基于改進CURE聚類算法的無監(jiān)督異常檢測方法

周亞建，徐晨，李繼國

（1.北京郵電大學(xué) 網(wǎng)絡(luò)與交換技術(shù)國家重點實驗室 信息安全中心，北京 100876；2.北京郵電大學(xué) 網(wǎng)絡(luò)與信息攻防技術(shù)教育部重點實驗室，北京 100876；3.北京郵電大學(xué) 災(zāi)備技術(shù)國家工程實驗室，北京 100876；4.河海大學(xué) 計算機與信息學(xué)院，江蘇 南京 210098）

1 引言

近年來，隨著計算機技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模的不斷擴大，入侵行為已經(jīng)越來越嚴重地威脅到了計算機系統(tǒng)和網(wǎng)絡(luò)的安全。入侵就是未經(jīng)授權(quán)蓄意嘗試訪問信息、篡改信息，使系統(tǒng)不可靠或不能使用[1]。由于入侵方式越來越多樣化，手段越來越先進，傳統(tǒng)的靜態(tài)安全技術(shù)如：防火墻、數(shù)據(jù)加密技術(shù)等，已經(jīng)無法滿足系統(tǒng)和網(wǎng)絡(luò)的安全性需求。

入侵檢測技術(shù)作為一種重要的動態(tài)安全技術(shù)，很好地彌補了靜態(tài)安全技術(shù)的不足。入侵檢測技術(shù)主要分為2類：誤用入侵檢測和異常入侵檢測。誤用入侵檢測是指利用已知系統(tǒng)和應(yīng)用軟件的弱點攻擊模式來檢測入侵[2]。由于該技術(shù)主要是依賴于已知的系統(tǒng)缺陷和入侵，所以可以準確的檢測到已知的入侵，但無法檢測到系統(tǒng)未知的攻擊行為。異常入侵檢測是指能夠根據(jù)異常行為和使用計算機資源情況檢測出來的入侵。異常入侵檢測試圖用定量方式描述可接受的行為特征，以區(qū)分非正常的、潛在的入侵行為[2]。該方法可以檢測未知的入侵行為，但是由于描述的可接受行為特征可能與實際情況偏差較大導(dǎo)致檢測的準確性不高。

在異常入侵檢測中，一般都要根據(jù)正常行為數(shù)據(jù)集建立一個正常行為模型來描述可接受的行為特征。但是實際上，要獲取純凈的正常行為數(shù)據(jù)集是很困難的，并且代價是高昂的。為了解決這個問題，人們提出了無監(jiān)督異常檢測的方法。該方法不依賴于已標記的數(shù)據(jù)，所以不需要人工或其他方法對訓(xùn)練集進行分類，大大提高了入侵檢測系統(tǒng)的實用性。無監(jiān)督異常檢測主要基于以下2個假設(shè)：第1個假設(shè)為正常行為數(shù)據(jù)量要遠遠超過入侵行為數(shù)據(jù)量；第2個假設(shè)為正常行為數(shù)據(jù)與非正常行為數(shù)據(jù)之間的差異很大[3]。第1個假設(shè)為識別正常簇與非正常簇提供了依據(jù)，基于第2個假設(shè)可以認為通過聚類能將正常行為數(shù)據(jù)與非正常行為數(shù)據(jù)很好分類。

近年來，無監(jiān)督異常檢測已成為入侵檢測領(lǐng)域中的熱點，該領(lǐng)域的研究工作者試著將數(shù)據(jù)挖掘和機器學(xué)習(xí)中的方法應(yīng)用于無監(jiān)督異常檢測，目前已經(jīng)取得了一定的進展。Jiang、Song等人[4]提出了一種新的無監(jiān)督聚類檢測方法CBUID，該方法在標記簇時考慮了簇的偏離程度(deviation degree)，并且在聚類時使用了INN（improved nearest neighbor）算法，該算法有效地提高了聚類的質(zhì)量。Eskin等人提出了一個無監(jiān)督異常檢測的幾何框架[5]。該框架將未標記的數(shù)據(jù)映射到特征空間，如果數(shù)據(jù)點在特征空間的稀疏區(qū)域中，則判斷該點為異常點。Oldmeadow等人在文獻[5]的基礎(chǔ)上，通過特征加權(quán)（feature weighting）和時變聚類（time-varying）的方法進一步提高了檢測率[6]。Leung和Leckie提出了一種基于密度和網(wǎng)格的聚類算法fpMAFIA[7]。該算法基于pMAFIA算法并通過FP樹對其進行優(yōu)化。他們將 fpMAFIA算法用于無監(jiān)督異常檢測中，實驗表明取得了良好的效果。但是該算法在最壞情況下的時間復(fù)雜度較高，而且隨著數(shù)據(jù)維度的增長，算法的性能會迅速降低。

