面向密碼協(xié)議在線安全性的監(jiān)測方法

朱玉娜，韓繼紅，袁霖，范鈺丹，陳韓托，谷文

?

面向密碼協(xié)議在線安全性的監(jiān)測方法

朱玉娜1,2，韓繼紅1，袁霖1，范鈺丹1，陳韓托1，谷文1

（1. 解放軍信息工程大學(xué)三院，河南鄭州 450001；2. 解放軍91033部隊(duì)，山東青島266035）

為解決現(xiàn)有方法無法在線監(jiān)測協(xié)議邏輯進(jìn)行的低交互型攻擊的問題，提出一種密碼協(xié)議在線監(jiān)測方法CPOMA。首先構(gòu)建面向密碼協(xié)議的特征項(xiàng)本體框架，以統(tǒng)一描述不同類型的特征項(xiàng)，并基于該框架首次利用模糊子空間聚類方法進(jìn)行特征加權(quán)，建立個體化的密碼協(xié)議特征庫；在此基礎(chǔ)上給出自學(xué)習(xí)的密碼協(xié)議識別與會話實(shí)例重構(gòu)方法，進(jìn)而在線監(jiān)測協(xié)議異常會話。實(shí)驗(yàn)結(jié)果表明，CPOMA不僅能夠較好地識別已知協(xié)議、學(xué)習(xí)未知協(xié)議、重構(gòu)會話，而且能夠有效在線監(jiān)測協(xié)議異常會話，提高密碼協(xié)議在線運(yùn)行的安全性。

密碼協(xié)議識別；會話重構(gòu)；在線安全性；本體；子空間聚類

1 引言

密碼協(xié)議是互聯(lián)網(wǎng)各種核心安全服務(wù)可靠運(yùn)行的重要支撐，其安全性分析方法一直是信息安全領(lǐng)域的關(guān)鍵問題。傳統(tǒng)方法通過形式化分析或自動化驗(yàn)證來監(jiān)測協(xié)議自身缺陷，需要基于特定的攻擊者模型和若干假設(shè)，只能給出理想情況下的安全性分析結(jié)果，對于協(xié)議運(yùn)行過程中的某些動態(tài)因素往往不能準(zhǔn)確判斷。以經(jīng)典的SSL/TLS協(xié)議為例，該協(xié)議發(fā)布的每個版本都有形式化方法證明安全，但隨后又發(fā)現(xiàn)漏洞。由此，密碼協(xié)議在線安全性分析技術(shù)已經(jīng)成為新一代信息安全技術(shù)中亟待進(jìn)行深入研究的關(guān)鍵問題。

密碼協(xié)議運(yùn)行過程中，頻繁使用各種密碼技術(shù)對關(guān)鍵信息進(jìn)行加密和保護(hù)，其報(bào)文包含大量密文信息。攻擊者無法解密密文，常常通過重放、轉(zhuǎn)發(fā)密文對協(xié)議邏輯進(jìn)行攻擊。該種情況下，攻擊過程僅表現(xiàn)為低交互性特征，不具備統(tǒng)計(jì)方面的特征；且與正常交互的報(bào)文具有相似的語法、語義特點(diǎn)。傳統(tǒng)的入侵監(jiān)測分析工具大多依靠流量分析或特定語義格式解析的手段進(jìn)行監(jiān)測，其中，基于流量分析的入侵監(jiān)測主要針對高交互型攻擊情況，如時間側(cè)信道攻擊，不適用于低交互型攻擊；基于特定語義格式解析的入侵監(jiān)測主要針對特定攻擊模式，如“心臟出血”攻擊、版本回滾攻擊等，不具備通用性，難以實(shí)現(xiàn)對未知攻擊方法進(jìn)行有效監(jiān)測。因此現(xiàn)有方法均無法有效監(jiān)測針對協(xié)議邏輯進(jìn)行的低交互型攻擊（如并行會話攻擊、重放攻擊）。

