安全態(tài)勢感知研究

◆許 暖 蔡宇進(jìn)

安全態(tài)勢感知研究

◆許 暖 蔡宇進(jìn)

（中國移動通信集團(tuán)安徽有限公司 安徽 230000）

經(jīng)濟(jì)的發(fā)展為技術(shù)的進(jìn)步奠定了堅實的物質(zhì)基礎(chǔ)，技術(shù)的發(fā)展是一把雙刃劍，因為技術(shù)的不斷革新使得技術(shù)的內(nèi)部結(jié)構(gòu)不斷復(fù)雜化，對于管理行業(yè)來說是一項較為嚴(yán)峻的挑戰(zhàn)，傳統(tǒng)的安全管理模式已經(jīng)很難滿足當(dāng)前的安全需求，因此加強(qiáng)新技術(shù)的研發(fā)，實現(xiàn)對技術(shù)的動態(tài)監(jiān)測顯得尤為重要，安全態(tài)勢感知技術(shù)就是一種全新的安全管理技術(shù)。本文針對安全態(tài)勢感知工作進(jìn)行研究和分析，并進(jìn)行了簡要的總結(jié)。

安全態(tài)勢；感知；研究

以網(wǎng)絡(luò)為例，近年來互聯(lián)網(wǎng)的迅速發(fā)展和相關(guān)應(yīng)用的普及為很多行業(yè)的發(fā)展注入了源源不斷的發(fā)展動力，互聯(lián)網(wǎng)已經(jīng)逐漸成為人們?nèi)粘Ｉ钪械闹匾M成部分，同時大幅度提高了相關(guān)工作的質(zhì)量和效率，使得信息之間的互通成為可能，一方面促進(jìn)了社會經(jīng)濟(jì)的發(fā)展，另一方面也豐富了人們的日常生活，除此之外，計算機(jī)和互聯(lián)網(wǎng)技術(shù)還在政治和經(jīng)濟(jì)領(lǐng)域得到了廣泛的應(yīng)用。隨著互聯(lián)網(wǎng)內(nèi)部結(jié)構(gòu)的不斷復(fù)雜化，網(wǎng)絡(luò)病毒對于互聯(lián)網(wǎng)的威脅也越來越大，傳統(tǒng)的網(wǎng)絡(luò)安全管理模式主要是以防火墻和IDS等網(wǎng)絡(luò)安全防護(hù)技術(shù)為主，但是隨著外部環(huán)境的不斷復(fù)雜，這種網(wǎng)絡(luò)安全維護(hù)技術(shù)的適應(yīng)性進(jìn)一步下降，進(jìn)行全新技術(shù)的研發(fā)和推廣顯得很有必要，安全態(tài)勢感知技術(shù)在這時應(yīng)運(yùn)而生。

1 全面監(jiān)控的意義

1.1 安全防御技術(shù)發(fā)展的新潮流

信息安全是一種管理過程，如果在管理的過程中無法對攻擊者進(jìn)行把握，就很難提高相關(guān)管理工作的質(zhì)量和效率，但是如果發(fā)生了安全事故后才進(jìn)行補(bǔ)救，自然也比較被動，很難滿足信息化發(fā)展的需求，在移動互聯(lián)網(wǎng)和云計算等新業(yè)務(wù)的推進(jìn)下，主動防御和安全基線等建設(shè)理念逐漸出現(xiàn)。

主動防御的核心也就是在安全基線建設(shè)的同時，實現(xiàn)對網(wǎng)絡(luò)內(nèi)部信息的監(jiān)控，如果用戶的體驗出現(xiàn)了下降的情況，通過蜜罐等手段進(jìn)行侵入，這時就能充分發(fā)揮自身的主觀能動性，對不穩(wěn)定因素進(jìn)行控制。主動主要有以下兩種含義：首先就是對自身的動態(tài)監(jiān)控，因為自身的實際情況大部分都是可知的因素，防御的難度比較??；其次就是能夠?qū)崿F(xiàn)對用戶行為的全面跟蹤，這樣就能有效降低被人侵入的可能，譬如城市中的街道安裝了攝像頭后，小偷就很難推進(jìn)自身的犯罪行為，自然也就會有所收斂。