有些研究工作者試圖將多種數(shù)據(jù)挖掘算法同時用于入侵檢測中，來進一步提高系統(tǒng)性能。Zanero和Savaresi提出了一種新的2層入侵檢測系統(tǒng)[8]。第1層使用了聚類算法來對數(shù)據(jù)包進行分類，并對數(shù)據(jù)包內(nèi)容進行壓縮，第2層則是通過傳統(tǒng)的異常檢測方法對第1層產(chǎn)生的數(shù)據(jù)進行檢測。通過對實驗結(jié)果的分析表明通過第1層機制的處理，系統(tǒng)的檢測效果得到了顯著的提高。Luo等人將無監(jiān)督聚類方法與支持向量機方法相結(jié)合，提出了一種UCSUM-ID算法[9]。該方法的基本思想是將網(wǎng)絡(luò)數(shù)據(jù)包和聚類算法生成的簇中心進行比較來確定是否需要進一步采用SVM分類，從而只將一部分對于聚類算法比較難于分類的數(shù)據(jù)包送往 SVM 分類。這樣既提高了檢測速度，又提高了檢測率。高能等人[10]將Apriori關(guān)聯(lián)算法和K-means聚類算法分別用于提取網(wǎng)絡(luò)數(shù)據(jù)的流量特征和建立檢測模型，使其能夠?qū)崟r、自動、有效地檢測DoS攻擊。肖立中等人[11]將模糊支持向量機（FSVM）與模糊C均值算法（FCM）相結(jié)合，解決了模糊C均值算法在聚類前需要確定聚類數(shù)的問題。

但是，這些無監(jiān)督異常檢測方法所使用的聚類算法有的因為不能對任意形狀的簇聚類，導(dǎo)致建立的正常行為模型不理想，從而影響了檢測效果?；诿芏鹊木垲愃惴?、神經(jīng)網(wǎng)絡(luò)的算法雖然可以對任意形狀的簇聚類，但是在處理含有大規(guī)模數(shù)據(jù)量的訓(xùn)練集時要耗費大量時間，使得正常行為模型得不到及時的更新，導(dǎo)致網(wǎng)絡(luò)或主機狀況發(fā)生改變時不能很好的檢測入侵行為。

為了解決這些問題，本文提出了基于改進的CURE聚類算法的入侵檢測方法。CURE算法[12]是一種基于多代表點的算法，除了支持復(fù)雜形狀和不同大小的簇的聚類外，從文獻[13]可以看出該算法在效率、對異常數(shù)據(jù)的敏感性及對數(shù)據(jù)輸入敏感性方面要優(yōu)于其他一些算法，如：BIRCH、DBSCAN、CLARANS等。另外，CURE算法還可以通過隨機取樣和對樣本點分組的辦法來提高運行效率。本文對CURE聚類算法進行了合理的改進，然后用于樣本數(shù)據(jù)的聚類。

本文還提出了一種新的基于超矩形的建模算法，使用該算法建立正常行為模型。該模型根據(jù)正常簇中的數(shù)據(jù)定義了待檢測數(shù)據(jù)在各個維度上的正常值域，只要待檢測數(shù)據(jù)在某一維度上不在正常值域中，則判斷為入侵行為數(shù)據(jù)。實驗表明該入侵檢測方法能夠有效的檢測包括未知的入侵行為在內(nèi)的各種入侵行為。

本文第2節(jié)提出了一種基于改進的CURE聚類算法的入侵檢測方法；第3節(jié)通過對實驗結(jié)果詳細的分析和對比，論證了本文所述方法的有效性；第4節(jié)是結(jié)束語。