針對這一問題，本文提出了一種密碼協(xié)議在線監(jiān)測方法（CPOMA, cryptographic protocol online monitoring approach），實(shí)現(xiàn)了對密碼協(xié)議低交互型攻擊行為的語義級別的監(jiān)測，有助于實(shí)現(xiàn)密碼協(xié)議在線運(yùn)行的安全性。主要貢獻(xiàn)有：1) 構(gòu)建面向密碼協(xié)議的特征項(xiàng)本體框架，統(tǒng)一描述不同類型特征項(xiàng)；2) 首次基于模糊子空間聚類方法（FSC, fuzzy subspace cluster）進(jìn)行特征加權(quán)，并建立協(xié)議個體化特征庫；3) 針對未知密碼協(xié)議，給出自學(xué)習(xí)的識別與會話實(shí)例重構(gòu)方法；4) 實(shí)現(xiàn)密碼協(xié)議在線監(jiān)測平臺，監(jiān)測協(xié)議異常會話，為協(xié)議在線安全性分析提供支撐。

2 相關(guān)工作

2.1 密碼協(xié)議識別與會話實(shí)例重構(gòu)

要實(shí)現(xiàn)協(xié)議在線安全性分析，必須能夠在線識別信息系統(tǒng)中報(bào)文數(shù)據(jù)的協(xié)議類型，重構(gòu)協(xié)議會話實(shí)例，獲取協(xié)議當(dāng)前運(yùn)行狀態(tài)信息，進(jìn)而有效監(jiān)測當(dāng)前協(xié)議是否存在安全隱患。因此，密碼協(xié)議識別和會話實(shí)例重構(gòu)技術(shù)是實(shí)現(xiàn)協(xié)議在線安全性分析的前提和基礎(chǔ)。

現(xiàn)有密碼協(xié)議識別方法主要有4個方面。1) 基于端口的方法：借助協(xié)議默認(rèn)端口號識別，不適用使用動態(tài)端口的協(xié)議。2) 基于負(fù)載內(nèi)容的方法[1,2]：通過匹配協(xié)議關(guān)鍵詞識別，不適用于協(xié)議報(bào)文全加密的情況，且對新協(xié)議的識別具有滯后性。3) 基于流量統(tǒng)計(jì)特征的方法[3~8]。相同協(xié)議的網(wǎng)絡(luò)流具有相似統(tǒng)計(jì)特征，可依據(jù)網(wǎng)絡(luò)報(bào)文的流量統(tǒng)計(jì)特征識別協(xié)議。該類方法大都采用機(jī)器學(xué)習(xí)技術(shù)，能夠識別全加密協(xié)議，但準(zhǔn)確性和健壯性低于基于負(fù)載內(nèi)容的方法。4)綜合方法[9~12]。上述3類方法各有優(yōu)缺點(diǎn)，一些研究試圖將它們結(jié)合使用。PortLoad[9]結(jié)合基于端口的方法和基于負(fù)載內(nèi)容的方法識別協(xié)議。TIE[10]支持以插件形式開發(fā)識別模塊，實(shí)現(xiàn)多個識別方法的在線協(xié)同工作。NetraMark[11]結(jié)合11種不同的流量分類器，支持?jǐn)U展新的識別方法并比較識別結(jié)果。文獻(xiàn)[12]指出，硬編碼實(shí)現(xiàn)的協(xié)議識別方法，每增加一種新的識別方法，修改識別規(guī)則都需要一個編寫代碼、重編譯、系統(tǒng)重啟的過程，無法在線升級新的識別方法和頻繁改變的識別規(guī)則；并針對該問題，結(jié)合各種識別方法提出一種可擴(kuò)展的識別架構(gòu)，但無法識別未知協(xié)議。

由上可知，結(jié)合各種方法的優(yōu)點(diǎn)，建立統(tǒng)一的協(xié)議識別框架是協(xié)議識別領(lǐng)域的重要研究方向。該框架需要支持協(xié)議特征庫的更新和擴(kuò)展，并且有效解決未知協(xié)議的識別問題。

