高菲

摘 要：傳統(tǒng)的網(wǎng)絡(luò)惡意攻擊取證方法對(duì)惡意攻擊行為的檢查不全面、惡意攻擊行為相似度分辨準(zhǔn)確性低。為此，提出了一種分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法。利用CVSS計(jì)算器對(duì)網(wǎng)絡(luò)惡意攻擊行為的嚴(yán)重等級(jí)進(jìn)行評(píng)估，結(jié)合灰關(guān)聯(lián)分析法建立灰關(guān)聯(lián)模型，對(duì)評(píng)估要素進(jìn)行量化處理;在此基礎(chǔ)上，獲取并處理日志、事件、警告和證據(jù)信息，建立證據(jù)庫(kù)。根據(jù)取證結(jié)果，結(jié)合TOP-K預(yù)警策略實(shí)現(xiàn)分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊的預(yù)警和預(yù)警信息儲(chǔ)存。實(shí)驗(yàn)結(jié)果表明，所提方法對(duì)惡意攻擊行為的查全率和惡意攻擊行為相似度分辨的準(zhǔn)確性較高，且預(yù)警反應(yīng)耗時(shí)較短，不僅能夠準(zhǔn)確檢測(cè)惡意攻擊行為，還能夠及時(shí)發(fā)出警報(bào)，有效維持分布式異構(gòu)網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：分布式異構(gòu)網(wǎng)絡(luò);網(wǎng)絡(luò)惡意攻擊;差異信息;灰關(guān)聯(lián)模型

中圖分類號(hào)：TP337????? 文獻(xiàn)標(biāo)識(shí)碼：A

Research on Forensics and Forewarning Methods

of Distributed Heterogeneous Network Malicious Attacks

GAO Fei

（Skills Training Center，State Grid Jibei Electric Power Company Limited

（Baoding Electric Power Voc.& Tech. College）， Baoding，Hebei 071051， China）

Abstract：The traditional network malicious attack forensics method for malicious attack behavior inspection is not comprehensive， malicious attack behavior similarity discrimination accuracy is low. Therefore， this study proposes a distributed heterogeneous network malicious attack forensics and warning method. CVSS calculator was used to evaluate the severity of malicious network attacks， and gray correlation analysis method was used to establish a gray correlation model to quantify the evaluation factors. On this basis， obtain and process log， event， warning and evidence information， establish evidence base. According to the forensics results， TOP-K warning strategy is combined to realize the warning and warning information storage of distributed heterogeneous network malicious attack. The experimental results show that the proposed method is more accurate in detecting the malicious attack and distinguishing the similarity degree of the malicious attack， and the early-warning response time is shorter. It can not only accurately detect the malicious attack， but also send out the alarm in time， effectively maintaining the security of distributed heterogeneous network.

Key words：distributed heterogeneous network; malicious network attacks; difference information; grey relational model

為有效保障網(wǎng)絡(luò)運(yùn)行的安全性、更好地抵御非自體入侵行為和惡意攻擊行為，需對(duì)網(wǎng)絡(luò)惡意攻擊進(jìn)行動(dòng)態(tài)實(shí)時(shí)取證[1]。分布式異構(gòu)網(wǎng)絡(luò)中惡意攻擊行為的取證是使用合理的方法對(duì)數(shù)據(jù)證據(jù)進(jìn)行收集、檢查和分析，這些證據(jù)涉及到多層次的主動(dòng)處理過程。取證的目的是為了及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的惡意攻擊行為，為網(wǎng)絡(luò)安全故障的應(yīng)急處理提供有效支持[2]。若發(fā)現(xiàn)網(wǎng)絡(luò)中存在或可能存在惡意攻擊行為，則通過有效、及時(shí)地預(yù)警防止網(wǎng)絡(luò)威脅的進(jìn)一步擴(kuò)大。