可以說不管是安全基線還是主動防御，都是全面監(jiān)控工作中的重點(diǎn)，安全感知網(wǎng)絡(luò)是實現(xiàn)相關(guān)工作的基礎(chǔ)和動力，互聯(lián)網(wǎng)技術(shù)，特別是感知網(wǎng)絡(luò)的發(fā)展與進(jìn)步，為安全態(tài)勢的感知奠定了堅實的基礎(chǔ)。

1.2 安全保障體系中的重點(diǎn)

在信息安全建設(shè)發(fā)展到一定的階段之后，安全動態(tài)的監(jiān)控體系成為相關(guān)建設(shè)工作中的重點(diǎn)，這一點(diǎn)在“花瓶”模型中，進(jìn)行了較為明確的說明。

該模型將信息安全保障建設(shè)分成保障基線和運(yùn)維管理平臺：

首先就是邊界防護(hù)線，這種防護(hù)線能夠阻擋大量的攻擊行為，值得注意的是，這種邊界不僅是一種物理邊界，同時也是一種系統(tǒng)同人之間的邊界，譬如服務(wù)器的控制等等，這種機(jī)制能在邊界上部署有效的訪問措施，這種網(wǎng)絡(luò)邊界比較容易理解，但是內(nèi)部結(jié)構(gòu)也較為復(fù)雜，可以針對不同的需求選擇針對性比較強(qiáng)的產(chǎn)品技術(shù)，譬如FW、IPS和AV等，除此之外還能實現(xiàn)對一些專業(yè)設(shè)備的防護(hù)。

其次就是動態(tài)監(jiān)控線，雖然說邊界能在一定程度上阻礙入侵者，但是也無法實現(xiàn)所有不穩(wěn)定因素的阻擋，如果越過了邊界，那么邊界線也無法充分發(fā)揮自身的主觀能動性，這時動態(tài)監(jiān)控應(yīng)運(yùn)而生，譬如惡意代碼和漏洞等等。

第三就是信用審計線，不僅可以匿名訪問一定的公共業(yè)務(wù)，同時訪問的用戶也有較為明確的身份，只有對審計用戶的行為記錄進(jìn)行判斷和審核，才能推進(jìn)一些事后的管理和定位工作。

最后就是安全管理平臺，為了充分發(fā)揮以上三者的積極作用，需要建立一個較為完善的平臺，對于提高相關(guān)工作的效率，實現(xiàn)資源的優(yōu)化配置都有很大的幫助。

2 安全態(tài)勢感知系統(tǒng)建設(shè)的要點(diǎn)

安全態(tài)勢感知，顧名思義就是對網(wǎng)絡(luò)的整體安全態(tài)勢進(jìn)行把握，并對安全態(tài)勢的發(fā)展趨勢進(jìn)行把握和控制，為行業(yè)工作人員后期的工作奠定堅實的基礎(chǔ)。所以說在系統(tǒng)的建設(shè)過程中需要對多個要點(diǎn)進(jìn)行把握。整個系統(tǒng)可劃分成感知網(wǎng)絡(luò)、分析系統(tǒng)和展示系統(tǒng)三個部分，但是綜合來看，態(tài)勢感知系統(tǒng)同其他的監(jiān)控系統(tǒng)還是存在很多不足之處，因為這種系統(tǒng)的設(shè)計呈現(xiàn)出倒退式的規(guī)律。

態(tài)勢感知系統(tǒng)設(shè)計不同于日常的管理工作，這種系統(tǒng)設(shè)計能為管理者提供決策的相關(guān)工具。

需求主要來自于管理者，因為目標(biāo)是用戶關(guān)心的內(nèi)容，所以說態(tài)勢感知系統(tǒng)的設(shè)計要從安全度量指標(biāo)體系的明確開始，然后推進(jìn)相關(guān)的倒退工作，主要來說分為以下幾個過程：首先就是對用戶業(yè)務(wù)的核心和關(guān)鍵進(jìn)行把握，形成對網(wǎng)絡(luò)安全態(tài)勢的度量工作；其次就是選擇合適的技術(shù)，對信息和數(shù)據(jù)進(jìn)行整理；第三就是對網(wǎng)絡(luò)中的數(shù)據(jù)和信息進(jìn)行處理；最后就是充分利用人工的方式進(jìn)行具體的分析工作。

