李 超，蔡宇晴，賈 凡，黃學(xué)臻

(1. 公安部第一研究所，北京 100048； 2.中國電子科技集團第十二研究所，北京 100015；3. 北京交通大學(xué)，北京 100044)

工業(yè)控制系統(tǒng)中基于單類支持向量機異常檢測方法研究

李 超1，蔡宇晴2，賈 凡3，黃學(xué)臻1

(1. 公安部第一研究所，北京 100048； 2.中國電子科技集團第十二研究所，北京 100015；3. 北京交通大學(xué)，北京 100044)

Modbus TCP/IP協(xié)議作為工業(yè)控制系統(tǒng)中常用的通信協(xié)議，存在其自身的脆弱性。文章主要研究了Modbus TCP/IP協(xié)議的異常檢測方法，首先介紹了基于單類支持向量機的異常檢測模型的實現(xiàn)過程，對單類支持向量機選擇不同的滑動窗口長度和核函數(shù)進行測試，設(shè)計與傳統(tǒng)支持向量機、標(biāo)準(zhǔn)RBF算法、BP神經(jīng)網(wǎng)絡(luò)、異常檢測模型的對比實驗，并對實驗結(jié)果進行分析。還設(shè)計了與基于功能碼序列的異常檢測模型的對比實驗，驗證選取功能碼和寄存器地址組合對作為特征的優(yōu)越性。

工業(yè)控制系統(tǒng)；Modbus TCP/IP協(xié)議；單類支持向量機；異常檢測

0 引言

隨著工業(yè)以太網(wǎng)技術(shù)的不斷發(fā)展，工業(yè)控制系統(tǒng)(ICS)越來越多地采用開放性的通用協(xié)議和軟件，也使得原本傳統(tǒng)的ICS變得不再封閉，使得ICS系統(tǒng)所面臨的安全風(fēng)險和攻擊威脅頻繁上升；全球的工業(yè)控制系統(tǒng)每年由于遭受惡意攻擊而發(fā)生的安全事故數(shù)量也在不斷增加，不僅給國家?guī)砹司薮蟮慕?jīng)濟損失，也給人們的生活帶來了很大的災(zāi)難和影響。Modbus協(xié)議作為工業(yè)控制系統(tǒng)中典型的通信協(xié)議[1]，其自身存在較大的缺陷也會引發(fā)網(wǎng)絡(luò)安全問題的發(fā)生[2]。

為檢測出工業(yè)控制系統(tǒng)面臨的安全威脅，建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的防護體系，發(fā)現(xiàn)未知的攻擊形式和異常行為，選取了面向工業(yè)控制系統(tǒng)的入侵檢測這一問題進行分析研究。本文主要將工業(yè)控制系統(tǒng)中的Modbus TCP/IP通信協(xié)議結(jié)合入侵檢測技術(shù)進行研究，設(shè)計了基于單類支持向量機異常檢測模型，利用滑動窗口抽取模式子序列構(gòu)建頻率特征向量的方法對正常通信狀態(tài)的Modbus功能碼和寄存器地址的組合對序列進行數(shù)據(jù)預(yù)處理，采用單類支持向量機算法對其進行訓(xùn)練并建立異常檢測模型，從而能夠識別Modbus TCP/IP流量中的異常流量。

1 工業(yè)控制系統(tǒng)的異常檢測方法

針對工業(yè)控制系統(tǒng)中數(shù)據(jù)的異常檢測在本質(zhì)上來講屬于二分類問題，即通過提取系統(tǒng)中樣本數(shù)據(jù)的特征并對其進行訓(xùn)練得到一種分類器，該分類器能夠?qū)ο到y(tǒng)中的實時數(shù)據(jù)進行識別，將其分為正常數(shù)據(jù)和異常數(shù)據(jù)。目前，異常檢測的主要方法有特征選擇、機器學(xué)習(xí)、數(shù)學(xué)統(tǒng)計等，機器學(xué)習(xí)的算法有很多，比如神經(jīng)網(wǎng)絡(luò)[3]、遺傳算法[4]、支持向量機[5-6]等，但其中，遺傳算法編碼復(fù)雜度較高，訓(xùn)練所需要的時間較長；基于神經(jīng)網(wǎng)絡(luò)的異常檢測算法則計算復(fù)雜度較高，對樣本的要求也較高，分類效率較低，這對工業(yè)控制系統(tǒng)的實時檢測影響較大。支持向量機作為機器學(xué)習(xí)方法的一種，在異常檢測方面的數(shù)據(jù)處理上與其他算法相比具有一定的優(yōu)勢，具體可分為以下三點：

