基于圖神經(jīng)網(wǎng)絡(luò)驅(qū)動的APT攻擊瀕源與檢測機(jī)制研究

中圖分類號：TP309.5；TP391.4 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2025）12-0171-05

Research on APT Attack Provenance and Detection Mechanism Driven Based on Graph Neural Network

ZHANGLiang，LI Cheng，CHENXiaobo，LI Baoke，LIUKexin （KunlunDigital TechnologyCo.，Ltd.，Beijing 102206，China）

Abstract：Aiming at thechalenges ofhigh 1 alarmrate and poor scalabilityinlarge-scalenetwork attack provenance， an Advanced Persistent Threat （APT）intrusion detection system basedon provenance graphand Graph Neural Network is constructed.Firstly，atypicalatack provenancegraph isconstructed throughthesystem log.Secondly，thesemanticencoder is used tocapture thebasicsemanticatributesandthe temporal sequenceofevents inthe provenance graph.Thirdlyaontext encoder basedon Graph Neural Network isused to effctively encode local and global graph structures intonodeembedding. Finaly，thenodeembeddings generatedduringthetraningpasearequicklylasifedbyheclasifer.Tealgorithmachieves eficient processingoflarge-scale provenancegraphsthrough GraphNeuralNetwork，andtakes intoaccounttheeffciencyof data procesing，which can be used forreal-time detectionofAdvanced Persistent Threat.Compared with existing intrusion detectionsystems，thealgorithmachieves higherdetectionacuracyonpublictestdatasets，ndshowsbeteralarmeffciencyand scalability.

Keywords： provenance graph; Graph Neural Network; APT attck detection

0 引言

隨著網(wǎng)絡(luò)安全態(tài)勢的不斷演變，入侵檢測系統(tǒng)已成為網(wǎng)絡(luò)安全策略的重要組成部分，尤其是在應(yīng)對高級持續(xù)威脅（AdvancedPersistentThreat，APT）方面。APT攻擊通常采用一系列的戰(zhàn)術(shù)、技術(shù)和程序（TTP）的組合，通過供應(yīng)鏈攻擊、社會工程學(xué)攻擊、水坑攻擊、釣魚攻擊等手段繞過安全防御措施進(jìn)行入侵，并通過建立后門、竊取機(jī)密文件，達(dá)到持續(xù)潛伏和破壞目標(biāo)系統(tǒng)的目的[1-2]。

信息系統(tǒng)通常會采用入侵防御系統(tǒng)、身份認(rèn)證系統(tǒng)和應(yīng)用防火墻等主動防御技術(shù)進(jìn)行防護(hù)，這些安全措施雖然可以應(yīng)對大部分普通攻擊行為，但由于一些大型信息系統(tǒng)包含數(shù)以萬計的服務(wù)器和虛擬機(jī)，產(chǎn)生大量的告警信息，其中大量信息為假陽性告警，只有極少量告警與真實攻擊有關(guān)，導(dǎo)致有用信息淹沒在大量噪聲中。為了調(diào)查和驗證觸發(fā)的告警，安全工程師通常需要將告警的上下文與歷史告警關(guān)聯(lián)起來，這一過程需要大量的人工和時間，而且很難通過查看系統(tǒng)級事件來了解攻擊活動的進(jìn)展。

為了提高入侵檢測系統(tǒng)對抗復(fù)雜入侵的能力，必須保證以高精度檢測這些威脅，保持較低的虛警率，并在確保系統(tǒng)性能的情況下消耗較少的資源[3]。通過對大量的APT攻擊案例的審計日志進(jìn)行研究，研究發(fā)現(xiàn)APT攻擊可以利用日志中豐富的上下文信息進(jìn)行檢測，這些攻擊行為的特征與正常的系統(tǒng)活動差異明顯，可以通過溯源圖結(jié)合系統(tǒng)活動日志和流量信息，刻畫APT的攻擊路徑，并通過溯源圖上發(fā)出反向追蹤查詢來找到攻擊源。