這種系統(tǒng)具有一定的定制性，也就是針對性比較強(qiáng)，在工作過程中要對這一點(diǎn)進(jìn)行把握。

2.1 安全度量

安全度量主要是對用戶關(guān)心的安全態(tài)勢進(jìn)行把握，進(jìn)行安全指標(biāo)體系的建設(shè)，譬如汽車司機(jī)關(guān)心的是汽車速度和發(fā)動機(jī)轉(zhuǎn)速等因素；而企業(yè)的投資者更加注重對本金和收益的把握。

綜上所述，安全度量工作針對不同業(yè)務(wù)來說，存在很多的不同之處，主要可以分為：網(wǎng)絡(luò)安全態(tài)勢的業(yè)界公認(rèn)指標(biāo)和用戶業(yè)務(wù)的特殊指標(biāo)，這是一種全新的設(shè)計思路，不僅滿足了行業(yè)的實際需求，同時也順應(yīng)了時代的發(fā)展潮流。

下面是安全度量工作的一些常用指標(biāo)：首先就是事件，用戶要更加注重對安全類事件的把握，在必要時還會對安全事故的具體類型進(jìn)行劃分；其次就是攻擊，主要是指網(wǎng)絡(luò)正在遭受的攻擊詳情，除此之外，硬件上的一些故障也會對系統(tǒng)的未來發(fā)展產(chǎn)生重要的反作用；第三就是漏洞，漏洞是攻擊的橋梁，對這一點(diǎn)進(jìn)行把握也顯得至關(guān)重要，在實際的工作過程中可以通過打補(bǔ)丁等方式進(jìn)行彌補(bǔ)，但是有些系統(tǒng)由于自身的特性，無法進(jìn)行打補(bǔ)丁工作，這時就要注重對風(fēng)險進(jìn)行把握，從而為后期工作的推進(jìn)奠定堅實的基礎(chǔ)；第四就是風(fēng)險，對于風(fēng)險的把握也有以下幾個重點(diǎn)：第一就是風(fēng)險的預(yù)測工作；第二就是風(fēng)險的大小計算工作；第三就是對于風(fēng)險傳播過程的控制，行之有效的工作能為后期操作奠定便利基礎(chǔ)；第五就是敏感數(shù)據(jù)狀態(tài)的把握，相關(guān)工作也較為復(fù)雜，包括數(shù)據(jù)的查詢、修改和輸出等工作；第六就是用戶的體驗狀態(tài)，隨著時代的進(jìn)步和發(fā)展，服務(wù)質(zhì)量逐漸成為影響行業(yè)發(fā)展的重要因素；第七就是系統(tǒng)的可靠性，大部分系統(tǒng)已經(jīng)提供了相關(guān)的服務(wù)工作，同時對系統(tǒng)服務(wù)的后續(xù)發(fā)展奠定了堅實的基礎(chǔ)，主要是對硬件和軟件的把握。

在長期的實踐過程中，對于安全度量指標(biāo)的選擇主要有以下幾項原則：首先就是直觀展示數(shù)據(jù)和信息；其次就是能充分發(fā)揮自身的主觀能動性，為用戶的后期工作創(chuàng)造便利。作為工作和研究工作中的重點(diǎn)，安全度量工作的工作效率至關(guān)重要。

2.2 信息采集

信息采集工作主要是對信息和是數(shù)據(jù)的提取，這就對數(shù)據(jù)的完整性提出了更高的要求，主要來說有以下幾種信息和數(shù)據(jù)需要進(jìn)行著重把握：首先就是網(wǎng)絡(luò)威脅，主要是一些安全設(shè)備；其次就是用戶行為，主要分為以下幾種：分別是主機(jī)上的行為、網(wǎng)絡(luò)上的行為和在系統(tǒng)上的行為；第三是流量動態(tài)，一旦網(wǎng)絡(luò)狀態(tài)發(fā)生了異常，那么可能就是出現(xiàn)了攻擊行為，這時要對不穩(wěn)定因素進(jìn)行把握；第四就是業(yè)務(wù)狀態(tài)，業(yè)務(wù)狀態(tài)主要包括用戶數(shù)量和存儲空間等，對業(yè)務(wù)的多種因素進(jìn)行把握。