傳統(tǒng)的網(wǎng)絡(luò)惡意攻擊取證方法多采用基本過程模型將已知攻擊證據(jù)作為證據(jù)來源，主要強(qiáng)調(diào)從電子數(shù)據(jù)中提取到的證據(jù)[3]，但更主要的是強(qiáng)調(diào)發(fā)現(xiàn)攻擊行為發(fā)生后將網(wǎng)絡(luò)恢復(fù)到初始狀態(tài)。如楊天識(shí)等人[4]提出了基于OpenFlow的蜜罐主動(dòng)取證，通過創(chuàng)建蜜罐虛擬機(jī)的方式將攻擊行為從網(wǎng)絡(luò)服務(wù)器中隔離到蜜罐服務(wù)器中，并通過OpenFlow協(xié)議調(diào)控網(wǎng)絡(luò)流量，將蜜罐服務(wù)器與真實(shí)網(wǎng)絡(luò)服務(wù)器隔離。將正常訪問請(qǐng)求路由到真實(shí)服務(wù)器中，根據(jù)IDS標(biāo)記取證結(jié)果將惡意攻擊行為路由到制定的蜜罐中，實(shí)現(xiàn)對(duì)惡意攻擊的取證。李陽(yáng)[5]等人提出了大規(guī)模網(wǎng)絡(luò)非自體入侵動(dòng)態(tài)實(shí)時(shí)取證方法，通過人工免疫法將網(wǎng)絡(luò)的狀態(tài)特征與分類器參數(shù)作為個(gè)體，在估算其適應(yīng)度的基礎(chǔ)上，利用遺傳算法得到最優(yōu)特征和分類器參數(shù)，通過SVM建立入侵檢測(cè)模型，根據(jù)檢測(cè)結(jié)果構(gòu)建非自體動(dòng)態(tài)的演化模型，并保證其與真實(shí)網(wǎng)絡(luò)環(huán)境保持同步演化，并記錄非自體入侵動(dòng)態(tài)變遷狀況，實(shí)現(xiàn)網(wǎng)絡(luò)非自體入侵的取證。吳豐盛[6]提出了多模光纖網(wǎng)絡(luò)異常入侵信號(hào)提純?nèi)∽C方法，建立網(wǎng)絡(luò)信號(hào)傳輸模型，利用時(shí)間序列重構(gòu)方法檢測(cè)出網(wǎng)絡(luò)異常入侵信號(hào)，并提取其時(shí)頻譜特征量;在此基礎(chǔ)上，結(jié)合經(jīng)驗(yàn)?zāi)B(tài)分解法分離網(wǎng)絡(luò)異常入侵信號(hào)特征信息，根據(jù)其收斂性將分離后的入侵信號(hào)輸入到降噪濾波器中，完成入侵信號(hào)提純處理，實(shí)現(xiàn)網(wǎng)絡(luò)異常入侵取證。上述方法雖然均實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)攻擊、入侵行為的取證，但存在對(duì)攻擊、入侵行為的檢查不全面、對(duì)惡意攻擊行為相似度分辨準(zhǔn)確性較差的問題。

為解決傳統(tǒng)方法存在的問題，提出了分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法，運(yùn)用動(dòng)態(tài)取證方法查找證據(jù)，并加入TOP-K報(bào)警技術(shù)，根據(jù)取證結(jié)果對(duì)網(wǎng)絡(luò)惡意攻擊行為進(jìn)行預(yù)警。

1 網(wǎng)絡(luò)惡意攻擊入侵評(píng)估要素量化

首先利用CVSS計(jì)算器評(píng)估出網(wǎng)絡(luò)惡意攻擊行為的嚴(yán)重等級(jí)，CVSS評(píng)估項(xiàng)目如表1所示。

利用CVSS計(jì)算器得到的評(píng)估結(jié)果是一系列處于0～10之間的數(shù)字，數(shù)值越大，則說明網(wǎng)絡(luò)惡意攻擊行為越嚴(yán)重。再次基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)惡意攻擊評(píng)分?jǐn)?shù)值，結(jié)合灰關(guān)聯(lián)分析法建立灰關(guān)聯(lián)模型，對(duì)網(wǎng)絡(luò)惡意攻擊入侵威脅評(píng)估要素進(jìn)行量化處理。量化處理過程如下：

Step1：提取分布式異構(gòu)網(wǎng)絡(luò)序列間的差異信息，并構(gòu)建差異信息空間模型;

