楊雪華，于 澗，李鴻彬

（1.沈陽(yáng)師范大學(xué)教育技術(shù)學(xué)院，沈陽(yáng) 110034；2.中國(guó)科學(xué)院沈陽(yáng)計(jì)算技術(shù)研究所，沈陽(yáng) 110168）

一種面向SIP洪泛攻擊的檢測(cè)方法

楊雪華1，于 澗1，李鴻彬2

（1.沈陽(yáng)師范大學(xué)教育技術(shù)學(xué)院，沈陽(yáng) 110034；2.中國(guó)科學(xué)院沈陽(yáng)計(jì)算技術(shù)研究所，沈陽(yáng) 110168）

針對(duì)SIP洪泛攻擊檢測(cè)與防御的研究現(xiàn)狀，結(jié)合SIP洪泛攻擊的流量和SIP用戶(hù)的實(shí)際環(huán)境特點(diǎn)，提出了一種基于泊松分布的自適應(yīng)網(wǎng)絡(luò)環(huán)境變化的檢測(cè)方法，包括參數(shù)初始化、基于概率密度的檢測(cè)機(jī)制和SIP消息過(guò)濾器。根據(jù)泊松分布和正態(tài)分布建立請(qǐng)求消息數(shù)目模型，利用概率密度和檢測(cè)因子建立檢測(cè)機(jī)制可信度，SIP消息過(guò)濾器利用指數(shù)加權(quán)移動(dòng)平均（EWMA）機(jī)制解決因?yàn)榫W(wǎng)絡(luò)環(huán)境的變化導(dǎo)致檢測(cè)效率下降問(wèn)題。模擬實(shí)際的SIP網(wǎng)絡(luò)環(huán)境進(jìn)行建模，采用SIP模擬呼叫器發(fā)起不同概率的呼叫模擬不同的網(wǎng)絡(luò)狀況。實(shí)驗(yàn)結(jié)果表明，設(shè)計(jì)的方法能夠?qū)崟r(shí)地檢測(cè)SIP洪泛攻擊，有效地改善針對(duì)不同時(shí)間段的SIP洪泛攻擊的檢測(cè)效率，適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境。

會(huì)話(huà)初始協(xié)議；SIP洪泛攻擊；泊松分布；檢測(cè)模型

0 引 言

隨著下一代網(wǎng)絡(luò)的發(fā)展，SIP信令控制協(xié)議因其簡(jiǎn)單易用性已成為VoIP、IMS、IPTV的核心協(xié)議［1］，同時(shí)ETSI及ITU－T定義的NGN架構(gòu)中也都采用了SIP。SIP用于解決IP網(wǎng)絡(luò)中的信令控制，負(fù)責(zé)會(huì)話(huà)的建立、修改和終止等多方參與的多媒體會(huì)話(huà)［2－3］，由于SIP工作在開(kāi)放式的因特網(wǎng)環(huán)境，不僅接受來(lái)自傳統(tǒng)網(wǎng)絡(luò)攻擊的挑戰(zhàn)，還要應(yīng)對(duì)專(zhuān)門(mén)針對(duì)SIP的攻擊［4］。在IMS網(wǎng)絡(luò)的安全威脅分析中，DoS攻擊已成為融合網(wǎng)絡(luò)考慮的首要安全問(wèn)題。美國(guó)標(biāo)準(zhǔn)與技術(shù)研究院NIST已將DoS攻擊作為VoIP網(wǎng)絡(luò)架構(gòu)中一種嚴(yán)重安全威脅［5］。