(1)適用于樣本量較少的訓(xùn)練集合，其目標(biāo)是為了得到現(xiàn)有條件下的最優(yōu)解。

(2)該算法最終是為了演變成凸二次歸化問題，從而獲得全局最優(yōu)解，解決了神經(jīng)網(wǎng)絡(luò)中出現(xiàn)的局部極值問題。

(3)該算法將問題通過非線性變換方式由低維轉(zhuǎn)變?yōu)楦呔S特征空間來解決，巧妙地避免了維數(shù)災(zāi)難問題，這樣使得算法復(fù)雜度與樣本空間維數(shù)無關(guān)。

綜上，支持向量機算法與其他機器學(xué)習(xí)算法相比具有訓(xùn)練樣本少、推廣能力強、數(shù)據(jù)維度高、全局最優(yōu)的優(yōu)點。

雖然支持向量機在分類問題上表現(xiàn)出很大的優(yōu)勢，但是傳統(tǒng)的支持向量機適用于多分類問題，需要正常和異常兩類樣本作為訓(xùn)練集合訓(xùn)練分類模型，其分類邊界需要依靠兩類實例提供支持，但是有些時候由于某種原因會導(dǎo)致某一邊不能提供很好的支持，比如如果訓(xùn)練集合中的異常樣本較少，那么最優(yōu)分類超平面就會嚴(yán)重偏離。由于SCADA系統(tǒng)通信過程中產(chǎn)生的數(shù)據(jù)異常樣本量較少，多數(shù)為正常狀態(tài)下的數(shù)據(jù)，因此，訓(xùn)練集會出現(xiàn)正負(fù)樣本不平衡的情況，若以此建立分類模型，其分類準(zhǔn)確度會降低。因此，本文針對SCADA系統(tǒng)數(shù)據(jù)的特點，選取單類支持向量機來建立異常檢測模型。

2 單類支持向量機異常檢測模型設(shè)計

單類支持向量機是在傳統(tǒng)的支持向量機基礎(chǔ)上發(fā)展而來的，也是一種用途比較廣泛的分類器，通過對采樣的目標(biāo)樣本進行學(xué)習(xí)，然后形成一個對該類別數(shù)據(jù)的準(zhǔn)確描述，由給定的相似性度量和提前設(shè)置好的閾值來判別測試樣本的類別。該分類器常常被用于負(fù)類樣本比較難于采集的領(lǐng)域中，例如系統(tǒng)的故障檢測問題、遙感數(shù)據(jù)的分類問題、離群點識別問題以及異常檢測問題。單類支持向量機同樣需要小樣本訓(xùn)練集就可以建立分類模型，并且只需要一種類型的樣本就可以滿足訓(xùn)練條件，而且運行時間較短，對樣本中的噪聲數(shù)據(jù)也具有一定的魯棒性，因此，將單類支持向量機算法應(yīng)用于Modbus TCP/IP通信網(wǎng)絡(luò)的異常檢測中具有明顯的優(yōu)勢。

2.1 單類支持向量機異常檢測算法

單類支持向量機算法的主要思想是將輸入向量通過核函數(shù)映射到高維空間中，假定坐標(biāo)原點為異常樣本，目標(biāo)是構(gòu)造一個最優(yōu)分類超平面將輸入向量與原點盡可能地分開，實現(xiàn)目標(biāo)數(shù)據(jù)與原點的最大間隔，因此，單類支持向量機的分類過程即是求解最優(yōu)分類超平面的過程。

本文對于單類支持向量機算法的最優(yōu)分類超平面的求解，采用拉格朗日優(yōu)化方法將其轉(zhuǎn)化為一個對偶問題：

(1)

對式(1)對偶模型進行求解，由于支持向量處于超平面上，可以從某個支持向量xi及其對應(yīng)的αi得到ρ：

(2)

代入不同的核函數(shù)，即可求出最終的決策函數(shù)為：

(3)