本文提出了一種新的入侵檢測算法，該算法通過學(xué)習(xí)攻擊行為的特征，能夠高效、準(zhǔn)確地檢測APT攻擊行為。為解決在檢測過程中忽略語義信息的問題，本文采用嵌入技術(shù)將溯源圖中的進(jìn)程名、命令行參數(shù)、文件路徑等節(jié)點屬性編碼為語義豐富的特征向量，并充分考慮事件的時間順序和相對位置，從而有效降低誤報率并提高整體檢測性能。此外，還采用圖神經(jīng)網(wǎng)絡(luò)捕捉溯源圖的局部和全局結(jié)構(gòu)，對和溯源無關(guān)的邊進(jìn)行剪枝，使用和威脅相關(guān)的邊進(jìn)行檢測，提高了系統(tǒng)的檢測性能。通過在公開的數(shù)據(jù)集上的測試，該系統(tǒng)的檢測率優(yōu)于基于溯源圖的一般算法。嵌入圖神經(jīng)網(wǎng)絡(luò)后，顯著減少了檢測的時間開銷，通過告警分類可以大幅降低安全工程師的工作量。

1 相關(guān)工作

在典型的APT攻擊場景中，攻擊者向目標(biāo)受害者發(fā)送網(wǎng)絡(luò)釣魚電子郵件，這些電子郵件包含惡意腳本，攻擊者通過惡意腳本建立到命令和控制 （Camp;C）服務(wù)器的連接，隨后檢查系統(tǒng)配置并搜索敏感數(shù)據(jù)，一旦代理程序找到所需的文件，攻擊者就會命令服務(wù)器下載這些敏感數(shù)據(jù)并將其導(dǎo)出。

現(xiàn)有的基于溯源圖的入侵檢測系統(tǒng)存在以下幾個方面的問題：

1）通過學(xué)習(xí)良性行為來進(jìn)行檢測，當(dāng)行為偏離這些已建立的模型時，就會檢測到異常。這些系統(tǒng)利用最大似然算法，基于每個節(jié)點的系統(tǒng)事件分布作為特征向量來檢測攻擊。然而，這些系統(tǒng)往往不考慮語義屬性（如進(jìn)程名稱、命令行或文件路徑等），因此會導(dǎo)致高誤報率。

2）通常不考慮系統(tǒng)事件的時間順序，而只關(guān)注每個節(jié)點的事件頻率。這種方法限制了模型對良性節(jié)點分布的理解，因為多個節(jié)點可以以不同順序執(zhí)行相同的事件，這也會導(dǎo)致誤報率升高。

3）利用圖神經(jīng)網(wǎng)絡(luò)從溯源圖中提取結(jié)構(gòu)信息，通過捕捉相鄰節(jié)點之間的關(guān)系來改進(jìn)檢測。然而，圖神經(jīng)網(wǎng)絡(luò)的高計算需求會阻礙系統(tǒng)的擴(kuò)展性，并使實時入侵檢測復(fù)雜化。

4）通常使用圖級異常檢測，這很難識別活動極少的隱蔽攻擊，這類方法也無法準(zhǔn)確定位異常節(jié)點，導(dǎo)致檢測率低于節(jié)點級系統(tǒng)（如ThreaTrace[4）。

5）圖級粒度的入侵檢測系統(tǒng)可以識別潛在的惡意子圖，但難以精確定位發(fā)出威脅警報的惡意節(jié)點。在這種情況下，必須徹底分析標(biāo)記的子圖以找到潛在的惡意節(jié)點。

2 檢測算法

為了構(gòu)建一個全面的威脅模型，我們對攻擊者的行為和系統(tǒng)的特征做出了一些假設(shè)。我們假設(shè)攻擊者是隱蔽的，并通過將惡意行為與合法的背景數(shù)據(jù)混合來主動隱藏。我們假設(shè)攻擊者在系統(tǒng)記錄中留下可識別的行為，以執(zhí)行不同于典型行為的惡意活動。這些模式能夠有效區(qū)分攻擊者節(jié)點的結(jié)構(gòu)與具有相同標(biāo)簽的合法節(jié)點的結(jié)構(gòu)，通過分析圖形結(jié)構(gòu)和節(jié)點的特征，可以識別與攻擊者的行為相對應(yīng)的異常實體，并隨著時間的推移跟蹤其行為。

該文的檢測算法結(jié)構(gòu)如圖1所示，主要包括溯源圖構(gòu)造器、基于語義屬性的編碼器、基于圖神經(jīng)網(wǎng)絡(luò)的編碼器、嵌入數(shù)據(jù)庫和異常檢測器。該算法通過系統(tǒng)日志生成溯源圖，然后利用語義屬性為節(jié)點創(chuàng)建特征向量，并使用圖神經(jīng)網(wǎng)絡(luò)進(jìn)行上下文感知編碼。這些嵌入被存儲在數(shù)據(jù)庫中，供后續(xù)威脅檢測階段由分類器使用。