SIP洪泛攻擊是SIP DoS攻擊的一種主要攻擊方式，包括單源洪泛攻擊和分布式洪泛攻擊。Iancu等［6］提出了一種基于主機(jī)包速率限制的DoS洪泛攻擊減輕方法，Reynolds等［7］提出了一種采用CUSUM（累計(jì)和）算法檢測(cè)SIP會(huì)話(huà)的單源DoS洪泛攻擊的檢測(cè)機(jī)制，Rebahi等［8－9］提出基于變化點(diǎn)檢測(cè)的CUSUM算法，F(xiàn)ang-Yie Leu等［10］提出利用卡方統(tǒng)計(jì)來(lái)檢測(cè)DoS和DDoS攻擊，這些檢測(cè)機(jī)制都需要設(shè)置靜態(tài)閾值產(chǎn)生正確的告警信息，不能解決動(dòng)態(tài)閾值設(shè)置和適應(yīng)實(shí)際的復(fù)雜的網(wǎng)絡(luò)環(huán)境。而Sengar等［11］提出基于海林格距離計(jì)算算法的洪泛檢測(cè)方法，閾值可以自動(dòng)調(diào)整，但沒(méi)有提供減輕洪泛攻擊的方法。Chen等［12－13］提出的基于SIP狀態(tài)機(jī)的洪泛檢測(cè)和防御機(jī)制，可以處理多源攻擊，但是減輕機(jī)制和系統(tǒng)設(shè)置洪泛攻擊的閾值有關(guān)。Bouzida等［14］提出了一種基于決策樹(shù)的入侵檢測(cè)模型，用于決策樹(shù)訓(xùn)練的數(shù)據(jù)集對(duì)結(jié)果有很大影響，而且訓(xùn)練、學(xué)習(xí)過(guò)程需要消耗大量的系統(tǒng)資源。

從以上分析可以看出，針對(duì)SIP DoS攻擊當(dāng)前主要有3種方法：靜態(tài)閾值機(jī)制、狀態(tài)機(jī)模型、特征統(tǒng)計(jì)和模式分類(lèi)技術(shù)。通過(guò)靜態(tài)閾值機(jī)制容易實(shí)現(xiàn)，但是存在具體的網(wǎng)絡(luò)環(huán)境的閾值選擇問(wèn)題。對(duì)于狀態(tài)機(jī)模型而言，需要維持SIP事務(wù)狀態(tài)，并且檢測(cè)速度慢。對(duì)于模式分類(lèi)技術(shù)，需要訓(xùn)練模型的充分性。利用統(tǒng)計(jì)特征進(jìn)行檢測(cè)，需要統(tǒng)計(jì)特征和相關(guān)參數(shù)值的選取，并且需要專(zhuān)業(yè)知識(shí)。針對(duì)以上情況，本文從實(shí)際應(yīng)用出發(fā)，結(jié)合用戶(hù)在網(wǎng)絡(luò)環(huán)境中實(shí)際流量的特點(diǎn)，基于泊松分布的檢測(cè)機(jī)制，并利用指數(shù)加權(quán)移動(dòng)平均（EWMA）方法解決自適應(yīng)網(wǎng)絡(luò)環(huán)境的變化導(dǎo)致檢測(cè)效率下降問(wèn)題，并設(shè)計(jì)相應(yīng)的實(shí)驗(yàn)，對(duì)該機(jī)制進(jìn)行驗(yàn)證。實(shí)驗(yàn)結(jié)果表明該機(jī)制可以有效地改善針對(duì)不同時(shí)間段的SIP洪泛攻擊的檢測(cè)效率，適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境。

1 相關(guān)知識(shí)

1.1 SIP洪泛攻擊

在正常的SIP會(huì)話(huà)過(guò)程中，通信雙方通過(guò)INVITE、200OK、ACK三次握手完成會(huì)話(huà)的建立過(guò)程，并利用SIP消息體中的SDP會(huì)話(huà)參數(shù)的協(xié)商，建立媒體的傳輸過(guò)程，最后通過(guò)BYE消息結(jié)束當(dāng)前的會(huì)話(huà)。但是對(duì)于SIP洪泛攻擊，并不能建立真正的SIP會(huì)話(huà)。SIP洪泛攻擊的攻擊者主要向SIP注冊(cè)服務(wù)器或SIP代理服務(wù)器發(fā)送大量的REGISTER、INVITE消息，這樣會(huì)導(dǎo)致SIP注冊(cè)服務(wù)器或SIP代理服務(wù)器在生成nonce時(shí)需要進(jìn)行大量的MD5運(yùn)算，消耗它們的CPU和內(nèi)存資源，它們需要對(duì)返回的響應(yīng)消息進(jìn)行重傳，更加重了服務(wù)器的負(fù)擔(dān)。攻擊者對(duì)服務(wù)器返回的消息主要有3種處理方式：

