邵秀麗，蔣鴻玲，耿梅潔，李耀芳

(1. 南開大學信息技術(shù)科學學院，天津 3 00071；2. 天津城建大學計算機與信息工程學院，天津 30038 4)

基于關(guān)聯(lián)關(guān)系和MapReduce的僵尸網(wǎng)絡(luò)檢測

邵秀麗1，蔣鴻玲1，耿梅潔1，李耀芳2

(1. 南開大學信息技術(shù)科學學院，天津 3 00071；2. 天津城建大學計算機與信息工程學院，天津 30038 4)

現(xiàn)有僵尸網(wǎng)絡(luò)檢測方法的計算量較大，導致檢測效率低，而云計算的強大數(shù)據(jù)處理和分析能力為僵尸網(wǎng)絡(luò)的檢測提供了新的思路和解決方案。為此，設(shè)計并實現(xiàn)一種基于MapReduce模型的并行僵尸網(wǎng)絡(luò)檢測算法，基于云協(xié)同和流間關(guān)聯(lián)關(guān)系對僵尸網(wǎng)絡(luò)進行檢測。提取流間關(guān)聯(lián)關(guān)系，將具有關(guān)聯(lián)關(guān)系的流聚集到同一個集合中，計算主機的分數(shù)，若分數(shù)大于閾值則判斷為可疑的僵尸主機。實驗結(jié)果表明，該算法對P2P僵尸網(wǎng)絡(luò)的檢測率能夠達到90%以上，誤報率控制在4%以下，并且隨著云服務(wù)器端計算節(jié)點的增多，其處理云客戶端上傳數(shù)據(jù)及檢測僵尸網(wǎng)絡(luò)的效率更高。

僵尸網(wǎng)絡(luò)；云計算；關(guān)聯(lián)關(guān)系；MapReduce模型；Hadoop云平臺

1 概述

僵尸網(wǎng)絡(luò)的日益健壯和隱蔽導致對其檢測難度加大，而網(wǎng)速的加速則造成流量數(shù)據(jù)越來越多，導致檢測僵尸網(wǎng)絡(luò)方法的計算量不斷增大。云計算具有強大的數(shù)據(jù)分析和處理能力，可為僵尸網(wǎng)絡(luò)檢測提供高效的解決方案。

目前，學術(shù)界對僵尸網(wǎng)絡(luò)檢測的研究成果主要有：文獻[1]描述了P2P技術(shù)在僵尸網(wǎng)絡(luò)中的應(yīng)用并說明未來僵尸網(wǎng)絡(luò)的發(fā)展方向；文獻[2]提出了一種利用云計算檢測僵尸網(wǎng)絡(luò)的方法；文獻[3]利用云計算建立和處理大規(guī)模圖數(shù)據(jù)以檢測出發(fā)送垃圾郵件的僵尸網(wǎng)絡(luò)；文獻[4]利用云計算設(shè)計了并行PageRank算法檢測僵尸網(wǎng)絡(luò)。一些安全公司利用云計算提供安全服務(wù)，如瑞星提出了“云安全”方案。瑞星客戶端監(jiān)控計算機發(fā)現(xiàn)有可疑程序運行時，就將其上傳到瑞星云服務(wù)器端。服務(wù)器端收集了各個客戶端的可疑程序樣本，在云服務(wù)器端進行各種分析處理[5]。目前，國內(nèi)外各大安全廠商提出的基于云計算的病毒檢測方案一般由大量云客戶端和云服務(wù)端構(gòu)成。云客戶端上傳可疑的軟件樣本等到云服務(wù)器端，云服務(wù)器端對收集到的惡意軟件樣本進行分析處理，判斷是否是病毒，并對各個客戶端發(fā)布病毒處理的解決方案[6]。

針對僵尸網(wǎng)絡(luò)檢測問題，本文提出一種MapReduce并行關(guān)聯(lián)關(guān)系算法，使客戶端不上傳可疑程序，而是上傳自身的網(wǎng)絡(luò)訪問流量信息到云服務(wù)器端，并利用Hadoop機制對流量進行分析處理[7]。

2 僵尸網(wǎng)絡(luò)云檢測方法

僵尸網(wǎng)絡(luò)云檢測方法的架構(gòu)如圖1所示，該方法由云客戶端和云服務(wù)器端及Hadoop協(xié)同完成對網(wǎng)絡(luò)訪問流量信息中的僵尸網(wǎng)絡(luò)行為的檢測。