2.1 溯源圖構(gòu)建

APT檢測的首要任務(wù)是將系統(tǒng)日志轉(zhuǎn)換為溯源圖，日志中和進(jìn)程相關(guān)對象的交互關(guān)系如圖2所示。溯源圖轉(zhuǎn)換主要包括三個步驟。首先，對系統(tǒng)日志進(jìn)行解析，這些日志由主機(jī)事件記錄組成，如進(jìn)程執(zhí)行、文件操作和網(wǎng)絡(luò)連接。通過批處理系統(tǒng)收集日志，依次對每個日志批次進(jìn)行處理，提取其中的進(jìn)程節(jié)點和對象節(jié)點。對象節(jié)點包括文件、網(wǎng)絡(luò)流、模塊和其他系統(tǒng)對象。這些節(jié)點之間的邊帶有指定事件類型的標(biāo)簽，表明連接節(jié)點之間的因果關(guān)系和事件的時間戳。此外，節(jié)點還包含屬性，例如進(jìn)程名稱、命令行參數(shù)、文件路徑、IP地址、端口號和模塊路徑，從而提供更多的上下文和細(xì)節(jié)。

圖1基于圖神經(jīng)網(wǎng)絡(luò)的溯源圖檢測算法框圖

圖2溯源圖主要內(nèi)容信息

2.2 語義編碼

我們采用RoPE模型[5]將語義屬性轉(zhuǎn)化為密集的向量空間，該方法考慮了每個節(jié)點類型的進(jìn)程名稱和命令行參數(shù)、文件路徑、網(wǎng)絡(luò)IP地址端口以及模塊名稱。通過結(jié)合語義屬性和節(jié)點及跳鄰之間的調(diào)用關(guān)系為每個節(jié)點生成摘要。系統(tǒng)事件按時間戳排序，通過在良性系統(tǒng)日志上訓(xùn)練的模型，將每個句子編碼為固定長度的向量。按照下面的方式定義嵌入向量 f_q（x_m m ）與 f_k 的相對位置，函數(shù) g 使得他們的內(nèi)積只與相對位置 m-n 相關(guān)，如式（1）所示：

f_q（x_m，m）=（W_qx_m）e^imθ

f_k（x_n，n）=（W_kx_n）e^inθ

g（xm，xn，m-n）=Re[（Wxm）（Wkxn）*ei（m-n）]

其中，Re[：]為復(fù)數(shù)的實部， （W_kx_n） *為 W_kx_n 的共軛。通過捕捉詞與詞之間的語義關(guān)系，生成密集的嵌入，為后續(xù)的圖神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)提供節(jié)點特征。增加語義特征編碼后，惡意節(jié)點檢測可從系統(tǒng)活動、時間順序和語義屬性三個維度進(jìn)行對比，從而提高對一些容易被忽視的惡意行為的檢測率。RoPE是一種適用于線性注意力機(jī)制的相對位置編碼方式，并且可以處理較大的文本長度，可根據(jù)標(biāo)記日志中單詞的序列位置對其進(jìn)行區(qū)分，通過語義屬性和單詞序列位置的結(jié)合，可以使圖神經(jīng)網(wǎng)絡(luò)更好地理解上下文，檢測一些特定的惡意行為。

2.3 上下文編碼

為了有效識別溯源圖中的隱蔽攻擊節(jié)點，就必須對每個節(jié)點周圍的跳鄰域結(jié)構(gòu)進(jìn)行編碼。目前，較為有效的方法是通過圖神經(jīng)網(wǎng)絡(luò)進(jìn)行圖表示學(xué)習(xí)。圖神經(jīng)網(wǎng)絡(luò)通常用于學(xué)習(xí)圖中節(jié)點的低維向量表示，并通過節(jié)點之間的連接有效捕捉其結(jié)構(gòu)信息。我們通過將語言編碼后的特征向量和圖結(jié)構(gòu)相結(jié)合，學(xué)習(xí)溯源圖中每個節(jié)點的結(jié)構(gòu)信息。然而，在實際應(yīng)用中，圖表示學(xué)習(xí)會帶來較大的計算和存儲開銷，圖節(jié)點間的消息傳遞也會消耗大量資源，從而在入侵檢測系統(tǒng)中，會造成較大的延遲。