協(xié)議會話實(shí)例重構(gòu)需要進(jìn)一步識別協(xié)議報(bào)文類型，并重構(gòu)報(bào)文關(guān)鍵項(xiàng)的語法、語義和交互步驟，這需要以協(xié)議的格式描述信息為基礎(chǔ)?，F(xiàn)有協(xié)議分析工具（如Wireshark）僅能重構(gòu)已知規(guī)范協(xié)議會話，無法恢復(fù)未知規(guī)范協(xié)議會話。因此，需要自動解析未知密碼協(xié)議格式信息。基于網(wǎng)絡(luò)報(bào)文流量信息的方法[13,14]僅考慮報(bào)文載荷中的明文信息，不適用于包含大量密文信息的密碼協(xié)議。為此，朱玉娜等[15]提出一種新的面向未知密碼協(xié)議的格式解析方法SPFPA，解析可用明文格式特征，并挖掘協(xié)議報(bào)文中包含的密文數(shù)據(jù)特征。

2.2 密碼協(xié)議異常會話監(jiān)測

為保障密碼協(xié)議運(yùn)行過程中的安全性，研究人員基于流量分析[16~19]或特定語義格式解析（如Snort 心臟出血漏洞下行監(jiān)測規(guī)則）監(jiān)測密碼協(xié)議異常。ProtoMon[16]通過監(jiān)測協(xié)議執(zhí)行進(jìn)程監(jiān)測協(xié)議會話的安全性；文獻(xiàn)[17]采集分析多種形式的元數(shù)據(jù)，并基于統(tǒng)計(jì)和模式識別方法監(jiān)測協(xié)議的異常狀態(tài)；文獻(xiàn)[18]提出了一種非參數(shù)累積和算法追蹤可能的攻擊者；文獻(xiàn)[19]給出了基于統(tǒng)計(jì)模型的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文監(jiān)測方法。

上述方法均在攻擊報(bào)文與正常報(bào)文有明顯區(qū)別或者高交互型攻擊下監(jiān)測協(xié)議異常。對并行會話攻擊等低交互型攻擊而言，攻擊過程與正常交互時的協(xié)議報(bào)文語法格式相同，無法利用上述方法有效監(jiān)測。文獻(xiàn)[20]為每類密碼協(xié)議建立運(yùn)行狀態(tài)轉(zhuǎn)換規(guī)則庫和已知攻擊特征庫，結(jié)合密碼協(xié)議參與者的活動信息與特征庫的映射關(guān)系，監(jiān)測密碼協(xié)議運(yùn)行行為，但主要監(jiān)測密碼協(xié)議的已知邏輯漏洞，不能監(jiān)測未知攻擊，不具有通用性。為此，針對協(xié)議邏輯的低交互型攻擊，需要給出新的具有通用性的協(xié)議安全性監(jiān)測方法。

3 CPOMA總體框架

密碼協(xié)議在線監(jiān)測方法CPOMA的總體框架如圖1所示。

CPOMA具體各模塊功能描述如下。

1) 協(xié)議特征庫構(gòu)建

分析密碼協(xié)議識別特征項(xiàng)和會話實(shí)例重構(gòu)特征項(xiàng)，并基于Methontology方法構(gòu)建密碼協(xié)議特征項(xiàng)本體框架?？紤]每一維特征對不同類別的識別貢獻(xiàn)程度，基于FSC方法為每類協(xié)議的各個識別特征項(xiàng)獲取相應(yīng)的權(quán)重系數(shù)?；谔卣黜?xiàng)本體框架和獲取的加權(quán)特征為每類協(xié)議分別給出相應(yīng)本體實(shí)例，構(gòu)建個體化的協(xié)議實(shí)例特征庫。

2) 安全性在線監(jiān)測

基于特征項(xiàng)描述框架在線提取實(shí)際網(wǎng)絡(luò)環(huán)境下獲取的報(bào)文特征，并根據(jù)協(xié)議實(shí)例特征庫的識別規(guī)則進(jìn)行推理，識別協(xié)議類型。基于識別結(jié)果和密碼協(xié)議實(shí)例特征庫，進(jìn)一步識別報(bào)文類型，恢復(fù)報(bào)文關(guān)鍵項(xiàng)的語法、語義、交互步驟，重構(gòu)協(xié)議會話實(shí)例。監(jiān)測協(xié)議當(dāng)前狀態(tài)，若發(fā)現(xiàn)攻擊行為，則及時阻斷協(xié)議會話，避免攻擊者進(jìn)一步攻擊。