圖1 僵尸網(wǎng)絡(luò)云檢測方法架構(gòu)

本文云檢測僵尸網(wǎng)絡(luò)方法的執(zhí)行流程如下：

(1)上傳流量信息

云客戶端運行流量信息采集和上傳數(shù)據(jù)功能的程序，記錄主機發(fā)送和接收的流量，并對其收發(fā)的數(shù)據(jù)包轉(zhuǎn)換為流，然后統(tǒng)計流的信息，如流的持續(xù)時間、數(shù)據(jù)包個數(shù)、流的字節(jié)數(shù)等。僵尸網(wǎng)絡(luò)具有以下主要特點：

1)僵尸主機要與控制端或其他僵尸主機之間交互信息，獲取命令并上報攻擊結(jié)果或者維持整個僵尸網(wǎng)絡(luò)。

2)僵尸主機間的通信流量通常傳遞的是控制信息，不需傳遞大量的數(shù)據(jù)，故僵尸網(wǎng)絡(luò)產(chǎn)生的流通常持續(xù)時間較短，且流中數(shù)據(jù)包個數(shù)較少[8-9]。

針對上述特點，本文設(shè)計云客戶端把具有上述特征的可疑流量信息過濾掉，余下的信息上傳到云服務(wù)器端，這樣既可以減少網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)量，又可以降低云服務(wù)器端的計算量。

(2)網(wǎng)絡(luò)流量信息收集及預(yù)處理

云服務(wù)器端首先收集所有客戶端上傳的網(wǎng)絡(luò)流量信息，然后對流量預(yù)處理統(tǒng)計流的持續(xù)時間、數(shù)據(jù)包大小、個數(shù)等信息。

(3)僵尸網(wǎng)絡(luò)的檢測

將預(yù)處理后的網(wǎng)絡(luò)流量數(shù)據(jù)上傳至Hadoop，云服務(wù)器端利用MapReduce基于上述步驟的信息進行計算，以有效檢測僵尸網(wǎng)絡(luò)。

3 基于MapReduce的檢測算法

對于預(yù)處理后的可信流信息，本文設(shè)計MapReduce對流間關(guān)聯(lián)關(guān)系的并行算法，以實現(xiàn)對僵尸網(wǎng)絡(luò)的檢測。

3.1 基于流間關(guān)聯(lián)關(guān)系的檢測算法

僵尸主機通常維護一個鄰居節(jié)點列表，且頻繁依次訪問列表中的節(jié)點，這一訪問形成的流具有關(guān)聯(lián)關(guān)系，而正常主機行為的訪問流間不具有關(guān)聯(lián)關(guān)系，因此，本文算法基于流間關(guān)聯(lián)關(guān)系來檢測僵尸網(wǎng)絡(luò)[10]。然而，僵尸主機為逃避這種檢測而故意不依次訪問鄰居列表中的節(jié)點，采取隨機的方式遍歷鄰居列表中的節(jié)點，即每次訪問鄰居列表中節(jié)點的順序不一樣。如果僵尸主機采用隨機的方式訪問，則其形成的流會存在二級關(guān)聯(lián)關(guān)系，但不一定存在多級關(guān)聯(lián)關(guān)系。這樣做是因為僵尸主機以隨機的方式訪問鄰居列表中的節(jié)點時，雖然訪問各個節(jié)點的流每次不會以相同的順序出現(xiàn)，但這些流每次出現(xiàn)的時間間隔都很小，并且總是集中在一起出現(xiàn)，如果將這些流聚集到一個集合中，則該集合中的流都有關(guān)聯(lián)。如僵尸主機H維護一個鄰居節(jié)點列表，列表中有1～5個節(jié)點，H頻繁訪問列表中的節(jié)點以獲取命令或者更新，但僵尸主機為逃避檢測每次訪問列表中節(jié)點的順序不一樣，H訪問這些節(jié)點形成的流Fi(i為H鄰居列表中的節(jié)點)兩兩之間會有二級關(guān)聯(lián)關(guān)系，如F2在F3前出現(xiàn)，記為F2→F3，同理則有F3→F4、F4→F1、F2→F4、F2→F5等。將這些流聚集到一個集合中s1中，如圖2所示。圖中每個節(jié)點表示主機H訪問其他主機形成的流，邊表示2個流間的二級關(guān)聯(lián)關(guān)系，如F1到F5有邊，表示存在二級關(guān)聯(lián)關(guān)系F1→F5、F5→F1。僵尸主機H訪問其鄰居列表中的節(jié)點形成的流F1～F5形成一個集合s1，同時，主機H的用戶進行正常的網(wǎng)絡(luò)訪問形成的流F6～F8形成一個集合s2，F(xiàn)9和F10形成一個集合s3。