1）只發(fā)送大量的INVITE消息，并不進(jìn)行后續(xù)的響應(yīng)，同時(shí)攻擊者可以偽造源IP地址，這樣將導(dǎo)致對(duì)攻擊的追蹤變得比較困難。

2）發(fā)送大量的INVITE消息和ACK消息，導(dǎo)致服務(wù)器的等待時(shí)間變長(zhǎng)，這樣將消耗服務(wù)器的內(nèi)存資源。

3）發(fā)送大量的INVITE、ACK和虛假身份認(rèn)證信息，服務(wù)器需要對(duì)錯(cuò)誤的認(rèn)證信息進(jìn)行復(fù)雜的MD5運(yùn)算，進(jìn)一步消耗服務(wù)器的計(jì)算資源。

1.2 SIP流量分析

對(duì)于泊松分布而言，λ越小，分布越偏，然而，隨著λ的增大分布趨于對(duì)稱(chēng)，當(dāng)λ＝20時(shí)近似正態(tài)分布，λ＝50時(shí)可認(rèn)為分布呈正態(tài)分布N（λ，λ），對(duì)于一個(gè)SIP代理在一段時(shí)間內(nèi)收到的呼叫次數(shù)n＞20成立，可以將之轉(zhuǎn)化為較為熟悉的正態(tài)分布分析一段時(shí)間內(nèi)到達(dá)SIP代理的呼叫次數(shù)，對(duì)于SIP呼叫可以用INVITE消息數(shù)目代替。

2 SIP flooding的檢測(cè)方法

正常情況下SIP代理收到的INVITE消息數(shù)目服從泊松分布P（λ），當(dāng)λ＞20時(shí)可用正態(tài)分布描述INVITE消息數(shù)目的分布。SIP flooding攻擊是在短時(shí)間內(nèi)發(fā)送大量SIP請(qǐng)求（INVITE消息），通過(guò)耗盡受害者的資源來(lái)達(dá)到拒絕服務(wù)攻擊的目的。SIP flooding攻擊的動(dòng)力就是發(fā)送大量的消息，無(wú)論是單源，還是分布式的flooding攻擊都要通過(guò)發(fā)送大量SIP消息來(lái)達(dá)到攻擊目的，因此當(dāng)有flooding發(fā)生時(shí)，一定會(huì)引起SIP代理收到的INVITE消息數(shù)目的分布異常，與正常的分布產(chǎn)生較大的偏離，基于這一點(diǎn)給出如下的檢測(cè)方法。

2.1 初始化參數(shù)工作過(guò)程

首先，維持一個(gè)size大小的時(shí)間序列滑動(dòng)窗口，該窗口中每個(gè)區(qū)間的長(zhǎng)度為Δt，每個(gè)Δt時(shí)間段內(nèi)收到的INVITE消息數(shù)目為mi，根據(jù)第一節(jié)的分析可知，INVITE消息數(shù)目服從泊松分布P（λ），按照矩估計(jì)法，用樣本均值ˉm去估計(jì)λ，樣本公式如（1）所示。

根據(jù)獲得的泊松分布參數(shù)λ，利用正態(tài)分布N（λ，λ）去建立INVITE消息數(shù)目的模型。

2.2 檢測(cè)機(jī)制

對(duì)下一個(gè)Δt內(nèi)INVITE消息數(shù)目mi，利用正態(tài)分布N（λ，λ）計(jì)算其概率密度f(wàn)（mi），概率密度公式如（2）所示。

利用檢測(cè)因子α（0＜α＜1），對(duì)該Δt內(nèi)是否發(fā)生攻擊進(jìn)行檢測(cè)，若f（mi）／f（λ）＜α，則報(bào)警發(fā)生flooding攻擊。α因子表示系統(tǒng)對(duì)flooding攻擊檢測(cè)的靈敏度，α越大系統(tǒng)的靈敏度越高，誤報(bào)率越高，反之則漏報(bào)率會(huì)越高。檢測(cè)因子α選取，f（x）＝αf（λ）且（x＞λ）其中x為invite消息數(shù)目的臨界值，可以獲得該檢測(cè)機(jī)制的可信度為公式（3）所示。