將待檢測的數(shù)據(jù)經(jīng)過數(shù)據(jù)預(yù)處理之后得到的特征向量x輸入到所求得的決策函數(shù)f(x)中，如果f(x)輸出的結(jié)果大于0，則認(rèn)為該樣本為正常類，如果f(x)的輸出結(jié)果為負(fù)，則認(rèn)為該樣本為異常類。

2.2 單類支持向量機異常檢測模型

針對SCADA系統(tǒng)正常狀態(tài)的數(shù)據(jù)多，異常樣本少的特點，本文設(shè)計了一種基于單類支持向量機算法對功能碼和寄存器地址組合對序列進行檢測的模型，算法流程圖如圖1所示，具體步驟如下：

(1)Modbus TCP/IP流量數(shù)據(jù)采集。獲取正常的Modbus TCP/IP報文序列，由于單位時間內(nèi)通過的Modbus TCP/IP通信流量是隨機的，根據(jù)設(shè)定的單位時間可以將Modbus TCP/IP報文序列隨機劃分為不同長度的組合對子序列，剔除報文序列中IP地址、源地址、目的地址、端口號等冗余字段，只留下報文序列中的功能碼和寄存器地址兩個關(guān)鍵特征，構(gòu)成訓(xùn)練樣本序列集合。

(2)Modbus TCP/IP報文序列的數(shù)據(jù)預(yù)處理。采用構(gòu)建頻率特征向量的方法對正常的功能碼和寄存器地址的組合對序列進行數(shù)據(jù)預(yù)處理，使之變?yōu)閱晤愔С窒蛄繖C異常檢測模型可以處理的數(shù)據(jù)，得到的特征向量具有相同的維數(shù)，并以此來描述功能碼和寄存器地址的組合對序列的通信特征。

(3)單類支持向量機核函數(shù)的選擇以及參數(shù)ν的設(shè)定。正確選擇常用的核函數(shù)，包括線性核、多項式核以及高斯核等核函數(shù)直接關(guān)系到單類支持向量機異常檢測模型的準(zhǔn)確率和泛化能力。參數(shù)v為可調(diào)參數(shù)，v∈(0,1)，該參數(shù)可以作為控制總的樣本數(shù)中錯誤樣本比例的上界。

(4)建立單類支持向量機的訓(xùn)練模型。以正常的功能碼和寄存器地址的組合對序列構(gòu)成的訓(xùn)練集合構(gòu)造并求解最優(yōu)超平面，對于超平面的求解轉(zhuǎn)化為對偶問題，可以從某個支持向量xi及其對應(yīng)的αi，求解得到ρ，然后將αi、ρ以及選定的核函數(shù)一起代入式(3)，得到最終的決策函數(shù)f(x)，完成單類支持向量機模型的建立。

(5)利用基于單類支持向量機的異常檢測模型對測試集進行檢測。首先對測試數(shù)據(jù)集進行貼標(biāo)簽處理，其中，正常的功能碼和寄存器地址的組合對序列標(biāo)簽設(shè)置為1，異常的功能碼和寄存器地址的組合對序列標(biāo)簽設(shè)置為-1，方便分析分類模型的準(zhǔn)確率、誤報率以及漏報率。將測試數(shù)據(jù)集輸入到單類支持向量機檢測模型進行測試，若輸出結(jié)果為1，則認(rèn)為該數(shù)據(jù)為正常的Modbus TCP/IP流量；若輸出結(jié)果為-1，則認(rèn)為該數(shù)據(jù)為異常的Modbus TCP/IP流量。

圖1 基于單類支持向量機的異常檢測模型

3 單類支持向量機異常檢測模型實現(xiàn)

基于異常的入侵檢測模型對于網(wǎng)絡(luò)層和傳輸層的入侵行為進行檢測有較高的誤報率和漏報率，而且對于網(wǎng)絡(luò)層和傳輸層報文的特征提取需要耗費一定的時間，同時又增加了特征空間的維度，不滿足數(shù)據(jù)采集監(jiān)控系統(tǒng)的實時性要求，因此，針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)所具有的流量特點，本文總結(jié)SCADA系統(tǒng)正常穩(wěn)定通信時的流量特征，對應(yīng)用層Modbus TCP/IP流量進行特征提取，利用單類支持向量機對正常的功能碼和寄存器地址的組合對序列進行訓(xùn)練，建立異常檢測模型，從而識別出Modbus TCP/IP系統(tǒng)違反正常活動狀態(tài)的流量。首先利用Modbus Poll和Modbus Slave模擬Modbus TCP/IP通信，然后介紹利用Wireshark進行Modbus TCP/IP流量采集的過程，將數(shù)據(jù)預(yù)處理后的樣本數(shù)據(jù)集輸入單類支持向量機進行訓(xùn)練，最后利用測試樣本集測試該檢測模型的精度、誤報率和漏報率指標(biāo)，并與其他分類模型進行對比分析。