2 基于聚類算法的入侵檢測

本文先是將改進的CURE聚類算法對訓(xùn)練集進行聚類，然后對簇進行標類，最后使用基于超矩形的建模算法建立正常行為模型。將待檢測數(shù)據(jù)與該模型進行比較，如果符合該模型則判定為正常行為數(shù)據(jù)，否則為異常行為數(shù)據(jù)。

2.1 改進的CURE聚類算法

CURE算法是一種自底向上的層次聚類算法。其基本思想是每個簇用一定數(shù)量的代表點來代表一個簇，然后不停地合并相鄰最近的2個簇，直到簇集中簇的數(shù)目等于某個特定的閾值。因為簇的個數(shù)一般無法事先確定，所以這有可能強制對2個簇進行合并，或者把簇強行分割開，從而降低聚類結(jié)果的質(zhì)量。本文將聚類結(jié)束條件修改為：如果當最近的簇之間的距離超過某個特定的閾值時聚類過程就會停止。這樣最后簇的數(shù)目就由簇之間的相似度來決定。下面給出了改進的CURE算法的詳細描述。

設(shè)數(shù)據(jù)集合D由n個x維數(shù)據(jù)點di組成，D={d1,d2,…,dn}，S為簇C1,C2,…,Cm的集 合。Q(Ci)為簇Ci的代表點集合，即Q(Ci)={r1,r2,…,rpi}(pi≤λ，λ為最大簇代表點數(shù))。收縮因子為α，0≤α≤1，合并簇之間的最大距離為w。

定 義 dist(para1, para2)表示對象para1和para2之間的距離，其距離度量可以是歐幾里得距離、曼哈頓距離以及閔可夫斯基距離等，本文在實驗中選擇歐幾里得距離。當para1和para2都是簇時，定義dist(para1,para2)為2個簇中相隔最近的2個代表點之間的距離，即dist(para1,para2)

step1 根據(jù)每一個向量di創(chuàng)建一個簇Ci。即

step3 找出簇集S中代表點距離最近的 2個簇Cu、Cv， 即dist(Cu,Cv)=min{d ist(Ci,Cj),Ci∈ S,Cj∈ S,i≠ j} 。如果 dist(Cu,Cv)＞w，執(zhí)行終止。

step4 合并簇Cu、Cv。 Cnew←Cu∪Cv，tmpSet←φ。計算Cnew的質(zhì)心：

step5 從Cnew中選擇di。如果tmpSet=φ，則使di滿 足 條 件 ：dist(di,hnew)=max{d ist(dj,hnew),dj∈Cnew}。否則使di滿足條件：dist(di,t mpSet)=max{d ist(dj,t mpSet),dj∈Cnew}，其中 dist(dj,t mpSet)=min{d ist(dj,dk),dk∈ tmpSet }。 最 后 將di并 入tmpSet，即：tmpSet ← tmpSet ∪{di}。

step7 收縮代表點：Q(Cnew)←{dk+α *(hnew-dk),dk∈ tmpSet}。 更 新 簇 集 ：S←S-Cu-Cv+Cnew。執(zhí)行step2。

在實驗過程中，一般用 KD樹來存放數(shù)據(jù)點,用小頂堆來存放簇，并將簇按照與其最近鄰簇之間的距離升序排序，這樣在最壞情況下該算法的時間復(fù)雜性為：O(n2lbn)。

2.2 標類算法

在聚類之后需要對簇進行標記。該算法首先按照簇的大小降序排列。根據(jù)第一條假設(shè)，正常行為數(shù)據(jù)量要遠遠大于非正常行為數(shù)據(jù)，所以標記前θ個簇為正常簇。由于θ沒有合適的計算方法，所以假設(shè)訓(xùn)練集中含有的正常行為數(shù)據(jù)比率為l，然后該算法在最壞情況下的時間復(fù)雜度為不斷遞增θ，直到其詳細描述如下。

step1 如果S=φ，則執(zhí)行終止。

step2 將集合S中的簇按照其大小降序排列，θ← 1。則執(zhí)行step5。

step4 θ←θ+ 1，執(zhí)行step3。

step5 標記C1,…,Cθ為正常簇。

step3 如果

2.3 基于超矩形的建模算法

本文提出了一種基于超矩形的建模算法。在對數(shù)據(jù)進行檢測之前，該算法首先根據(jù)正常簇{C1,…,Cθ}建 立 一 個 超 矩 形 的 檢 測 模 型M={R1,R2,…,Rθ},Ri為根據(jù)簇Ci創(chuàng)建的超矩形。超矩形的創(chuàng)建是根據(jù)正常簇Ci中的數(shù)據(jù)確定Ri在每一個維度σj上的上界U(Ri,σj)和下界 L(Ri,σj)。該建模算法在最壞情況下的時間復(fù)雜度為O(xn)。其詳細描述如下。