其中f（x）為概率密度函數(shù)，顯然α越小，可信度越高，漏報(bào)率越高。

2.3 SIP消息過(guò)濾器

由于實(shí)際的SIP環(huán)境中，INVITE消息數(shù)目雖然服從泊松分布，但是消息數(shù)目的變化可能引起參數(shù)的改變，因此需要一種自學(xué)習(xí)的機(jī)制，去適應(yīng)這種變化，本文利用指數(shù)加權(quán)移動(dòng)平均（EWMA）方法，用未報(bào)警Δt內(nèi)INVITE消息數(shù)目去進(jìn)行更新當(dāng)前的參數(shù)，更新方法如公式（4），（5）和（6）所示。

其中λ′為更新后的參數(shù)，λ為更新之前的參數(shù)，ˉm為當(dāng)前窗口內(nèi)INVITE消息的平均數(shù)，β為EWMA因子，用當(dāng)前Δt內(nèi)INVITE消息數(shù)目的概率密度與未更新前的參數(shù)λ處的概率密度比值作為EWMA因子，β代表了當(dāng)前Δt對(duì)正常分布的偏離程度，β越大則偏離越小。對(duì)于SIP代理而言，用戶(hù)正常行為引起的流量變化（如白天與夜間用戶(hù)發(fā)起呼叫的概率變化）并不像SIP flooding那樣產(chǎn)生急劇的變化，因此更新機(jī)制能夠去自動(dòng)適應(yīng)用戶(hù)正常行為引起的變化。

2.4 SIP flooding攻擊產(chǎn)生

SIP flooding攻擊是惡意攻擊者通過(guò)在短時(shí)間內(nèi)發(fā)送大量的INVITE請(qǐng)求消息導(dǎo)致服務(wù)不可用，可以通過(guò)單源，分布式兩種方式產(chǎn)生。在本文檢測(cè)機(jī)制中，只是利用INVITE消息數(shù)目而不考慮INVITE消息的其他信息，故對(duì)于兩種攻擊方式都適用，主要關(guān)注對(duì)不同速率的攻擊檢測(cè)的準(zhǔn)確性。

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)對(duì)實(shí)際的SIP網(wǎng)絡(luò)環(huán)境進(jìn)行建模，將設(shè)計(jì)的檢測(cè)方法以模塊的方式內(nèi)嵌到OPENSIPS 1.7.2版本［16］中進(jìn)行試驗(yàn)驗(yàn)證。通過(guò)設(shè)置的模擬環(huán)境參數(shù)如下：SIP代理上的用戶(hù)數(shù)目為N＝4500，分為K＝4類(lèi)用戶(hù)，他們的數(shù)目分別為1000、2000、1000、500，發(fā)起呼叫的概率為0.01、0.03、0.05、0.1，取Δt＝1s（用戶(hù)在1s不可能發(fā)起2次呼叫）。為了測(cè)試該檢測(cè)方法的自適應(yīng)能力，通過(guò)改變用戶(hù)發(fā)起呼叫的概率來(lái)實(shí)現(xiàn)。比如在白天大部分用戶(hù)相對(duì)于晚上發(fā)起呼叫的概率要高，少部分用戶(hù)可能晚上發(fā)起呼叫的概率要高。用戶(hù)的這種行為是可以通過(guò)逐漸修改其發(fā)起呼叫的概率實(shí)現(xiàn)，本次實(shí)驗(yàn)中在晚上對(duì)前3類(lèi)用戶(hù)逐漸減小其呼叫概率至0.004、0.01、0.1，將第四類(lèi)用戶(hù)的呼叫概率逐漸提升至0.03，根據(jù)實(shí)驗(yàn)設(shè)置在白天用戶(hù)的平均呼叫次數(shù)約為125，晚上的約為49，圖1中給出了實(shí)驗(yàn)?zāi)M1000s內(nèi)得到的概率分布密度，其中橫坐標(biāo)表示模擬的時(shí)間，從0到1000s，縱坐標(biāo)表示概率分布密度值。發(fā)起攻擊的參數(shù)見(jiàn)表1。

表1 攻擊參數(shù)