3.1 實驗環(huán)境

本次實驗利用軟件Modbus Poll和Modbus Slave分別模擬客戶機和服務(wù)器建立Modbus TCP/IP通信，Modbus Poll是Modbus主設(shè)備的模擬工具，可以向從站發(fā)送命令包，采集從站的數(shù)據(jù)，它可以幫助Modbus通信設(shè)備開發(fā)人員進行Modbus通信協(xié)議的模擬和測試，用于監(jiān)控、測試以及調(diào)試Modbus通信設(shè)備，在Modbus Poll工具中可以使用多個窗口同時監(jiān)控Modbus從站設(shè)備，支持功能碼01、02、03、04、05、06、15、16、22和23，監(jiān)視串口數(shù)據(jù)。該工具支持以下協(xié)議的調(diào)試：Modbus RTU、Modbus ASCII和Modbus TCP/IP協(xié)議。Modbus Slave是Modbus從站設(shè)備的模擬工具，用來接收主站的命令包，向主站回送數(shù)據(jù)包。它可以仿真32個從站設(shè)備和地址域，與Modbus Poll的界面相同。

具體的測試環(huán)境搭建如圖2所示，主站客戶機和從站服務(wù)器進行通信，基本上體現(xiàn)出了SCADA系統(tǒng)中控制層和現(xiàn)場總線層的網(wǎng)絡(luò)關(guān)系，然后在通信旁路進行Modbus TCP/IP通信的捕獲，用于進行基于單類支持向量機的組合對序列異常檢測。

圖2 測試環(huán)境

主站和從站使用運行Windows 7系統(tǒng)的PC進行模擬，在主站安裝Modbus Poll軟件模擬Modbus客戶端，在從站安裝Modbus Slave軟件模擬Modbus服務(wù)器端，在服務(wù)器端設(shè)置一個Modbus服務(wù)進行基于工業(yè)控制協(xié)議的通信，異常檢測模塊配置端對主站發(fā)送不同的數(shù)據(jù)包進行獲取并檢測。

3.2 流量采集

在建立Modbus TCP/IP通信服務(wù)之后，在異常檢測模塊安裝Wireshark抓包工具對數(shù)據(jù)包進行獲取，Wireshark是一個網(wǎng)絡(luò)封包分析軟件，可以獲取網(wǎng)絡(luò)封包，顯示出詳細(xì)的封包資料，包括報文中的各個字段以及數(shù)據(jù)內(nèi)容。通過Wireshark進行抓包，實現(xiàn)對Modbus協(xié)議的解析，從而獲取到Modbus TCP/IP協(xié)議中的功能碼以及其他重要字段。

首先在客戶端與服務(wù)器進行通信時，通過Wireshark抓取Modbus TCP/IP通信流量，剔除通信流量中不包含功能碼的Modbus TCP/IP數(shù)據(jù)包，例如TCP/IP的三次握手連接、確認(rèn)重傳等數(shù)據(jù)包，得到Modbus客戶端和服務(wù)器端的通信流量；然后，去除Modbus TCP/IP數(shù)據(jù)包中的冗余字段，只得到含有功能碼和寄存器地址的組合對序列，以單位時間為截取點，將按照時間順序到達的Modbus TCP/IP序列隨機劃為不同長度的子序列，由功能碼和寄存器地址構(gòu)成的子序列作為下一步數(shù)據(jù)預(yù)處理的樣本集合。

3.3 數(shù)據(jù)預(yù)處理

由于單類支持向量機不能直接處理Modbus TCP/IP流量，基于Modbus TCP/IP報文序列的頻率特征向量構(gòu)建的數(shù)據(jù)預(yù)處理方法將其處理成單類支持向量機可以識別的向量[7-8]，具體步驟如下：

