集中式IDS上报的IDMEF信息进行关联和汇聚；采集单元和分析单元采用自治Agent实现；节点间信息的传递基于订阅的模式。使用该模型能较为迅速并经济地搭建一个性能良好的分布式IDS系统。

提出一种报警聚合方法，将所有报警按攻击类别分为四类，不同报警属性根据其值的特点分为四类，在此基础上采取不同的属性相似度计算方法，设置不同的期望阈值，可通过外部接口在运行时动态调整阈值。属性相似度结果依据不同分类在最后结果中占据不同权重，聚合判决依赖于所有相似度的加权平均结果，聚合结果取决于具有最大相似度的超报警是否大于给定的阈值。实验结果表明，本算法能有效减少重复告警。