圖2 僵尸主機H的流集合

在僵尸網(wǎng)絡(luò)相關(guān)流F1～F5形成的集合s1中，各個節(jié)點的連接程度較緊密，而在合法流F6～F10形成的集合s2和s3中，各個節(jié)點的連接程度較松散，并且合法流形成的集合通常節(jié)點個數(shù)較少。為有效識別僵尸網(wǎng)絡(luò)的流的集合，本文采用式(1)計算每個集合k的分數(shù)SCk：

本文提出的檢測算法首先提取出每個云客戶端的二級關(guān)聯(lián)關(guān)系，再將二級關(guān)聯(lián)關(guān)系的流劃分到不同集合中，然后根據(jù)式(1)計算各個集合的分數(shù)，最后根據(jù)式(2)計算每個云客戶端的分數(shù)：

其中，m為該云客戶端的流所形成的集合總數(shù)。這里只考慮集合中元素個數(shù)nk大于nTh的集合，因為正常主機如果有兩兩相繼出現(xiàn)的流，它們只會形成如圖2中s2和s3這樣小的集合，通常不會存在多個兩兩相繼出現(xiàn)的流之間聯(lián)系緊密的情況，而僵尸主機由于頻繁訪問鄰居列表中的節(jié)點，訪問不同節(jié)點形成的流之間，任意2個都會相繼出現(xiàn)，因而僵尸主機的流的集合中元素個數(shù)較多，所以，式(2)中只考慮集合元素個數(shù)大于nTh的。如果SH較大，則該云客戶端為可疑的僵尸客戶端，本文設(shè)置一個閾值sTh，如果SH大于sTh，則認為該主機是僵尸客戶端。

3.2 用于檢測僵尸網(wǎng)絡(luò)的MapReduce并行算法

該并行算法首先提取流間二級關(guān)聯(lián)關(guān)系，然后再計算云客戶端的分數(shù)。圖3是本文僵尸網(wǎng)絡(luò)檢測的MapReduce任務(wù)過程。分3個任務(wù)Job1、Job2和Job3提取二級關(guān)聯(lián)關(guān)系，Job4則計算云客戶端的分數(shù)，這4個任務(wù)串行工作，前一個任務(wù)的輸出是后一個任務(wù)的輸入[11]。

圖3中的流表示由云客戶端上傳給云服務(wù)器端預(yù)處理后的可信的流。其中，srcIP表示流的源IP地址；desIP表示流的目的IP地址；time表示流的開始時間，即第一個數(shù)據(jù)包到達的時間；split是Hadoop自動對輸入文件的分塊，每塊默認大小為64 MB[12]。每個MapReduce任務(wù)都被初始化為一個任務(wù)，每個任務(wù)由Map階段和Reduce階段構(gòu)成。分別用2個函數(shù)來表示，即Map函數(shù)和Reduce函數(shù)。Map函數(shù)接收一個＜Key, Value＞形式的輸入，然后產(chǎn)生以＜Key, Value＞形式的輸出。Hadoop會對Map的輸出按關(guān)鍵字排序，并將關(guān)鍵字Key相同的Value集合傳遞給Reduce函數(shù)。Reduce函數(shù)接收一個形如＜Key, list(Value)＞形式的輸入，然后對這個Value集合進行處理，最終Reduce的輸出也是＜Key, Value＞形式[13]。

圖3 用于僵尸網(wǎng)絡(luò)檢測的MapReduce任務(wù)過程

下面分別介紹各個任務(wù)：

(1)Job1計算流出現(xiàn)的次數(shù)