3) 自學(xué)習(xí)

依據(jù)協(xié)議的規(guī)范性和報(bào)文中密文數(shù)據(jù)的隨機(jī)性，啟發(fā)式判定未識別報(bào)文是否屬于密碼協(xié)議。對未知密碼協(xié)議聚類并標(biāo)記其類型，提取協(xié)議特征項(xiàng)存入?yún)f(xié)議實(shí)例特征庫，用于后續(xù)監(jiān)測。

4 協(xié)議實(shí)例特征庫構(gòu)建

4.1 面向密碼協(xié)議的特征項(xiàng)本體框架

本節(jié)分析密碼協(xié)議的識別特征項(xiàng)和會話實(shí)例重構(gòu)特征項(xiàng)，在此基礎(chǔ)上構(gòu)建密碼協(xié)議特征項(xiàng)本體框架。

4.1.1 密碼協(xié)議特征項(xiàng)分析

密碼協(xié)議識別特征項(xiàng)主要有以下3類。1) 端口特征。2) 數(shù)據(jù)報(bào)文載荷特征：①關(guān)鍵詞特征，關(guān)鍵詞是在報(bào)文格式中用于標(biāo)識協(xié)議報(bào)文類型和傳遞相關(guān)控制信息的協(xié)議字段，如協(xié)議名稱、版本號、命令碼、標(biāo)識信息等，絕大多數(shù)的網(wǎng)絡(luò)協(xié)議都會在報(bào)文格式中定義一個或多個關(guān)鍵詞，關(guān)鍵詞在協(xié)議中頻繁出現(xiàn)，是組成協(xié)議特征的重要元素；②負(fù)載統(tǒng)計(jì)特征，將負(fù)載的前byte作為特征矢量以識別協(xié)議，Haffner[2]指出只需要流的前64 byte負(fù)載就可以挖掘協(xié)議識別特征。3) 流量統(tǒng)計(jì)特征：Moore等[3]給出了網(wǎng)絡(luò)流中用于協(xié)議識別的249種屬性特征，其中，數(shù)據(jù)分組大小、分組到達(dá)時間間隔是關(guān)鍵特征[6,8]。

本文采用端口、流中前64 byte負(fù)載的關(guān)鍵詞序列和字節(jié)分布、流中前個數(shù)據(jù)分組的大小和分組到達(dá)時間間隔作為密碼協(xié)議識別特征。端口和負(fù)載關(guān)鍵詞為精確特征。而同一協(xié)議的統(tǒng)計(jì)特征（負(fù)載字節(jié)分布、數(shù)據(jù)分組大小、分組到達(dá)時間間隔）并非嚴(yán)格一致，通常借助于機(jī)器學(xué)習(xí)方法完成識別。現(xiàn)有基于統(tǒng)計(jì)特征的識別方法大都為不同協(xié)議選擇統(tǒng)一的特征集合，而每一維特征對不同類別可能具有不同的貢獻(xiàn)，應(yīng)引入特征權(quán)重來強(qiáng)化重要特征的積極作用，削減冗余特征的不利影響。