圖1 概率分布密度

從圖1中可以看出，正常情況下，SIP invite消息數(shù)目的概率密度分布有一定的波動(dòng)，但是穩(wěn)定在一定的范圍內(nèi)，最大不超過(guò)f（λ），λ為當(dāng)前的分布參數(shù)。λ越大則根據(jù)分布密度計(jì)算公式，分布密度值越小，當(dāng)λ較小時(shí)，從圖1中可以看出分布密度的波動(dòng)越大，但是此時(shí)分布密度的最大值越大，對(duì)檢測(cè)結(jié)果的影響可以忽略。圖1中可以看出，對(duì)于表中發(fā)動(dòng)的四次攻擊，都導(dǎo)致了分布密度的明顯減小，通過(guò)OPENSIPS中檢測(cè)模塊的檢測(cè)因子a參數(shù)根據(jù)檢測(cè)的準(zhǔn)確率進(jìn)行動(dòng)態(tài)調(diào)整，能夠?qū)IP DoS攻擊進(jìn)行更加準(zhǔn)確地檢測(cè)。

用戶(hù)進(jìn)行SIP呼叫的概率從設(shè)置的180s左右開(kāi)始逐漸減小。在這個(gè)過(guò)程中，系統(tǒng)能夠適應(yīng)這個(gè)變化過(guò)程，并未引起分布密度的急劇減小。系統(tǒng)在380s左右開(kāi)始穩(wěn)定在另外一個(gè)狀態(tài)，可見(jiàn)系統(tǒng)對(duì)SIP代理環(huán)境的變化體現(xiàn)出了很強(qiáng)的適應(yīng)能力。

SIP flooding攻擊的產(chǎn)生，每隔50～150s發(fā)送一次攻擊，一共發(fā)送100次攻擊，統(tǒng)計(jì)本文提出的檢測(cè)機(jī)制的準(zhǔn)確率與誤報(bào)率。攻擊產(chǎn)生INVITE的速率從100～500，對(duì)于每種速率都發(fā)送100次攻擊進(jìn)行檢測(cè)，檢測(cè)結(jié)果參見(jiàn)表2和表3。

表2 SIP flooding攻擊檢測(cè)結(jié)果（α＝0.6）

表3 SIP flooding攻擊檢測(cè)結(jié)果（α＝0.5）

3.2 實(shí)驗(yàn)結(jié)果

根據(jù)SIP代理平均呼叫數(shù)目以及最大承受能力，對(duì)flooding攻擊的承受能力考慮，能力越大α可選取越小的值，α的值需要權(quán)衡漏報(bào)率和誤報(bào)率進(jìn)行選擇。

從實(shí)驗(yàn)結(jié)果中可以看出，通過(guò)一種基于泊松分布的自適應(yīng)網(wǎng)絡(luò)環(huán)境變化的檢測(cè)方法，可以有效地改善針對(duì)不同時(shí)間段的SIP洪泛攻擊的檢測(cè)效率，并能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境。

4 結(jié) 論

利用一種基于基于泊松分布的檢測(cè)方法能夠有效地檢測(cè)SIP洪泛攻擊，但是檢測(cè)性能需要進(jìn)一步優(yōu)化。在未來(lái)的研究工作中將繼續(xù)優(yōu)化算法并在內(nèi)核層實(shí)現(xiàn)來(lái)提高檢測(cè)的效率，并提高系統(tǒng)檢測(cè)的實(shí)時(shí)性。總之，設(shè)計(jì)的檢測(cè)方法為基于SIP的入侵檢測(cè)和防御系統(tǒng)針對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境變化的檢測(cè)有一定的借鑒意義和參考價(jià)值。

［1］3GPP.IP Multimedia Subsystem（IMS）［EB／OL］.（2010-09-01）［2012-09-07］.http：∥www.quintillion.co.jp／3GPP／Specs／23228-940.pdf.

［2］ROSENBERG J，SCHULZRINNE G，CAMARILLO A，et al.Session Initiation Protocol［EB／OL］.（2002-06-01）［2012-09-07］.http：∥www.ietf.org／rfc／rfc3261.txt.

［3］楊雪華，李鴻彬.基于P2P的SIP系統(tǒng)體系結(jié)構(gòu)的研究［J］.沈陽(yáng)師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2012，30（2）：222-226.

［4］GENEIATAKIS D，KAMBOURAKIS G，DAUIUKLAS T，et al.SIP security mechanisms：A state-of-the-art review［G］∥Proceedings of 5th international network conference（INC 2005）.New York：ACM press，2005：147-155.