為了提高圖神經(jīng)網(wǎng)絡(luò)的效率，我們采用剪枝算法降低日志的復(fù)雜度[，以便圖神經(jīng)網(wǎng)絡(luò)能夠優(yōu)先處理對威脅檢測和調(diào)查非常重要的邊，而無須對全部的溯源圖進(jìn)行遍歷，具體的剪枝算法如圖3所示。在剪枝中，只對兩個節(jié)點之間相同類型的單條邊進(jìn)行采樣，同時去除代表低優(yōu)先級和與溯源無關(guān)的系統(tǒng)事件的邊，這類日志主要包括臨時創(chuàng)建的進(jìn)程、在系統(tǒng)執(zhí)行期間從未與其他進(jìn)程交互的事件以及進(jìn)程節(jié)點的退出事件等。此外，溯源圖中的許多相鄰節(jié)點可能僅因特定于執(zhí)行的屬性而不同，但在其他方面卻完全相同，因此，只保留一個具有相同特定執(zhí)行信息的節(jié)點和邊，對于僅在用戶特定屬性上存在差異的節(jié)點或邊視為相同。

圖3上下文圖網(wǎng)絡(luò)的日志的剪枝算法

通過圖網(wǎng)絡(luò)壓減方法，可以減少在完整溯源圖上運行圖神經(jīng)網(wǎng)絡(luò)的計算和存儲開銷，同時還能為節(jié)點生成信息豐富的向量表示。在聚合過程中，我們?yōu)榻o定的圖生成結(jié)構(gòu)嵌入 G=（V，E） ，其中 V 為節(jié)點集合，E 為邊的集合。對于每個節(jié)點 u∈V 。， X_ν 為該節(jié)點的輸入特征向量，使得 e_ν^（0）=X_ν 為初始嵌入，此后迭代 k 次中，更新 u 節(jié)點的嵌入值的方式如式（2）所示：

e_ν^（k）=σ（M^（k）.A_k（e_u^（k-1）：u∈N（ν）?ν））

其中， σ（?） 為非線性激活函數(shù)， N（ν） 為節(jié)點 u 的鄰居節(jié)點集合， A_k（?） 為一個聚合函數(shù)，是第 k 次迭代中節(jié)點 ν 和其鄰居節(jié)點的和。 M^（k） 為一個可學(xué)習(xí)的參數(shù)矩陣，用于 A_k（?） 特征映射到新的嵌入空間，通過上述方法，可以將每個節(jié)點周圍的結(jié)構(gòu)信息編碼到向量空間。

2.4 分類檢測

經(jīng)過上述數(shù)據(jù)處理流程后，我們采用LightGBM算法[對特征向量進(jìn)行分類，以完成異常檢測任務(wù)。LightGBM使用直方圖算法構(gòu)建決策樹，將連續(xù)特征值離散化為有限數(shù)量的桶，形成直方圖，通過在桶之間計算分裂增益，直接找到最優(yōu)分裂點，從而顯著減少需要評估的分裂點數(shù)量，降低計算復(fù)雜度。

LightGBM在每個節(jié)點上使用經(jīng)過整合的RoPE編碼向量和圖神經(jīng)網(wǎng)絡(luò)的上下文嵌入向量。它從預(yù)先訓(xùn)練的鍵值存儲中檢索圖神經(jīng)網(wǎng)絡(luò)嵌入向量，實時生成RoPE特征用于推理，并保存為下一個階段的輸入。分類器學(xué)習(xí)事件的鄰域結(jié)構(gòu)和節(jié)點屬性，形成與各種節(jié)點類型相關(guān)的良性模式，通過比較檢測節(jié)點類型和實際節(jié)點類型來檢測異常節(jié)點。惡意實體通常會表現(xiàn)出偏離良性模式的鄰域結(jié)構(gòu)和屬性。在輸出結(jié)果中，威脅置信度較高的節(jié)點表示潛在的威脅較大。