會話實(shí)例重構(gòu)需要識別協(xié)議報(bào)文類型，并重構(gòu)報(bào)文關(guān)鍵項(xiàng)的語法、語義和交互步驟。本文密碼協(xié)議的會話實(shí)例重構(gòu)特征項(xiàng)主要有以下幾方面。1) 報(bào)文類型識別特征：協(xié)議會話由不同類型的報(bào)文組成，每類報(bào)文實(shí)現(xiàn)特定的功能，具有不同的語法語義，可根據(jù)協(xié)議會話過程中的數(shù)據(jù)報(bào)文載荷特征和流量統(tǒng)計(jì)特征識別報(bào)文類型。2) 報(bào)文關(guān)鍵項(xiàng)重構(gòu)特征：①關(guān)鍵詞特征，重構(gòu)會話不僅需要考慮與協(xié)議識別相關(guān)的前64 byte關(guān)鍵詞，還需要考慮完整協(xié)議會話過程中的其他關(guān)鍵詞；②密文數(shù)據(jù)特征，攻擊者常常通過重放、轉(zhuǎn)發(fā)密文攻擊協(xié)議，應(yīng)充分利用密文數(shù)據(jù)特征。3）協(xié)議時序行為特征：協(xié)議時序行為體現(xiàn)了協(xié)議狀態(tài)之間的轉(zhuǎn)換關(guān)系。一次協(xié)議會話可看作是協(xié)議的一種狀態(tài)轉(zhuǎn)換路徑。

4.1.2 協(xié)議特征項(xiàng)本體框架

不同類型的密碼協(xié)議特征項(xiàng)在格式、取值范圍等方面存在巨大差異。本體是指共享概念模型的明確的形式化規(guī)范說明，用于描述概念以及概念之間的關(guān)系，支持邏輯推理、便于知識重用，應(yīng)用廣泛。本文基于本體描述協(xié)議特征項(xiàng)，建立可擴(kuò)展的協(xié)議特征項(xiàng)描述框架。一方面，該框架可以隨時修改其結(jié)構(gòu)、功能，方便增加規(guī)則，支持特征庫更新擴(kuò)展，便于重用和共享；另一方面，可以基于該框架實(shí)例化特定類型協(xié)議，為每類協(xié)議分別建立相應(yīng)的特征和識別規(guī)則，構(gòu)建協(xié)議個體化特征庫。

密碼協(xié)議識別特征項(xiàng)、會話實(shí)例重構(gòu)特征項(xiàng)以及特征項(xiàng)相關(guān)的屬性概念統(tǒng)稱為協(xié)議概念p。協(xié)議識別和會話實(shí)例重構(gòu)將流作為一個整體考慮，因此在密碼協(xié)議特征項(xiàng)本體框架中將流Flow作為根概念。Flow包括2個屬性概念：特征項(xiàng)Signature和協(xié)議類型ProtocolType，其中，ProtocolType可由Signature生成的公理得到。Signature包括如下幾項(xiàng)。1）端口特征Port_number。2）數(shù)據(jù)分組特征Packet_feature，包括：①數(shù)據(jù)分組統(tǒng)計(jì)特征Statistic——數(shù)據(jù)分組大小PacketLength和分組到達(dá)時間間隔IntervalTime；②載荷特征Payload：域Field（關(guān)鍵詞Keywords、密文域Ciphertext_field、長度域Length_field）和負(fù)載統(tǒng)計(jì)特征The_first_64_byte；對流中第1個數(shù)據(jù)分組而言，若其負(fù)載大于等于64 byte，則載荷特征直接從該數(shù)據(jù)分組中獲取；若其負(fù)載小于64 byte，則還需從后續(xù)數(shù)據(jù)分組中進(jìn)一步獲取與流中前64 byte相關(guān)的載荷特征；③時序行為相關(guān)的特征——數(shù)據(jù)分組偏移Packet_offset和數(shù)據(jù)分組方向Dir。3）統(tǒng)計(jì)特征相關(guān)的類簇特征Cluster_profile，包括類簇中心Center和距離閾值Distance_threshold。隨后，對特征項(xiàng)概念根據(jù)密碼協(xié)議的運(yùn)行特點(diǎn)進(jìn)一步確定相關(guān)的屬性概念，如PacketLength存在2個屬性概念：權(quán)重系數(shù)Len_weight和值Len_value。