Step2：計(jì)算差異信息間的灰關(guān)聯(lián)度;

Step3：根據(jù)灰關(guān)聯(lián)度構(gòu)建差異因子間的序關(guān)系，利用網(wǎng)絡(luò)惡意攻擊入侵評(píng)估要素和所建立灰關(guān)聯(lián)分析模型分析各因素之間的相關(guān)性?；谊P(guān)聯(lián)模型表達(dá)式如下：

H=1n∑ni=1γk（1）

其中，γ指差異信息集;k指差異信息影響空間;n指灰關(guān)聯(lián)度等級(jí)，且n=1，2，…，i，…。經(jīng)過灰關(guān)聯(lián)模型分析后，采用計(jì)算算術(shù)平均值算法實(shí)現(xiàn)評(píng)估要素的量化。在量化計(jì)算的過程中僅考慮指標(biāo)個(gè)數(shù)，不需要考慮不同指標(biāo)對(duì)最終評(píng)估結(jié)果的差異[7]。

由此，完成對(duì)分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊入侵評(píng)估要素的量化處理。

2 分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證處理

在對(duì)分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊入侵評(píng)估要素進(jìn)行量化處理的基礎(chǔ)上實(shí)現(xiàn)分布式取證，為網(wǎng)絡(luò)安全防護(hù)提供更有說服力的綜合性證據(jù)。分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證處理框架如圖1所示。

圖1中，日志log、事件Event、警告Alert和證據(jù)Evidenc均為分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證的對(duì)象。

首先定義日志log為RL，STYPE，SID，其中，RL指分布式異構(gòu)網(wǎng)絡(luò)設(shè)備和主機(jī)產(chǎn)生的原始日志，這些日志是傳感器獲取的網(wǎng)絡(luò)活動(dòng)最直接的報(bào)告;STYPE指日志類型;SID指安全標(biāo)識(shí)符[8]。

分布式異構(gòu)網(wǎng)絡(luò)中各設(shè)備和主機(jī)產(chǎn)生的原始日志格式分為以下4種：

（1）告警日志。告警日志中包含告警時(shí)間和攻擊特征編號(hào)、目的IP地址等信息[9]。通過告警證明入侵源對(duì)目標(biāo)主機(jī)的掃描探測(cè)行為，在此基礎(chǔ)上可以利用信息漏洞收集整個(gè)入侵過程的行為特征。

（2）訪問日志。訪問日志中包含時(shí)間和客戶端IP 地址、服務(wù)器IP 地址等信息。當(dāng)web客戶端訪問web服務(wù)器時(shí)沒有發(fā)出告警，則說明服務(wù)器應(yīng)答狀態(tài)正常。

（3）訪問日志。訪問日志中信息字段包含客戶端IP 地址和時(shí)間、服務(wù)應(yīng)答碼等信息。

（4）防火墻訪問日志。防火墻訪問日志中的信息字段包含主機(jī)名稱、物理接口名稱和目的端口等。

定義事件Event為日志接收器從傳感器截取到的日志信息，因不同類型的原始日志格式有所不同，為方便后續(xù)處理，需將所有日志格式調(diào)整為異構(gòu)數(shù)據(jù)格式[10]。

針對(duì)警告Alert，若Alert發(fā)生在事件庫(kù)中，則需要經(jīng)過標(biāo)準(zhǔn)化處理以保證獲取的數(shù)據(jù)質(zhì)量，避免存在冗余和無關(guān)證據(jù)。

在證據(jù)Evidenc的分析過程中，需根據(jù)關(guān)聯(lián)規(guī)則對(duì)日志行為進(jìn)行保全，經(jīng)過保全的行為均儲(chǔ)存在證據(jù)庫(kù)中做統(tǒng)一處理。

根據(jù)上述對(duì)日志log、事件Event、警告Alert、證據(jù)Evidenc的定義和處理，完成分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證。

3 網(wǎng)絡(luò)惡意攻擊預(yù)警

在上述利用CVSS計(jì)算器量化網(wǎng)絡(luò)惡意攻擊入侵評(píng)估要素，并建立分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證數(shù)據(jù)庫(kù)的基礎(chǔ)上，利用TOP-K預(yù)警策略實(shí)現(xiàn)地網(wǎng)絡(luò)惡意攻擊行為的預(yù)警[11]。具體預(yù)警實(shí)現(xiàn)過程如下：