step1 初始化i←1。

step2 k←1，如果i＞θ，執(zhí)行終止。

step3 初 始 化Ri：U(Ri,σj)←I(dk,σj)，L(Ri,σj)←I(dk,σj)(dk∈Ci， j=1,2,…,x)。I(dk,σj)表示為dk在維度σj上的值。

step4 如果k≥ Ci，則i←i+1，執(zhí)行step2。否則 k←k+1。

step5 如果 U(Ri, σj) ＜ I(dk,σj)(j=1,2,…,x)，則 U(Ri, σj)← I(dk,σj)；如果 L(Ri, σj) ＞ I(dk,σj)(j=1,2,…,x )，則 L(Ri, σj)← I(dk,σj)。然后執(zhí)行step4。

基于超矩形的算法通過正常簇中的數(shù)據(jù)來計算正常行為數(shù)據(jù)在每一個維度上的正常值域。如果待檢測數(shù)據(jù)被包含在任意一個超矩形中時，就可以判斷為正常行為數(shù)據(jù)。反之，判斷為異常行為數(shù)據(jù)。

檢測算法在最壞情況下的時間復(fù)雜度為O(x θ)。假設(shè)d為待檢測數(shù)據(jù)，詳細描述如下。

step1 初始化i←1。

step2 對于任意維 σj(j∈{1,2,…,x})，如果U(Ri, σj)＜ I(d,σj)或 者 L(Ri, σj)＞ I(d ,σj)， 則i←i+ 1。否則判斷d為正常行為數(shù)據(jù)，執(zhí)行終止 。

step3 如果i＞θ，判斷d為異常行為數(shù)據(jù)，執(zhí)行終止。否則執(zhí)行step2。

3 實驗

3.1 訓(xùn)練集描述

選用的實驗數(shù)據(jù)是目前入侵檢測領(lǐng)域廣泛使用的實驗數(shù)據(jù)：KDD CUP99數(shù)據(jù)。該數(shù)據(jù)集主要分為訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集。訓(xùn)練數(shù)據(jù)集總共約有4 900 000條記錄，其中包含的入侵行為種類共有22種。從中抽取了63 033條數(shù)據(jù)作為實驗用的樣本數(shù)據(jù)集，并且使該數(shù)據(jù)集滿足第一條假設(shè)，并且使其依然包含22種入侵行為數(shù)據(jù)。測試數(shù)據(jù)集約有 3 000 000條記錄，其中包含的入侵種類共有37種，而且其中有 17種入侵類型是訓(xùn)練數(shù)據(jù)集中沒有的。從測試數(shù)據(jù)集中抽取13 491條記錄作為測試數(shù)據(jù)集，同樣保證所含的入侵行為種數(shù)不變。

在KDD CUP99數(shù)據(jù)中，入侵行為種類可劃分為4類：DoS、R2L、U2R、PROBE。把如apache2、processtable、sendmail、xsnoop、sqlattack等測試集中含有而訓(xùn)練集中沒有的數(shù)據(jù)類型統(tǒng)一標識為UNKNOW類型。實驗數(shù)據(jù)詳細信息見表1。

表1 實驗數(shù)據(jù)集信息

3.2 預(yù)處理

預(yù)處理主要是對數(shù)據(jù)進行規(guī)范化。規(guī)范化可以提高涉及距離度量的挖掘算法的準確率和有效性[14]。在KDD CUP99數(shù)據(jù)集中，每條記錄屬性的數(shù)據(jù)類型主要分為二元變量（如 root_shell，is_host_login，is_guest_login）、序數(shù)變量（如 protocol_type，service_type，flag）和區(qū)間標度變量（如duration，src_bytes，dst_bytes）。

對于二元變量e，如果 e=0,e′← 0；如果e=1,e′ ← c,c ＞ 0。e′為規(guī)范化之后的數(shù)據(jù)變量，c為某個常量，在實驗中c=2。