SWRL(semantic Web rule language)是由以語義的方式呈現(xiàn)規(guī)則的一種語言，目前已成為語義Web 邏輯層的標(biāo)準(zhǔn)語言。SQWRL(semantic query- enhanced web rule language)是SWRL的擴(kuò)展語言。本文基于SQWRL描述協(xié)議特征項(xiàng)本體框架中的協(xié)議識別規(guī)則。1) 端口識別規(guī)則和數(shù)據(jù)分組載荷識別規(guī)則：端口特征和數(shù)據(jù)分組載荷的關(guān)鍵詞特征為精確特征，對其進(jìn)行匹配即可識別密碼協(xié)議。端口識別規(guī)則如下：Flow(?) ∧Port_number(?, ?)∧swrlb:equal(?, value)→ ProtocolType；數(shù)據(jù)分組載荷識別規(guī)則如下：Flow(?)∧KeywordsValue(?,?)∧KeywordsOffset(?,?)∧swrlb:equal(?, value1)∧ swrlb:equal(?, value2)→ProtocolType。2) 流量統(tǒng)計(jì)特征識別規(guī)則：同一協(xié)議的負(fù)載統(tǒng)計(jì)特征和流量統(tǒng)計(jì)特征并不完全一致，大都借助于機(jī)器學(xué)習(xí)進(jìn)行識別。對協(xié)議樣本進(jìn)行聚類，獲取每類協(xié)議的類簇中心、類簇劃分、特征權(quán)重系數(shù)，并為每個類簇設(shè)定距離閾值。計(jì)算待識別樣本與每個類簇中心的距離（由于引入特征權(quán)重，分別計(jì)算樣本特征向量與所有協(xié)議類簇中心z之間的加權(quán)歐式距離），若距離均大于給定的距離閾值，則為未知協(xié)議，即(Flow(?)∧Center(?z)∧ Distance_threhold(?r)∧swrlb:greaterthan (?(?z), r)) →UnknownProtocolType；否則選擇距離最近的類簇中心作為對應(yīng)的協(xié)議類型。即Flow(?)∧Center(?z)∧Distance_threhold(?r) ∧swrlb:lessthan (?(?z),r))∧sqwrl:min(?(?z))→ ProtocolType。

4.2 基于FSC的特征加權(quán)方法

子空間聚類方法可以在對數(shù)據(jù)樣本聚類劃分的過程中，得到各個數(shù)據(jù)簇對應(yīng)的特征子集，目前已成功應(yīng)用于文本分類等領(lǐng)域。SubFlow[8]首次采用硬子空間聚類方法構(gòu)建協(xié)議個體化特征庫，提高了識別的準(zhǔn)確性和健壯性，但在提取協(xié)議特征階段，要求流量由同一類協(xié)議組成，不適用多種協(xié)議混雜的情況。與硬子空間聚類方法對比，軟子空間聚類具有更好的適應(yīng)性和靈活性，已成為學(xué)術(shù)界的研究熱點(diǎn)，F(xiàn)SC[22]是其中的典型方法。

為提高基于統(tǒng)計(jì)特征的識別效果，本文基于FSC獲取各個特征的權(quán)重系數(shù)，為不同類型協(xié)議構(gòu)建不同的加權(quán)統(tǒng)計(jì)特征。

4.2.1 FSC方法

4.2.2 特征加權(quán)方法

1) FSC初始點(diǎn)選擇算法

FSC方法對初始點(diǎn)敏感，初始中心選擇不當(dāng)容易陷入局部最優(yōu)解。為此，本文借鑒means++的思想，選取彼此距離盡可能遠(yuǎn)的樣本點(diǎn)作為初始類簇中心。從數(shù)據(jù)集中隨機(jī)選擇1個點(diǎn)作為第1個類簇中心，并依據(jù)規(guī)則選取其他類簇中心。

2) 特征加權(quán)

特征加權(quán)流程如圖3所示。

Step1 基于FSC方法獲取各個特征的權(quán)重系數(shù)。首先利用初始點(diǎn)選擇算法從協(xié)議數(shù)據(jù)集中選擇個中心點(diǎn)，隨后執(zhí)行FSC方法，得到的類簇劃分、類簇中心矩陣和特征加權(quán)系數(shù)矩陣。