首先，提取報(bào)警日志的目標(biāo)端口信息和端口記錄次數(shù)，以上述兩個(gè)屬性為研究對(duì)象，連續(xù)收集數(shù)據(jù)中心提供的報(bào)警日志，將每天的報(bào)警日志匯總成表格[12-13]。為方便后續(xù)處理，需對(duì)報(bào)警日志進(jìn)行端口向量化。繼而將這些報(bào)警日志放入數(shù)據(jù)集當(dāng)中，按照?qǐng)?bào)警日志的端口序號(hào)和報(bào)警記錄次數(shù)的大小排序，形式為p1，m1，p2，m2，p3，m3，…，pn，mn，其中，p指端口號(hào)，m指報(bào)警記錄次數(shù)[14]。

在此基礎(chǔ)上，記錄每個(gè)感應(yīng)器的報(bào)警日志F。在報(bào)警日志與每個(gè)感應(yīng)器進(jìn)行信息交互前，將全部端口的報(bào)警記錄初始化[15]，并建立信息交互初始化向量，表達(dá)式為：

Q=Vi×ym（2）

其中，Vi表示報(bào)警日志，y表示端口交互記錄次數(shù)。

在報(bào)警日志中會(huì)隨機(jī)的向分布式異構(gòu)網(wǎng)絡(luò)發(fā)送交互信息，若產(chǎn)生的日志與某個(gè)端口產(chǎn)生的報(bào)警信息有直接關(guān)聯(lián)，就需要將對(duì)應(yīng)的端口設(shè)置為1，并將所記錄的端口依次排序，表達(dá)式為：

W=Vi×Qms（3）

其中：ms值感應(yīng)器交互反饋后的排序。

感應(yīng)器交互過程反映的是每個(gè)感應(yīng)器的報(bào)警日志與相關(guān)合作小組的交互過程。當(dāng)感應(yīng)器產(chǎn)生一份告警日志，就會(huì)發(fā)送給TOP-K程序中的其他感應(yīng)器成員。經(jīng)過與其他感應(yīng)器日志信息交互校驗(yàn)后，再說明感應(yīng)器之前所遭受到的攻擊，并采取相應(yīng)的預(yù)警措施。經(jīng)過感應(yīng)器成員相互反饋后，記錄并儲(chǔ)存會(huì)得到報(bào)警日志的端口號(hào)以及日志信息端口交互次數(shù)。最后，將報(bào)警日志反饋結(jié)果上傳至數(shù)據(jù)中心，以便日后對(duì)類似的惡意攻擊行為進(jìn)行有效防御。

由此，完成分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法的設(shè)計(jì)。

4 實(shí)驗(yàn)與結(jié)果分析

為驗(yàn)證所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法的有效性，設(shè)計(jì)如下實(shí)驗(yàn)。

4.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)硬件環(huán)境為Visual Studio 2005，3.54GHzCPU，5.00 Byte RAM。在1000×1000m的范圍內(nèi)建立分布式異構(gòu)網(wǎng)絡(luò)模型，均勻分布500個(gè)節(jié)點(diǎn)，其他相關(guān)網(wǎng)絡(luò)參數(shù)設(shè)定情況如表2所示.

為保證實(shí)驗(yàn)的有效性，將所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法與文獻(xiàn)[4]中的基于OpenFlow的蜜罐主動(dòng)取證方法、文獻(xiàn)[5]中的大規(guī)模網(wǎng)絡(luò)非自體入侵動(dòng)態(tài)實(shí)時(shí)取證方法、文獻(xiàn)[6]中的多模光纖網(wǎng)絡(luò)異常入侵信號(hào)提純?nèi)∽C方法進(jìn)行性能對(duì)比。

4.2 實(shí)驗(yàn)結(jié)果與分析

（1）惡意攻擊行為查全率

惡意攻擊行為查全率可以判斷不同方法對(duì)分布式異構(gòu)網(wǎng)絡(luò)中惡意攻擊行為采集、檢測(cè)、分析的全面性，其計(jì)算過程如下：