3 現(xiàn)有技術(shù)的技術(shù)方案

基礎(chǔ)設(shè)施的完善為互聯(lián)網(wǎng)和相關(guān)網(wǎng)絡(luò)技術(shù)的發(fā)展創(chuàng)造了便利條件，但是這也導(dǎo)致相關(guān)工作中的不穩(wěn)定因素越來越多，主要就是信息的安全問題，除了人為的操作因素之外，系統(tǒng)的落后和閉塞也會為安全漏洞的出現(xiàn)埋下隱患，對于行業(yè)的長遠(yuǎn)發(fā)展非常不利，由此可見推進(jìn)相關(guān)整改和維護(hù)工作的重要性。

結(jié)合行業(yè)的實際情況來看，主要通過定期掃描的方式進(jìn)行安全漏洞的探測，在必要時將相關(guān)信息和數(shù)據(jù)反饋給不同的責(zé)任主體，進(jìn)行及時有效的處理。

在進(jìn)行安全評估的過程中，對多種風(fēng)險因素進(jìn)行了把握，包括網(wǎng)絡(luò)的堵塞等等，但是因為無法實現(xiàn)登錄掃描的工作，所以需要進(jìn)行二次篩選工作。

4 詳細(xì)的技術(shù)方案

該種方案以智能分析技術(shù)為基礎(chǔ)，推進(jìn)后期的漏洞篩選工作，在分析的過程中對漏洞掃描對象的真實信息進(jìn)行把握，同時對整體的安全態(tài)勢進(jìn)行研究，最后得出較為客觀的結(jié)論，一方面對結(jié)論的客觀性進(jìn)行了保證；另一方面也促進(jìn)了相關(guān)的研究工作。本方案的相關(guān)方法更加符合技術(shù)設(shè)備發(fā)展的實際情況，對漏洞誤報篩選的準(zhǔn)確性進(jìn)行了保障。

主要來說有以下幾個創(chuàng)新點(diǎn)：首先就是就是打破傳統(tǒng)的行業(yè)工作觀念，針對漏洞的誤報篩選工作，推進(jìn)了較為可行的方案，使得漏洞誤報篩選工作的處理成為可能，同時也為其他行業(yè)的發(fā)展提供了借鑒；第三就是能夠?qū)β┒磼呙鑼ο蟮恼鎸嵭畔⑦M(jìn)行把握，還包括一些安全態(tài)勢，能在很大程度上提高篩選工作的準(zhǔn)確性。

本方案的具體實現(xiàn)流程如下：

首先就是進(jìn)行相關(guān)規(guī)則庫的建立，漏報五包規(guī)則庫能進(jìn)行漏洞的準(zhǔn)確定位工作，可以說是相關(guān)工作中的重點(diǎn)之一。為了保障本方案的實施，需要對以下幾方面工作進(jìn)行把握：第一就是主機(jī)，具體的主機(jī)類型要較為豐富，這樣才能保障最終篩選工作的質(zhì)量；第二就是數(shù)據(jù)庫和中間件的把握，譬如Mysql等等，都是研究工作中的重點(diǎn)，當(dāng)然相關(guān)補(bǔ)丁集也是控制工作中的重點(diǎn)。為了提高相關(guān)工作的質(zhì)量，可以從操作系統(tǒng)官網(wǎng)漏洞進(jìn)行漏洞信息的獲取，進(jìn)行版本的修復(fù)工作。

其次就是獲取漏洞掃描的具體報告，對于相關(guān)工作的把握同第三方漏洞掃描工具之間有著緊密的聯(lián)系，當(dāng)然第三方漏洞掃描工具的具體內(nèi)容之間也存在一定差異，所以說需要對IP地址、設(shè)備類型和風(fēng)險等級等因素進(jìn)行把握，為了保證掃描報告的質(zhì)量，在必要時可以進(jìn)行具體的細(xì)分工作。

第三就是對安全類型的態(tài)勢系數(shù)進(jìn)行把握，本步驟中的安全類型主要分為以下幾類：代碼類、口令類、配置類等等。這一步驟的實現(xiàn)工作如下：第一步就是進(jìn)行數(shù)據(jù)包的收集，針對不同的工作類型，進(jìn)行不同類型數(shù)據(jù)包的收集；第二步就是對數(shù)據(jù)包之間的粘合度進(jìn)行把握，想要實現(xiàn)粘合度的把握，需要對多個影響因素進(jìn)行把握，包括數(shù)據(jù)包的大小和包長度等等例如，譬如配置類的數(shù)據(jù)包為個，數(shù)據(jù)包包括個特征（特征可以為包大小，包長度等）。