如果2個流總是相繼出現(xiàn)，那么在同一個時間窗口內(nèi)，這2個流出現(xiàn)的次數(shù)相差很小，因此，只考察在相同時間段內(nèi)出現(xiàn)次數(shù)之差小于閾值nTh的流。提取關(guān)聯(lián)關(guān)系時只需考慮流的3個屬性：srcIP，desIP，time，用這3個屬性標識一個流。Map1的輸出將(srcIP desIP)作為鍵Key，將開始時間作為值Value，使相同的(srcIP desIP)分到同一個Reduce任務(wù)中。Reduce1讀取Map1的中間結(jié)果，計算每對(srcIP desIP)的出現(xiàn)次數(shù)n。

(2)Job2提取候選二級關(guān)聯(lián)關(guān)系

先按源IP地址對流進行分組，使每組內(nèi)的源IP地址相同。對每個云客戶端H，形成以H為源IP地址的一組流GH={fi}i=1,2,…,m。將GH中的流按照開始時間time排序，然后依次掃描每一個流，找出在當前流后出現(xiàn)，并且與當前流的時間間隔小于tTh的所有后續(xù)流。如果這些后續(xù)流的出現(xiàn)次數(shù)和當前流相差小于nTh，則這些流和當前流可能具有關(guān)聯(lián)關(guān)系。假設(shè)找出x個滿足上述2個條件的后續(xù)流，則分別將這x個后續(xù)流與當前流作為一對流記錄下來，形成x個候選二級關(guān)聯(lián)關(guān)系。

(3)Job3提取可信的二級關(guān)聯(lián)關(guān)系

Job3從Job2讀取候選二級關(guān)聯(lián)關(guān)系，計算每個關(guān)聯(lián)關(guān)系的置信度，如果置信度大于閾值，則認為該關(guān)聯(lián)關(guān)系是可信的。Map3輸入的Key為該行的偏移量，Value為Job2的輸出，即候選二級關(guān)聯(lián)關(guān)系。Map3輸出的Key為候選二級關(guān)聯(lián)關(guān)系，值為空則以候選二級關(guān)聯(lián)關(guān)系作為鍵。Reduce3統(tǒng)計相同候選二級關(guān)聯(lián)關(guān)系出現(xiàn)的次數(shù)，并計算置信度，最后輸出置信度大于閾值的二級關(guān)聯(lián)關(guān)系，從而找出可信的二級關(guān)聯(lián)關(guān)系。Reduce3的輸入為Map3的輸出，Reduce3的輸出為可信的二級關(guān)聯(lián)關(guān)系，格式為(srcIP desIP1 desIP2, c)，其中，c為二級關(guān)聯(lián)關(guān)系的置信度，只輸出置信度大于閾值的。

(4)Job4計算云客戶端的分數(shù)

Map4輸入的是Job3的輸出，即置信度大于閾值的二級關(guān)聯(lián)關(guān)系。由于每個云客戶端的分數(shù)SH可以并行計算，因此Map4輸出的Key是srcIP，Value是(desIP1 desIP2)，即二級關(guān)聯(lián)關(guān)系中的目的IP地址。Reduce4的工作就是將每個srcIP對應(yīng)的具有二級關(guān)聯(lián)關(guān)系的流劃分到不同集合中，使每個流與所在集合中至少一個流有關(guān)聯(lián)關(guān)系，然后計算各個集合的分數(shù)SC和云客戶端的分數(shù)SH。Reduce4的輸入為Map4的輸出，Reduce4的輸出是云客戶端的分數(shù)，格式為(srcIP, S)。

4 實驗及結(jié)果分析

本文實驗環(huán)境配置為9臺雙核計算機，2.9 GHz CPU， 4 GB內(nèi)存?；贠racle VM VirtualBox4.1.12的虛擬化平臺，每臺虛擬機安裝Ubuntu 10.10操作系統(tǒng)，Hadoop云平臺的版本為Hadoop 0.20.2，代碼編譯版本為JDK1.6.0_22。整個Hadoop集群有1個Master節(jié)點、8個Slave節(jié)點。各個虛擬機之間采用橋接的網(wǎng)絡(luò)方式連接。Hadoop環(huán)境配置如下：數(shù)據(jù)塊大小設(shè)為64 MB，每個節(jié)點可以同時執(zhí)行的最大Map任務(wù)數(shù)和最大Reduce任務(wù)數(shù)均設(shè)為3。