3 測試結(jié)果

為了評估算法的性能，我們在服務(wù)器上進(jìn)行了對比測試，服務(wù)器配置為8vCPU、64GB內(nèi)存、英偉達(dá)P5000GPU，操作系統(tǒng)為Ubuntu24.04.1LTS，測試中使用的事件日志批量大小為 250KB 。數(shù)據(jù)處理的編譯環(huán)境為Python3.13.1，圖神經(jīng)網(wǎng)絡(luò)模型使用Torch幾何圖形庫。該模型采用Sage卷積，可以結(jié)合相鄰節(jié)點的特征來創(chuàng)建新的節(jié)點表示，還包括層間的dropout和ReLU激活函數(shù)，以增強模型的泛化能力。我們使用LightGBM庫實現(xiàn)了LightGBM分類器，使用Gensim庫實現(xiàn)了Word2Vec模型，編寫了Python函數(shù)來構(gòu)建溯源圖、過濾不必要的信息和抽象節(jié)點實體，以利于測試中的數(shù)據(jù)處理。

我們使用了良性系統(tǒng)活動的審計日志，將其分為兩組：初始訓(xùn)練和微調(diào)。在對初始訓(xùn)練集進(jìn)行訓(xùn)練后，在良性驗證集上對其性能進(jìn)行了評估，重點關(guān)注盡量減少誤報。根據(jù)評估結(jié)果，我們對模型和檢測閾值進(jìn)行了微調(diào)。對于圖級配置，我們對模型進(jìn)行了訓(xùn)練，并在良性驗證圖上對其進(jìn)行了評估，根據(jù)評估階段生成的警報數(shù)量確定了閾值。為防止過擬合，在模型訓(xùn)練過程中加入了正則化層和dropout層。

為了評估圖神經(jīng)網(wǎng)絡(luò)的嵌入效果，我們將本文提出的算法與傳統(tǒng)的Word2Vec嵌入方法進(jìn)行了性能比較，結(jié)果如圖4所示。圖神經(jīng)網(wǎng)絡(luò)的方法相比Word2Vec嵌入有較大的提高，這是由于圖神經(jīng)網(wǎng)絡(luò)能夠?qū)W習(xí)結(jié)構(gòu)特征，并從無關(guān)噪音中有效辨別相關(guān)行為模式，圖神經(jīng)網(wǎng)絡(luò)在準(zhǔn)確捕捉溯源圖鄰域信息方面的能力表現(xiàn)較好。

圖4圖神經(jīng)網(wǎng)絡(luò)和Word2Vec的對比分析

為評估整體的異常事件檢測率，使用3個開源數(shù)據(jù)集進(jìn)行評估，分別為StreamSpot[8]、Unicorn[]和DARPA E3^[10] 數(shù)據(jù)集。我們使用Unicorn作為評估的基準(zhǔn)值，采用圖級異常檢測進(jìn)行細(xì)粒度異常節(jié)點對比。表1展示了本文算法和Unicom算法的檢測率對比，通過準(zhǔn)確率、召回率和F值等指標(biāo)進(jìn)行對比分析，本文提出的算法在各項指標(biāo)上均優(yōu)于Unicorn檢測算法。

表1本文算法和Unicorn檢測算法的對比

（續(xù)表）

同時，我們評估了圖神經(jīng)網(wǎng)絡(luò)縮減的效果。結(jié)果顯示在測試環(huán)境中的116臺主機(jī)中，溯源圖的邊緣數(shù)量減少了 57% ，在不影響檢測結(jié)果的情況下，日志存儲可將存儲空間減少為原來的 1/2.6 ，檢測時間減少約 48% 。在實際運行環(huán)境中，我們在EDR檢測平臺上收集了2024年6月的APT攻擊事件20375條，通過本文算法對疑似APT攻擊行為進(jìn)行了檢測，圖神經(jīng)網(wǎng)絡(luò)嵌入后提取的與惡意行為相關(guān)的攻擊行為578個，較此前的檢測率有較大提升，最終檢測分類中檢測出真實的攻擊行為213個。通過本文提出的算法可以有效剔除 97.2% 以上的虛警和誤報，提高了對APT攻擊的檢測效率。