粘合度=數(shù)據(jù)包之間相似度的和/。

任意兩個數(shù)據(jù)包，之間的相似度=[（的第一個特征值/的第一個特征值）+（的第二個特征值/的第二個特征值）+......+（的第個特征值/的第個特征值）]*配置類相似度均值，第三需要對數(shù)據(jù)包安全類型的態(tài)勢系數(shù)進(jìn)行把握；第四就是結(jié)合態(tài)勢系數(shù)，對漏洞掃描報告中的信息和數(shù)據(jù)進(jìn)行識別，從而實現(xiàn)漏洞的分析和匯總工作。該過程是方案中的重點(diǎn)，需要對多個信息進(jìn)行把握，才能對識別工作的質(zhì)量進(jìn)行把握。主要分為以下幾項重點(diǎn)工作：第一是設(shè)備特征的獲取，在獲取的過程中要充分發(fā)揮自身的主觀能動性，對多種影響因素進(jìn)行把握；第二對漏洞的安全類型進(jìn)行明確，當(dāng)然在這個過程中著重對安全類型進(jìn)行把握以配置類為例，其態(tài)勢系數(shù)：

1=配置類的數(shù)據(jù)包之間的粘合度*配置類的數(shù)據(jù)包丟包率；

第三是對漏洞誤報規(guī)則的把握；第四將設(shè)備特征同誤報規(guī)則進(jìn)行對比工作；最后將設(shè)備特征同掃描結(jié)果進(jìn)行對比，進(jìn)行誤報的判斷工作，如果相同，就進(jìn)行未誤報工作的判斷，否則就結(jié)合設(shè)備特征等多種影響因素進(jìn)行下一步的判斷工作。

對漏洞信息i中的漏洞描述進(jìn)行語義分析，得到與各安全類型之間的匹配度，將匹配度最高的安全類型確定為該漏洞對應(yīng)的安全類型。

A為漏洞信息與安全類型之間的匹配度。W為漏洞信息中的設(shè)備類型與安全類型之間的關(guān)聯(lián)程度，風(fēng)險等級的權(quán)重如表1所示。

表1 風(fēng)險等級權(quán)重

整個過程需要對多種影響因素進(jìn)行把握，不僅實現(xiàn)了漏洞誤報工作的篩選，同時也解決了工作量大的問題，在很大程度上降低了行業(yè)工作人員的負(fù)擔(dān)，對于優(yōu)化行業(yè)的資源配置，促進(jìn)行業(yè)的長遠(yuǎn)發(fā)展有很大的推動作用，但是其具體工作的復(fù)雜性，使得行業(yè)工作人員在推進(jìn)工作的過程中，需要對多種內(nèi)部因素和外部因素進(jìn)行權(quán)衡，最后才能得出科學(xué)合理的結(jié)論。

5 安全態(tài)勢感知研究工作的必要性

結(jié)合我國諸多行業(yè)的實際發(fā)展來看，推進(jìn)安全態(tài)勢感知研究工作很有必要，特別是在互聯(lián)網(wǎng)行業(yè)等一些新型行業(yè)中，技術(shù)的更新雖然提高了信息和數(shù)據(jù)的處理效率，但是也使得技術(shù)內(nèi)部構(gòu)造更為復(fù)雜，推進(jìn)安全態(tài)勢的感知工作顯得更為重要，主要來說，有以下幾個必要性：

5.1 促進(jìn)觀念更新

一個正確的觀念能為一個行業(yè)的發(fā)展起到重要的推動作用，在諸多行業(yè)中都是如此，但是結(jié)合我國的大部分行業(yè)來說，發(fā)展觀念都比較保守，一方面無法滿足行業(yè)發(fā)展的實際需求；另一方面也無法順應(yīng)時代的發(fā)展潮流，對于行業(yè)的長遠(yuǎn)發(fā)展非常不利，促進(jìn)觀念的更新成為行業(yè)發(fā)展的當(dāng)務(wù)之急，安全態(tài)勢感知研究就能為觀念的更新和轉(zhuǎn)變創(chuàng)造便利條件，當(dāng)然觀念的革新是一個長期的過程，需要行業(yè)管理部門充分發(fā)揮自身的主觀能動性。