本文參考模擬生成啟發(fā)的數(shù)據(jù)集。實驗?zāi)M了云服務(wù)器端收集到的流量，包括合法流量和僵尸網(wǎng)絡(luò)流量。合法流量以某校園網(wǎng)內(nèi)的流量為基礎(chǔ)，模擬了云客戶端之間通信的流量，并將其作為背景流量。模擬的背景流量中主機個數(shù)為36 323個，流個數(shù)為1 191 368個。模擬的僵尸網(wǎng)絡(luò)模型根據(jù)大量文獻總結(jié)得到，即僵尸主機維護一個節(jié)點列表并頻繁訪問列表中的節(jié)點以獲取命令或者更新。本文實驗?zāi)M的僵尸網(wǎng)絡(luò)中每個僵尸主機維護一個節(jié)點列表，列表中節(jié)點個數(shù)最大值為15，最小個數(shù)為10。每個僵尸主機間隔一個295 s～395 s范圍內(nèi)的隨機時間訪問列表中的節(jié)點，訪問列表中前后2個節(jié)點的時間間隔的最小值為0.1 s，最大值為1 s。實驗中模擬的僵尸主機總數(shù)為100個。

實驗1 分析本文檢測算法的檢測率和誤報率隨主機分數(shù)閾值sTh增大而變化的情況，結(jié)果如表1所示。可以看出，隨著sTh的增大，檢測率降低，誤報率降低。這是因為當sTh增大時，一些僵尸客戶端的SH分數(shù)小于sTh而未能被檢測出來，因而檢測率DR減小。隨著sTh的增大，SH大于sTh的正?？蛻舳藗€數(shù)減少，因而誤報率降低。因此，sTh取0.6或0.7效果較好。

表1 sTh變化時的檢測率和誤報率 %

實驗2 分析云服務(wù)器端中計算節(jié)點個數(shù)增大時基于MapReduce的僵尸網(wǎng)絡(luò)算法的運行時間和加速比的變化情況。為分析算法處理不同規(guī)模網(wǎng)絡(luò)流量數(shù)據(jù)時的運行時間和加速比，實驗中模擬了包括數(shù)據(jù)集、運行客戶端個數(shù)和文件大小數(shù)據(jù)集信息：(D1, 312 250, 85.97 MB)，(D2, 624 500, 373.13 MB)，(D3, 1 249 000, 759.02 MB)。加速比speedup是指數(shù)據(jù)集固定，不斷增大計算節(jié)點個數(shù)時算法并行的性能，其計算如式(3)所示：

其中，p是計算節(jié)點個數(shù)；T1是一個節(jié)點時的運行時間；Tp是p個節(jié)點時的運行時間。

分別取數(shù)據(jù)集D1、D2和D3進行實驗，Tp取3次實驗的平均值。

節(jié)點數(shù)增大時本文算法的運行時間如圖4所示，可以看出，隨著計算節(jié)點個數(shù)的增大，處理相同數(shù)據(jù)集算法的運行時間不斷減少，并且數(shù)據(jù)集越大所需的運行時間越小。

圖4 運行時間

本文算法的加速比如圖5所示。在理想情況下，并行算法的加速比是呈線性的，即一個節(jié)點的運行時間是p個節(jié)點的p倍，但實際的加速比要低于理想狀態(tài)。由該圖可以看出，數(shù)據(jù)集D1的加速比最小，D3的加速比最大，這是因為數(shù)據(jù)量較小時，部分節(jié)點處于空閑狀態(tài)，隨著數(shù)據(jù)規(guī)模的增大，加速比更接近線性，但沒有達到線性是因為節(jié)點間通信，任務(wù)啟動、調(diào)度等開銷。由此可見，云服務(wù)器端計算節(jié)點增大時，能更高效地處理云客戶端上傳的數(shù)據(jù)，并且適合于處理云客戶端規(guī)模較大的情況。

圖5 加速比

5 結(jié)束語

本文提出的算法基于關(guān)聯(lián)關(guān)系在云環(huán)境下完成了對僵尸網(wǎng)絡(luò)的檢測，使云客戶端上傳自身可疑的流量信息到云服務(wù)器端，云服務(wù)器端收集上傳的流量信息，并對流量進行匯總處理，然后利用基于MapReduce的并行算法實現(xiàn)僵尸網(wǎng)絡(luò)的檢測。實驗結(jié)果表明，該算法可得到較高的檢測率和較低的誤報率，并能提高檢測效率。下一步工作將改進基于云計算的僵尸網(wǎng)絡(luò)檢測算法，實現(xiàn)在線檢測。

[1] 李鶴帥, 朱俊虎, 周天陽, 等. P2P技術(shù)在僵尸網(wǎng)絡(luò)中的應(yīng)用研究[J]. 計算機工程, 2012, 38(14): 1-4.