對于序數(shù)變量 f ∈{a1,a2,…,an}，則轉(zhuǎn)換成n個變量來處理，具體過程如下：用變量 f1′,f2′ ,…,fn′ 對應(yīng) 于 數(shù) 值 a1,a2,…,an， 如 果 f=ai， 則fi′ ← c, fj′ ←0(j∈{1,2,…,i-1,i+1,…,n})。

對于區(qū)間標度變量g主要采用如下方法對其變換。1) 計算變量g的均值絕對偏差 avedev(g)：其中，z1,…,zn是 g的n個 度 量 值 ，計算標準度量值或z-score：之所以選擇均值絕對偏差，是因為它比標準差對于離群點均有更好的頑健性[14]。

3.3 實驗結(jié)果分析

本文方法采用的評價指標為國際上通用的檢測率（detection rate）和誤報率（false positive rate）指標。檢測率定義為正確檢測入侵樣本的數(shù)量與測試集中入侵樣本的數(shù)量之間的比率，而誤報率則定義為錯誤判為入侵的正常樣本數(shù)量與測試集中正常樣本的數(shù)量之間的比率。

在實驗過程中，要用到5個參數(shù)：分組數(shù)q，最大代表點數(shù)λ，收縮因子α，最大合并簇距w，標記閾值l。它們的實驗取值范圍如表2所示。

表2 參數(shù)取值

從實驗結(jié)果可以看出，本文提出基于改進的CURE的無監(jiān)督異常檢測方法可以有效的檢測出各種類型的入侵方式。表3描述的是q=8，α=0.2，λ=80，l=0.97時，系統(tǒng)得出的部分實驗數(shù)據(jù)，從中可以看出在誤警率約為 4%的情況下，檢測率基本保持在80%以上。并且針對DOS和PROBE入侵有著較高的檢測率，檢測率一般在90%以上。而且對于未知入侵行為的檢測率能夠達到70%以上，說明該方法能夠有效地檢測未知的入侵行為。

表3 部分實驗結(jié)果

圖1是一個ROC曲線圖，它主要描述了q=8，α=0.2，λ=80，l=0.97，w為 5～600之間的若干個值時，檢測率和誤警率之間的聯(lián)系。從總體上可以看出，檢測率越高，誤警率也越高；反之，檢測率越低，則誤警率也越低。這是因為當提高檢測率時，試驗中所建立的正常行為模型就要適度縮小，從而可能導(dǎo)致更多的正常行為數(shù)據(jù)不符合該檢測模型，所以在一般情況下誤警率會隨著檢測率的提高而提高。認為比較理想的結(jié)果應(yīng)該處于誤警率在0.03～0.05之間，此時檢測率大約在0.8～0.85之間。

圖1 檢測率和誤警率的ROC曲線圖

根據(jù)圖1得出的結(jié)論，將誤警率在0.03～0.05之間時獲得的實驗結(jié)果與其他 5種入侵檢測方法的部分實驗結(jié)果對比情況（見表4），并且保證在任意一行中，每列數(shù)據(jù)對應(yīng)的參數(shù)取值范圍都是一致的。這6種方法所用的樣本數(shù)據(jù)和測試數(shù)據(jù)均來自KDD CPU 99數(shù)據(jù)集，雖然在總體數(shù)據(jù)量和入侵數(shù)據(jù)類型比重上有些差異，但是仍然具有一定的比較意義。

表4 與其他方法的結(jié)果比較

從中可以看出，本文的方法對于各種類型的入侵行為有著良好的檢測效果，特別是對于 PROBE入侵行為的檢測有著明顯的優(yōu)勢，對于其他類型的檢測也沒有處于劣勢。盡管誤警率稍稍偏高，但作為一種異常檢測技術(shù)仍然屬于可接受范圍，不會對系統(tǒng)的整體性能造成嚴重影響。

4 結(jié)束語

本文對CURE算法進行了適當?shù)母倪M使其便于對樣本數(shù)據(jù)進行正確的聚類，并且提出了基于超矩形的建模方法。實驗結(jié)果表明基于改進的CURE聚類算法的入侵檢測能夠有效的檢測入侵行為。該方法具有不需要對樣本數(shù)據(jù)進行分類，并且能夠比較好的檢測出未知入侵行為的優(yōu)點。同時，在聚類過程中還可以通過隨機取樣和分組聚類的方法能夠加快對訓(xùn)練集的處理，并且在檢測入侵時能夠迅速做出判斷。