［5］JACOBSEN V，LERES C.Tcpdump ＆libpcap［EB／OL］.（2011-07-24）［2012-09-07］.http：∥www.tcpdump.org.

［6］VAPNIK V.An overview of statistical learning theory［J］.IEEE Transactions，Neural Network，2009，10（5）：988-999.

［7］REYNOLDS B，GHOSAL D.Secure IP Telephony using Multi-layered Protection［G］∥Annual Network and Distributed ISystem Security Symposium.San Diego：IEEE Computer Society Press，2003：534-538.

［8］REBAH Y.Change-Point Detection for Voice over IP Denial of Service Attacks［G］∥ITG／GI-Fachtagung Kommunikation in Verteilten Systemen.Bern：IEEE Computer Society Press，2007：674-788.

［9］REBAHI Y，SHER M，MAGEDANZ T.Detecting Flooding Attacks Against IP Multimedia Subsystem（IMS）Networks［G］∥ACS／IEEE International Conference on Computer Systems and Applications（AICCSA-08）.Doha：IEEE Computer Society Press，2008：1388-1394.

［10］LEU FANG YIE，PAI CHIA CHI.Detecting DoS and DDoS Attacks using Chi-Square［G］∥International Conference on Information Assurance and Security.Xi'an：IEEE Computer Society Press，2009：255-258.

［11］HEMANT S，Haining W，Duminda W，et al.Detecting VoIP floods using the hellinger distance［J］.IEEE Transactions on Parallel and Dis-tributed Systems，2008，19（10）：794-805.

［12］李鴻彬，雷為民.基于SIP的VoIP安全測(cè)試工具的研究［J］.小型微型計(jì)算機(jī)系統(tǒng)，2010，31（10）：2017-2023.

［13］李鴻彬，林滸，呂昕等.抵御SIP分布式洪泛攻擊的入侵防御系統(tǒng)［J］.計(jì)算機(jī)應(yīng)用，2011，31（10）：2660-2664.

［14］BOUZIDA Y，MANGIN C.A framework for detecting anomalies in VoIP networks［G］∥Third International Conference on Availability，Reliability and Security.Barcelona：IEE Computer Society Press，2008：436-441.

［15］楊國(guó)良.國(guó)際VoIP流量特征分析［J］.電信科學(xué)，2007，23（6）：7-16.

［16］ANDREI B，KELLY P.Open SIP express router［EB／OL］.（2012-02-22）［2012-09-07］.http：∥www.opensips.org.

Detection method against SIP flooding attacks

YANG Xuehua1，YU Jian1，LI Hongbin2

（1.College of Educational Technology，Shenyang Normal University，Shenyang 110034，China；
2.Shenyang Institute of Computing Technology，Chinese Academy of Science，Shenyang 110168，China）

According to the research of SIP flooding attack detection and defense，combining traffic characteristics of SIP flooding attacks and the actual network environment characteristics of SIP user agent，a detection method for adaptive network environment changes based on Poisson distribution was proposed，which was made up by initialization parameters，detection mechanism based on probability density and SIP messages filter.A model of request messages numbers was established according to Poisson distribution and normal distribution，a detection mechanism credibility was proposed and SIP messages filter made use of weighted moving average（EWMA）mechanism was set to solve the problem for the detection efficiency declining because of actual network environment.The actual SIP network environment was simulated，in which SIP call simulator launched a different probability call to simulate different network conditions.Experimental results show that this method can effectively improve the detection efficiency about different time periods against SIP flooding attacks，and it can real－time detect SIP flooding attacks，improve effectively the detection efficiency for SIP flooding attack of the different time periods and adapt to the complex network environment against SIP flooding attacks.

Session Initiation Protocol；SIP flooding attacks；Poisson distribution；detection module

TP393.2

A

10.3969／j.issn.1673-5862.2013.02.032

1673-5862（2013）02-0272-05

2012-10-11。

遼寧省教育科學(xué)“十二五”規(guī)劃立項(xiàng)課題（JG11DB274）。

楊雪華（1978-），女，遼寧蓋州人，沈陽(yáng)師范大學(xué)講師，碩士。