5.2 滿足行業(yè)需求

隨著我國經(jīng)濟(jì)的發(fā)展和人口基數(shù)的不斷擴(kuò)大，人民對于各行業(yè)的就業(yè)需求也在不斷增長，這對于行業(yè)的發(fā)展來說是機(jī)遇，也是挑戰(zhàn)，為了充分抓住機(jī)遇，促進(jìn)行業(yè)的長遠(yuǎn)發(fā)展，在發(fā)展的過程中要充分發(fā)揮自身的主觀能動性，這樣才能結(jié)合市場的實際需求，實現(xiàn)行業(yè)新的發(fā)展，當(dāng)然，對于需求的把握也是相關(guān)工作中的重點(diǎn)，行業(yè)的需求包含很多具體的影響因素，對于企業(yè)來說也是一項難題，克服這項難題需要企業(yè)諸多部門的群策群力。

5.3 降低企業(yè)風(fēng)險

在企業(yè)和行業(yè)的發(fā)展過程中，存在很多的不穩(wěn)定因素，如果無法實現(xiàn)對這些不穩(wěn)定因素的把握，就無法為企業(yè)的長遠(yuǎn)發(fā)展提供保障，推進(jìn)科學(xué)的安全態(tài)勢感知工作，能夠及時對企業(yè)發(fā)展過程中的不穩(wěn)定因素進(jìn)行把握，從而消除企業(yè)發(fā)展過程中的很多隱患，為企業(yè)的長遠(yuǎn)健康發(fā)展奠定穩(wěn)定的基石。

6 結(jié)語

綜上所述，安全態(tài)勢感知研究工作是一項較為復(fù)雜的工作，為了保證整個工作的效率和質(zhì)量，無論是企業(yè)管理層，還是企業(yè)工作人員，都需要發(fā)揮主觀能動性，實現(xiàn)對多種影響因素的把握，為了促進(jìn)相關(guān)研究工作的長遠(yuǎn)發(fā)展，有以下工作有待推進(jìn)：一是國家要順應(yīng)企業(yè)和行業(yè)的發(fā)展潮流，為其制定完善的發(fā)展規(guī)章制度，營造穩(wěn)定的大環(huán)境；二是企業(yè)要結(jié)合自身的實際發(fā)展情況，推進(jìn)相關(guān)的研究工作，為自身后期的長遠(yuǎn)發(fā)展創(chuàng)造條件。安全態(tài)勢感知工作事關(guān)諸多行業(yè)的發(fā)展，讓我們攜起手來一起努力。

[1]盧湛昌.大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全態(tài)勢感知研究進(jìn)展[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（01）：85-86.

[2]李煒鍵，金倩倩，郭靚.基于威脅情報共享的安全態(tài)勢感知和入侵意圖識別技術(shù)研究[J].計算機(jī)與現(xiàn)代化，2017（3）：65-70.

[3]鄭艷芳.人工智能應(yīng)用與分析技術(shù)在信息安全態(tài)勢感知體系的研究和實踐[J].數(shù)字通信世界，2018，160（04）：229.

[4]岳巍，張華熊.基于Arnold變換的網(wǎng)絡(luò)安全態(tài)勢感知掃描策略研究[J].浙江理工大學(xué)學(xué)報，2018.

[5]高薇，許浩，寧玉文，等.基于安全態(tài)勢感知平臺的高校網(wǎng)絡(luò)SOC研究—以第四軍醫(yī)大學(xué)為例[J].計算機(jī)技術(shù)與發(fā)展，2018，28（1）.

[6]鄧曉東，何慶，許敬偉，等.大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（8）.

[7]王海濤.基于大數(shù)據(jù)和人工智能技術(shù)的信息安全態(tài)勢感知系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（7）.

[8]許敬偉，何慶，鄧曉東，等.基于網(wǎng)絡(luò)安全態(tài)勢感知的高級持續(xù)性威脅檢測和研究[J].電腦編程技巧與維護(hù)，2017（14）：83-86.