查全率=檢測(cè)出的惡意攻擊行為數(shù)量實(shí)際惡意攻擊行為總量×100%（4）

測(cè)試不同方法在對(duì)分布式異構(gòu)網(wǎng)絡(luò)中惡意攻擊行為進(jìn)行檢測(cè)的全面性，實(shí)驗(yàn)結(jié)果如圖2所示。

分析圖2可知，在不斷的迭代中，僅所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法對(duì)惡意攻擊行為的查全率在逐步增加，而另外三種方法對(duì)分布式異構(gòu)網(wǎng)絡(luò)中的惡意攻擊行為的查全率變化無規(guī)律性，但均低于所提方法。因此可以說明分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法能實(shí)現(xiàn)對(duì)惡意攻擊行為的全面采集、檢測(cè)和分析。

（2）惡意攻擊行為相似度分辨準(zhǔn)確性

通過對(duì)比不同方法對(duì)惡意攻擊行為相似度分辨的準(zhǔn)確性，可以判斷不同方法的自適應(yīng)性能和取證辨識(shí)能力。其計(jì)算過程如下：

Z=1-∑hgah-gbh2（5）

其中，Z指惡意攻擊行為相似度分辨準(zhǔn)確性，gah指h灰關(guān)聯(lián)度下所有訪問行為特性分布區(qū)域范圍，gbh指h灰關(guān)聯(lián)度下惡意攻擊行為特性分布區(qū)域范圍。

測(cè)試不同方法的惡意攻擊行為相似度分辨準(zhǔn)確性，實(shí)驗(yàn)結(jié)果如圖3所示。

分析圖3可知，隨著實(shí)驗(yàn)迭代次數(shù)的不斷增加，不同方法的惡意攻擊行為相似度分辨準(zhǔn)確性也在不斷發(fā)生變化。但所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法的準(zhǔn)確性始終在4種方法中保持最高，證明該方法具有較強(qiáng)的自適應(yīng)性能和取證辨識(shí)能力。

（3）預(yù)警反應(yīng)耗時(shí)

預(yù)警反應(yīng)耗時(shí)指在對(duì)惡意攻擊行為進(jìn)行告警過程所花費(fèi)的時(shí)間，能夠反映不同方法的預(yù)警響應(yīng)效率。預(yù)警反應(yīng)耗時(shí)結(jié)果由Visual Studio操作平臺(tái)智能統(tǒng)計(jì)。預(yù)警程序啟動(dòng)頁(yè)面如圖4所示。

不同方法預(yù)警反應(yīng)耗時(shí)測(cè)試結(jié)果如表3所示。

分析表3可知，隨著實(shí)驗(yàn)迭代次數(shù)的不斷增加，不同方法的預(yù)警反應(yīng)耗時(shí)也在不斷發(fā)生變化。文獻(xiàn)[4]和文獻(xiàn)[5]方法的預(yù)警反應(yīng)耗時(shí)較接近，大致保持在400-550 ms之間，文獻(xiàn)[6]方法的預(yù)警反應(yīng)耗時(shí)較多，最高的預(yù)警反應(yīng)耗時(shí)達(dá)到了856 ms。相比之下，所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法的預(yù)警反應(yīng)耗時(shí)最少，可維持在400 ms之內(nèi)。這是因?yàn)樗岱椒☉?yīng)用了TOP-K預(yù)警策略，過濾掉報(bào)警日志端口中比較分散的日志，從而有效抵御稀疏端口發(fā)起的惡意攻擊。

綜上所述，所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法具有較高的惡意攻擊行為的查全率和惡意攻擊行為相似度分辨的準(zhǔn)確性，且預(yù)警反應(yīng)速度較快。

5 結(jié) 論

針對(duì)傳統(tǒng)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法存在的問題，提出分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法。首先量化網(wǎng)絡(luò)惡意攻擊入侵評(píng)估要素，在此