Step2 建立類簇與協(xié)議類型的映射，并獲取協(xié)議特征。

FSC聚類結(jié)果是未知類別標(biāo)簽的類簇集合，需要進(jìn)一步明確每個類簇對應(yīng)的協(xié)議類型。記協(xié)議類型集合為，為類簇中協(xié)議類型()的樣本數(shù)目；是類簇的樣本數(shù)目。由最大似然估計(jì)可知，因此類簇與協(xié)議類型的映射函數(shù)為。即對每一個類簇中的樣本標(biāo)記協(xié)議類型，類簇中樣本數(shù)目最多的類型標(biāo)簽記為該類簇的協(xié)議類型。

在確定類簇對應(yīng)的協(xié)議類型后，該類簇對應(yīng)的類簇中心、特征、特征加權(quán)系數(shù)、距離閾值即為相應(yīng)的協(xié)議特征。

4.3 密碼協(xié)議實(shí)例特征庫

根據(jù)協(xié)議特征項(xiàng)本體描述框架，對特定類型協(xié)議分別進(jìn)行實(shí)例化，構(gòu)建協(xié)議實(shí)例特征庫。1）確定協(xié)議特征項(xiàng)各個屬性的值。對端口特征，根據(jù)well-known注冊端口號進(jìn)行實(shí)例化。對數(shù)據(jù)報(bào)文載荷特征，已知規(guī)范協(xié)議根據(jù)其規(guī)范進(jìn)行實(shí)例化，未知規(guī)范協(xié)議則依據(jù)SPFPA方法[15]進(jìn)行逆向，提取協(xié)議載荷特征；對流量統(tǒng)計(jì)特征，基于FSC方法進(jìn)行加權(quán)，將獲取的加權(quán)統(tǒng)計(jì)特征存入?yún)f(xié)議本體特征庫。2）描述協(xié)議識別規(guī)則。以Https協(xié)議端口識別規(guī)則為例，在well-known端口號（443）上運(yùn)行的都為固定類型Https的協(xié)議，識別規(guī)則為Flow(?) ∧port_number(?,?)∧swrlb:equal(?, 443)→ ProtocolType(?, https)。

Protégé是由斯坦福大學(xué)開發(fā)的開源本體編輯器。由于其開放性和兼容性，Protégé成為目前本體編輯的首選工具，應(yīng)用廣泛。本文采用Protégé編輯協(xié)議本體庫，SWRL規(guī)則通過Protégé的SWRL Tab插件編寫。

5 安全性在線監(jiān)測

5.1 密碼協(xié)議識別與會話實(shí)例重構(gòu)

基于特征項(xiàng)本體描述框架在線提取待識別樣本流的協(xié)議特征向量，并基于本體庫中的識別規(guī)則進(jìn)行推理，輸出協(xié)議類型。

隨后基于識別結(jié)果重構(gòu)協(xié)議會話實(shí)例。按照參與方數(shù)目，可將密碼協(xié)議劃分為兩方密碼協(xié)議和多方密碼協(xié)議。兩方密碼協(xié)議一次會話過程包含在一個TCP連接或一個UDP雙向流中。多方密碼協(xié)議會話則分布在多個單向流中?，F(xiàn)有方法不能確定哪些流的報(bào)文具有關(guān)聯(lián)關(guān)系，無法恢復(fù)多方密碼協(xié)議會話過程。本文針對這一問題，提取屬于同一次會話的流之間的關(guān)聯(lián)特征，確定屬于同一次會話的流[23]。

在此基礎(chǔ)上，結(jié)合密碼協(xié)議特征描述框架的目標(biāo)密碼協(xié)議消息相關(guān)特征（數(shù)據(jù)報(bào)文大小、方向、偏移位置、載荷等），即可確定每個會話中的報(bào)文類型，從而對目標(biāo)協(xié)議一次完整的消息交互序列進(jìn)行構(gòu)建，并構(gòu)建關(guān)鍵項(xiàng)的語法、語義、交互步驟。

5.2 安全性監(jiān)測

本文基于如下方法實(shí)現(xiàn)對協(xié)議實(shí)現(xiàn)邏輯的低交互性攻擊監(jiān)測。

Step1 并行會話監(jiān)測。攻擊者無法解密密文，通過轉(zhuǎn)發(fā)、重放密文進(jìn)行攻擊，因此并行會話的出現(xiàn)是攻擊發(fā)生的必要條件?？筛鶕?jù)會話重實(shí)例構(gòu)結(jié)果監(jiān)測并行會話。