但是由于該檢測算法在如何設(shè)置參數(shù)上并沒有合適的方法，只能根據(jù)經(jīng)驗來設(shè)置。并且，在將原始數(shù)據(jù)進行標準化之后，導(dǎo)致數(shù)據(jù)維度過高，影響了聚類的效果。所以下一步的工作就是考慮通過演化計算的方法自動找到合適的參數(shù)，以及通過特征變換和特征選擇技術(shù)來克服維度過高所造成的不良影響。

[1] ANDERSON J P.Computer Security Threat Monitoring and Surveillance[R].James P Anderson Co,Fort Washington,Pennsylvania,1980.

[2] 將建春,馬恒太,任黨恩等.網(wǎng)絡(luò)安全入侵檢測: 研究綜述[J].軟件學(xué)報,2000,11(11): 1460-1466.JIANG J C,MA H T,REN D E,et al.A survey of intrusion detection research on network security[J].Journal of Software,2000,11(11):1460-1466.

[3] PORTNOY L,ESKIN E,STOLFO S J.Intrusion detection with unlabeled data using clustering [A].Proceedings of ACM CSS Workshop on Data Mining Applied to Security(DMSA2001) [C].Philadelphia,2001.5-8.

[4] JIANG S Y,SONG X,WANG H,et al.A clustering-based method for unsupervised intrusion detections[J].Pattern Recognition Letters,2006,27(7):802-810.

[5] ESKIN E,ARNOLD A,PRERAU M,et al.A geometric framework for unsupervised anomaly detection： detecting intrusions in unlabeled data[A].Applications of Data Mining in Computer Security[C].Boston,2002.78-99.

[6] OLDMEADOW J,RAVINUTALA S,LECKIE C.Adaptive clustering for network intrusion detection[A].Advances in Knowledge Discovery and Data Mining[C].Heidelberg,2004.255-259.

[7] LEUNG K,LECKIE C.Unsupervised anomaly detection in network intrusion detection using clusters[A].Proceedings of the Twenty-Eighth Australasian Computer Science Conference[C].Sydney,2005.333-342.

[8] ZANERO S,SAVARESI S M.Unsupervised learning techniques for an intrusion detection system [A].Proceedings of the 2004 ACM Symposium on Applied Computing[C].New York,2004.412-419.

[9] LUO M,WANG L,ZHANG H,et al.A research on intrusion detection based on unsupervised clustering and support vector machine[A].Information and Communications Security[C].Heidelberg,2003.325-336.

[10] 高能,馮登國,向繼.一種基于數(shù)據(jù)挖掘的拒絕服務(wù)攻擊檢測技術(shù)[J].計算機學(xué)報,2006,29(6): 944-951.GAO N,FENG D G,XIANG J.A data-mining based DoS detection technique[J].Chinese Journal of Computers,2006,29(6):944-951.

[11] 肖立中,邵志清,馬漢華等.網(wǎng)絡(luò)入侵檢測中的自動決定聚類數(shù)算法[J].軟件學(xué)報,2008,19(8):2140-2148.XIAO L Z,SHAO Z Q,MA H H,et al.An algorithm for automatic clustering number determination in networks intrusion detection[J].Journal of Software,2008,19(8):2140-2148.

[12] GUHA S,RASTOGI R,SHIM S.CURE: an efficient clustering algorithm for large databases[A].Proceedings of the 1998 ACM SIGMOD International Conference on Management of Data[C].New York,1998.73-84.

[13] 張紅云,劉向東,段曉東等.數(shù)據(jù)挖掘中聚類算法比較研究[J].計算機應(yīng)用與軟件.2002,(2): 5-6,77.ZHANG H Y,LIU X D,DUAN X D,et al.The comparison of clustering methods in data mining[J].Computer Applications and Software,2002,(2): 5-6,77.

[14] HAN J,KAMBER M.數(shù)據(jù)挖掘: 概念與技術(shù)[M].北京: 機械工業(yè)出版社,2004.HAN J, KAMBER M.Data Mining: Concepts and Techniques[M].Beijing: China Machine Press,2004.