(1)針對每一個包含不同數(shù)目的功能碼和寄存器地址的組合對序列，長度為nj，采用滑動窗口將其劃分為nj-l+1個模式子序列，計算其模式子序列對應(yīng)的頻率特征Fj，并將該頻率特征值存儲為max(Fj)；

3.4 OCSVM訓(xùn)練與檢測

將所有正常的功能碼和寄存器地址的組合對序列對應(yīng)的p維特征向量輸入到單類支持向量機中進行訓(xùn)練，得到基于正常通信行為建立的訓(xùn)練模型。

將待檢測的數(shù)據(jù)集所對應(yīng)的p維特征向量輸入到單類支持向量機檢測模型中進行測試，如果決策函數(shù)的輸出值大于0，則認(rèn)為該數(shù)據(jù)為正常的Modbus TCP/IP流量，反之，則認(rèn)為該數(shù)據(jù)為異常流量。

4 實驗比對和結(jié)果分析

為了驗證本文提出的異常檢測模型的可行性以及優(yōu)越性，本文與傳統(tǒng)的支持向量機算法、標(biāo)準(zhǔn)RBF神經(jīng)網(wǎng)絡(luò)算法以及BP神經(jīng)網(wǎng)絡(luò)算法的異常檢測模型進行對比實驗，為了能夠客觀真實地反應(yīng)測試結(jié)果，確保實驗結(jié)果的準(zhǔn)確性，對以每種算法建立的異常檢測模型進行10次分類實驗，并對其取平均值，對4種模型的準(zhǔn)確率和誤報率進行對比分析，不同模型得到的準(zhǔn)確率結(jié)果如圖3所示。

圖3 不同分類模型準(zhǔn)確率對比圖

之前的研究者選取Modbus TCP/IP序列中的功能碼作為特征進行研究[10]，研究對象單一，而本文選取功能碼和寄存器地址的組合對序列為特征，將Modbus TCP/IP通信流量的異常檢測轉(zhuǎn)化為對連續(xù)的功能碼和寄存器地址組合對序列的異常檢測，為了驗證其有效性，與基于功能碼序列異常檢測模型進行了對比實驗。

測試結(jié)果如圖4所示，由第一組實驗結(jié)果可以看出，基于功能碼序列的異常檢測模型的測試分類準(zhǔn)確率略高于基于功能碼和寄存器地址組合對序列的異常檢測模型，原因在于第一組測試數(shù)據(jù)中的異常樣本僅為功能碼異常，因此，兩種異常檢測模型均能較好地識別異常流量。但是隨著功能碼和寄存器地址的組合對序列異常的比例逐漸增加，基于功能碼序列的異常檢測模型分類準(zhǔn)確率持續(xù)下降，而且下降幅度較大，第五組實驗的分類準(zhǔn)確率僅有51.31%，而基于功能碼和寄存器地址的異常檢測模型的準(zhǔn)確率走勢比較平穩(wěn)，浮動較小，始終在90%以上，原因在于功能碼和寄存器地址的組合對序列異常中存在寄存器地址被非法修改的情況，對于此種異常序列，基于功能碼序列的異常檢測模型不能準(zhǔn)確識別，導(dǎo)致其分類準(zhǔn)確率偏低。

圖4 兩種異常檢測模型對比圖

由此可見，選取Modbus TCP/IP序列中的功能碼建立異常檢測模型具有一定的局限性和片面性，僅能檢測出功能碼序列的異常，并不能準(zhǔn)確識別功能碼和寄存器地址組合對序列的異常。而將功能碼和寄存器地址作為組合特征進行異常檢測則具有一定的可行性，與基于功能碼序列的異常檢測模型相比，能夠準(zhǔn)確地識別出Modbus TCP/IP通信中的異常流量。

5 結(jié)論

本文主要設(shè)計了一種基于單類支持向量機的異常檢測模型，以正常的功能碼和寄存器地址的組合對序列進行訓(xùn)練并建立模型，從而識別Modbus TCP/IP通信過程中的異常流量。本文共設(shè)計了4個對比實驗，首先在不同長度的滑動窗口和不同的核函數(shù)問題上進行研究，實驗結(jié)果表明當(dāng)滑動窗口長度l=5時為全局最優(yōu)值，異常檢測分類準(zhǔn)確率最高；選取徑向基核函數(shù)時各項性能指標(biāo)最好。然后與傳統(tǒng)的支持向量機、標(biāo)準(zhǔn)RBF以及BP神經(jīng)網(wǎng)絡(luò)的異常檢測模型進行對比，實驗結(jié)果表明基于單類支持向量機分類準(zhǔn)確率高于其他三種算法，且誤報率在四種算法中最低，可見在SCADA系統(tǒng)的異常檢測中具有一定的優(yōu)勢。

[1] Modbus Organization. Modbus application protocol specification[EB/OL]. [2017-08-01].http://www. modbus.org/docs/Modbus Application Protocol V1 1b.pdf.