[2] Yu Xiaocong, Dong Xiaomei, Yu Ge, et al. Online Botnet Detection Based on Incremental Discrete Fourier Transform[J]. Journal of Networks, 2010, 5(5): 568-575.

[3] 于 戈, 谷 峪, 鮑玉斌, 等. 云計算環(huán)境下的大規(guī)模圖數(shù)據(jù)處理技術(shù)[J]. 計算機學報, 2011, 34(10): 1753-1767.

[4] 黃德才, 戚華春. PageRank算法研究[J]. 計算機工程, 2006, 32(4): 145-162.

[5] 馮登國, 張 敏, 張 妍, 等. 云計算安全研究[J]. 軟件學報, 2011, 22(1): 71-83.

[6] 陳丹偉, 黃秀麗, 任勛益. 云計算及安全分析[J]. 計算機技術(shù)與發(fā)展, 2010, 20(2): 99-103.

[7] Shoham S. Robust Clustering by Deterministic Agglomeration EM of Mixtures of Multivariatet——Distributions[J]. Pattern Recognition, 2002, 35(5): 1127-1142.

[8] 吳兆峰, 周海剛, 余哲賦, 等. 基于TCP 會話的僵尸流量特征分析與檢測[J]. 軍事通信技術(shù), 2012, 33(1): 23-26.

[9] 王勁松, 劉 帆, 張 健. 基于組特征過濾器的僵尸主機檢測方法的研究[J]. 通信學報, 2010, 31(2): 29-35.

[10] 張國強, 張國清. Internet 網(wǎng)絡(luò)的關(guān)聯(lián)性研究[J]. 軟件學報, 2006, 17(3): 490-497.

[11] 覃雄派, 王會舉, 杜小勇, 等. 大數(shù)據(jù)分析——RDBMS 與MapReduce的競爭與共生[J]. 軟件學報, 2012, 23(1): 32-45.

[12] 欒亞建, 黃翀民, 龔高晟, 等. Ha doop 平臺的性能優(yōu)化研究[J]. 計算機工程, 2010, 36(14): 262-263, 266.

[13] 李成華, 張新訪, 金 海, 等. MapRe duce: 新型的分布式并行計算編程模型[J]. 計算機工程與科學, 20 11, 33(3): 129-135.

編輯 金胡考

Botnet Detection Based on Correlation Relation and MapReduce

SHAO Xiu-li1, JIANG Hong-ling1, GENG Mei-jie1, LI Yao-fang2

(1. College of Information Technical Science, Nankai University, Tianjin 300071, China; 2. College of Computer and Information, Tianjin Chengjian University, Tianjin 300384, China)

Existing botnet detection methods ge nerally have lar ge amount of computation, which r esults in low det ection efficiency. Cloud computing provides new ideas and solutions for the detection of botnets because of its power capacity of data processing and analysis capabilities. Therefore, this paper designs and implements a para llel botnet detection algorithm ba sed on MapR educe model, which uses cloud collaboration and flo w correlation relation to detect botnets. It extracts the relationship between flows, gathers the fl ows having relationship, and calculates the scores of hosts. The hosts whose score is greater than a threshold are suspicious bots. Experimental results show that this algorithm is effective for detecting botnet. The detection rate of P2P botnet can reach more than 90%, and the false alarm rate belows 4%. With the cloud server-side computing nodes increasing, the process of cloud client to upload data and botnet detection is more efficient.

botnet; cloud computing; correlation relation; MapReduce model; Hadoop cloud platform

10.3969/j.issn.1000-3428.2014.05.024

國家科技支撐計劃基金資助項目(2012BAF12B00)；天津市重點基金資助項目(11JCZDJC28100, 12ZCDZGX46700)。

邵秀麗(1963－)，女，教授、博士生導師，主研方向：網(wǎng)絡(luò)安全，云計算，軟件工程；蔣鴻玲，博士研究生；耿梅潔，碩士研究生；李耀芳，講師。

2013-04-02

2013-05-29E-mail：shaoxl@nankai.edu.cn

1000-3428(2014)05-0115-05

A

TP309