基礎(chǔ)上，處理分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證數(shù)據(jù)，構(gòu)建證據(jù)庫(kù)。并利用TOP-K預(yù)警策略實(shí)現(xiàn)對(duì)惡意攻擊行為的預(yù)警，有效抵御網(wǎng)絡(luò)惡意攻擊，保證取證數(shù)據(jù)的完整性和可用性。在實(shí)驗(yàn)部分分別對(duì)比3種傳統(tǒng)的網(wǎng)絡(luò)惡意攻擊取證方法和所提方法的可行性。實(shí)驗(yàn)結(jié)果證明了所提方法的可行性更高。

參考文獻(xiàn)

[1] 宋明秋， 王琳， 邵雙. 基于攻擊傳播性的分布式網(wǎng)絡(luò)信任模型[J]. 運(yùn)籌與管理， 2017， 26（7）：125-131.

[2] 溫晗， 劉淵， 王曉鋒， 等. 面向天地一體化信息網(wǎng)絡(luò)的惡意用戶行為仿真技術(shù)[J]. 小型微型計(jì)算機(jī)系統(tǒng)， 2019， 40（8）：125-126.

[3] 吳一塵， 章曙光. 基于網(wǎng)格的無線傳感器網(wǎng)絡(luò)蟲洞攻擊抵御策略[J]. 中國(guó)科學(xué)技術(shù)大學(xué)學(xué)報(bào)， 2019.22（1）：154-155.

[4] 楊天識(shí)，刁培金，梁露露，等.基于OpenFlow的蜜罐主動(dòng)取證技術(shù)[J].北京理工大學(xué)學(xué)報(bào)，2019，39（5）：545-550.

[5] 李陽(yáng)，李剛.大規(guī)模網(wǎng)絡(luò)非自體入侵動(dòng)態(tài)實(shí)時(shí)取證仿真研究[J].計(jì)算機(jī)仿真，2018，35（11）：269-272.

[6] 吳豐盛.多模光纖網(wǎng)絡(luò)異常入侵信號(hào)提純方法[J].激光雜志，2019，40（3）：120-124.

[7] 孟彩霞， 葉海琴. 基于多元節(jié)點(diǎn)屬性分類的光纖網(wǎng)絡(luò)入侵中未感染節(jié)點(diǎn)檢測(cè)[J]. 科學(xué)技術(shù)與工程， 2018， 47（14）：167-171.

[8] 周彩秋， 楊余旺， 王永建. 無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)行為度量方案[J]. 清華大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2017，22（1）：39-43.

[9] 周海平， 沈士根， 黃龍軍， 等. 基于博弈論的無線傳感器網(wǎng)絡(luò)惡意程序傳播模型[J]. 電信科學(xué)， 2018，36（11）：154-155.

[10]秦永俊，唐增明.改進(jìn)的NetLinX開放網(wǎng)絡(luò)動(dòng)態(tài)入侵檢測(cè)方法[J].西安工程大學(xué)學(xué)報(bào)，2017，31（4）：576-581.

[11]韓曉冬， 高飛. 抗污染攻擊的流內(nèi)安全網(wǎng)絡(luò)糾錯(cuò)編碼[J]. 北京理工大學(xué)學(xué)報(bào)， 2018， 38（11）：139-140.

[12]馬莉莉， 劉江平. 大數(shù)據(jù)信息傳輸中惡意攻擊數(shù)據(jù)識(shí)別仿真[J]. 計(jì)算機(jī)仿真， 2017， 34（10）：375-378.

[13]李佳， 云曉春， 李書豪. 基于混合結(jié)構(gòu)深度神經(jīng)網(wǎng)絡(luò)的HTTP惡意流量檢測(cè)方法[J]. 通信學(xué)報(bào)，2019，40（1）：28-37.

[14]宋明秋， 王琳， 邵雙. 基于攻擊傳播性的分布式網(wǎng)絡(luò)信任模型[J]. 運(yùn)籌與管理， 2017， 26（7）：125-131.

[15]王麗娜， 談?wù)\， 余榮威，等. 針對(duì)數(shù)據(jù)泄漏行為的惡意軟件檢測(cè)[J]. 計(jì)算機(jī)研究與發(fā)展， 2017， 54（7）：1537-1548.