[2] 楊靜.SCADA系統(tǒng)的Modbus/TCP/IP協(xié)議安全性研究[D].北京:北京工業(yè)大學(xué),2016.

[3] LINDA O, VOLLMER T, MANIC M. Neural network based intrusion detection system for critical infrastructures[C].International Joint Conference on Neural Networks. IEEE Press, 2009:102-109.

[4] ANOOP A, SREEJA M S. New genetic algorithm based intrusion detection system for SCADA[J]. International Journal of Engineering Innovations & Research, 2013, 2(2):171-175.

[5] ONODA T, MAI K. Analysis of intrusion detection in control system communication based on outlier detection with one-class classifiers[C]. International Conference on Neural Information Processing, 2012:275-282.

[6] MAGLARAS L, JIANG J. Intrusion detection in SCADA systems using machine learning techniques[C]. Science and Information Conference, 2014: 626-631.

[7] EREZ N, WOOL A. Control variable classification, modeling and anomaly detection in Modbus/TCP/IP SCADA systems[J]. International Journal of Critical Infrastructure Protection, 2015(10): 59-70.

[8] 萬明，尚文利，曾鵬,等. 基于功能碼深度檢測的Modbus/TCP/IP通信訪問控制方法[J].信息與控制,2016,45(2): 248-256.

[9] CAN O, SAHINGOZ O K. A survey of intrusion detection systems in wireless sensor networks[J]. IEEE Communications Surveys & Tutorials, 2013(16):266-282.

[10] 尚文利，張盛山，萬明,等.基于PSO-SVM的Modbus TCP/IP通訊的異常檢測方法[J].電子學(xué)報，2014,42(11)：2314-2320.

[11] GOLDENBERG N, WOOL A. Accurate modeling of Modbus/TCP/IP for intrusion detection in SCADA systems[J]. International Journal of Critical Infrastructure Protection, 2013,6(2):63-75.

Research on anomaly detection based on one-class support vectormachine in industrial control systems

Li Chao1, Cai Yuqing2, Jia Fan3, Huang Xuezhen1

(1. The First Research Institute of Ministry of Public Security of PRC, Beijing 100048, China; 2. The Twelfth Research Institute of China Electronics Technology Group Corporation, Beijing 100015, China;3. Beijing Jiaotong University, Beijing 100044, China)

Modbus TCP/IP protocol, as a common communication protocol in industrial control system, has its own vulnerabilities. This paper mainly studies the different detection methods of Modbus TCP/IP protocol. Firstly, it introduces how to implement the anomaly detection model of single class support vector machine, based on single class support vector machine to choose different length of the sliding window and different kernel functions for testing, and designs a contrast experiment with the traditional support vector machine, RBF algorithm, BP neural network and anomaly detection model, and the experimental results are analyzed. This paper also designs a contrast experiment with anomaly detection model based on function code sequence, and verifies the superiority of selecting function code and register address combination as features.

industrial control system; Modbus TCP/IP protocol; one-class support vector machine; anomaly detection

TP309

A

10.19358/j.issn.1674- 7720.2017.23.003

李超，蔡宇晴，賈凡，等.工業(yè)控制系統(tǒng)中基于單類支持向量機異常檢測方法研究[J].微型機與應(yīng)用，2017,36(23)：9-12，20.

2017-09-10)

李超(1979-)，男，博士，副研究員，主要研究方向：信息與網(wǎng)絡(luò)安全。

蔡宇晴(1993-)，女，碩士，工程師，主要研究方向：信息與網(wǎng)絡(luò)安全。

賈凡(1976-)，男，博士，副教授，主要研究方向：信息與網(wǎng)絡(luò)安全。