4結(jié)論

本文提出了一種基于圖神經(jīng)網(wǎng)絡(luò)驅(qū)動的APT入侵檢測算法，在溯源圖構(gòu)建過程中采用圖神經(jīng)網(wǎng)絡(luò)將語義屬性和位置信息進(jìn)行了嵌入，提高了惡意事件的匹配效率。同時，采用圖網(wǎng)絡(luò)壓縮算法，減少了溯源圖的邊數(shù)，有效降低了檢測系統(tǒng)的存儲和計算開銷，滿足了入侵檢測系統(tǒng)在準(zhǔn)確率、實時性和可擴(kuò)展性方面的需求。在實際運行環(huán)境中，我們進(jìn)行了測試，該算法可以有效降低虛警和誤報，對惡意行為進(jìn)行精確的篩查，提高了網(wǎng)絡(luò)安全運維的效率。

參考文獻(xiàn)：

[1]付鈺，李洪成，吳曉平，等.基于大數(shù)據(jù)分析的APT

攻擊檢測研究綜述[J].通信學(xué)報，2015，36（11）：1-14.

[2]劉海波，武天博，沈晶，等.基于GAN-LSTM的

APT攻擊檢測[J].計算機(jī)科學(xué)，2020，47（1）：281-286.

[3]ALSHAMRANIA，MYNENIS，CHOWDHARYA，et

al.ASurvey on Advanced Persistent Threats：Techniques， Solutions，

Challenges，and Research Opportunities [J].IEEE Communications

Surveysand Tutorials，2019，21 （2）：1851-1877.

[4]WANG S，WANG ZL，ZHOUT，et al.Threatrace：

Detectingand TracingHost-based ThreatsinNodeLevel Through

Provenance GraphLearning[J].IEEE Transactions on Information

Forensicsand Security，2022，17：3972-3987.

[5]SUJL，AHMEDM，LUY，etal.RoFormer：

Enhanced TransformerwithRotaryPositionEmbedding[J/OL].

Neurocomputing，2024，568：127063[2024-12-26].https：//doi.

org/10.1016/j.neucom.2023.127063.

[6]HASSANWU，BATESA，MARINOD.Tactical

Provenance Analysis for Endpoint Detection and Response

Systems[C]//2020 IEEE Symposium on Securityand Privacy（SP）.

SanFrancisco：IEEE，2020：1172-1189.

[7]LIMF，TAOHY，LIUMK，etal.Studyon Enhanced Fault Diagnosis ofChillerUnits in HVAC Systems Under the Imbalanced Data EnvironmentUsingGA-optimized LightGBM[J].EnergyandBuildings，2025，330：115360.

[8]MANZOORE，MILAJERDISM，AKOGLUL.Fast Memory-efficient AnomalyDetectionin StreamingHeterogeneous Graphs[C]//KDD'16：Proceedingsofthe22ndACMSIGKDD International Conference on Knowledge Discovery and Data Mining.NewYork：ACM，2016：1035-1044.

[9]MILLERamp;SMITH.Milleramp;SmithAnnounces “Unicorn”Quick Delivery Homes at Birchwood at Brambleton： AUnique and Convenient Solution for 55+ Homebuyers[EB/ OL].（2024-10-30） [2025-06-04].https：//www.abnewswire.com/ pressreleases/miller-smith-announces-unicorn-quick-deliveryhomes-at-birchwood-at-brambleton-a-unique-and-convenientsolution-for-55-homebuyers_718950.html.

[10]DINGX，BUWJ，LIZL，etal.ACyber-attack BehaviorDetectionModel BasedonLogActivity Graph[C]//2023 IEEE International Conference on Sensors，Electronics and ComputerEngineering（ICSECE）.Jinzhou：IEEE，2023：165- 169.

作者簡介：張靚（1980—），男，漢族，河北涿州人，工程師，碩士，研究方向：云計算應(yīng)用、網(wǎng)絡(luò)安全體系管理；李成（1989一），男，漢族，河北容城人，工程師，本科，研究方向：云服務(wù)管理、網(wǎng)絡(luò)安全體系管理；通信作者：陳曉博（1983一），男，漢族，河北冀州人，正高級工程師，博士，研究方向：云計算架構(gòu)規(guī)劃、算力基礎(chǔ)設(shè)施、云安全；李保珂（1990一），男，漢族，山東聊城人，工程師，博士，研究方向：網(wǎng)絡(luò)安全及云技術(shù)應(yīng)用；劉可欣（1985—），男，漢族，山東泰安人，工程師，碩士，研究方向：網(wǎng)絡(luò)安全及云技術(shù)應(yīng)用。