Step2 重放項(xiàng)檢查。在監(jiān)測到并行會話序列后，進(jìn)一步對相關(guān)會話中關(guān)鍵消息項(xiàng)進(jìn)行重放項(xiàng)檢查。本文采用隨機(jī)抽取節(jié)點(diǎn)的方法對密文進(jìn)行比對。次隨機(jī)抽取位置如果都一致的情況下（的取值與密文長度相關(guān)），可判定為2個密文項(xiàng)相同。

Step3 攻擊判定。由密文的隨機(jī)性可知，正常交互情況下不同會話中的報(bào)文密文項(xiàng)不同。若發(fā)現(xiàn)密文部分存在重復(fù)內(nèi)容，則存在攻擊。

Step4 報(bào)警及攻擊定位。攻擊發(fā)生后通知用戶，鎖定攻擊方IP地址，并存儲相關(guān)消息。

6 自學(xué)習(xí)反饋機(jī)制

當(dāng)出現(xiàn)未知密碼協(xié)議時，協(xié)議識別效果下降。本文引入自學(xué)習(xí)機(jī)制，獲取未知密碼協(xié)議特征，用與后續(xù)識別與會話實(shí)例重構(gòu)。

Step1 啟發(fā)式判斷未識別流是否為密碼協(xié)議。

1) 根據(jù)長度變化范圍區(qū)分協(xié)議和傳輸流量

協(xié)議具有特定的規(guī)范，流中前幾個分組長度分布在一定取值范圍內(nèi)，一般變化較大。傳輸數(shù)據(jù)時，通常需要在IP層根據(jù)MTU對數(shù)據(jù)進(jìn)行分片，流中分組長度大部分為固定值。由此依據(jù)長度變化范圍區(qū)分協(xié)議和傳輸流量。若第一個分組小于MTU，執(zhí)行2）。若大于MTU，由于協(xié)議可能存在較長的證書數(shù)據(jù)（證書一般需要2~3個數(shù)據(jù)分組），進(jìn)一步進(jìn)行處理，若第2~3個數(shù)據(jù)分組長度等于MTU，則對該流不再進(jìn)行處理，否則，執(zhí)行2）。

2) 依據(jù)密碼協(xié)議密文數(shù)據(jù)的隨機(jī)性區(qū)分密碼協(xié)議和非密碼協(xié)議

①判斷第1個數(shù)據(jù)分組前32 byte的密文隨機(jī)性，對全密文數(shù)據(jù)而言，對其前32 byte進(jìn)行熵估計(jì)，即可判斷該數(shù)據(jù)是否加密[24]。若是，執(zhí)行Step2，否則執(zhí)行②。

②對密文而言，連續(xù)5 byte第一個比特值同時為0或者同時為1的概率為，為小概率事件。對文本協(xié)議而言，其明文為ASCII碼，取值范圍為0~127，字節(jié)第一個比特值為0，明文中經(jīng)常出現(xiàn)5個連續(xù)ASCII碼。對于二進(jìn)制協(xié)議，由于協(xié)議規(guī)范具有特定語義，也經(jīng)常出現(xiàn)5個連續(xù)字節(jié)第一個比特值為0的情況?？衫眠B續(xù)5 byte第1個比特是否相同大致判斷是否存在密文。對第1個數(shù)據(jù)分組載荷部分查找可能的密文區(qū)間。首先對載荷字節(jié)進(jìn)行編碼，連續(xù)5 byte第一個比特相同則編碼為0，不同則編碼為1。鑒于密文的隨機(jī)性，密文數(shù)據(jù)編碼后出現(xiàn)0為小概率事件。協(xié)議密文一般長度為16~512 byte，本文對編碼為1的負(fù)載字節(jié)區(qū)域，設(shè)置16 byte的滑動窗口，該窗口始終包含該負(fù)載字節(jié)區(qū)域，并對該窗口包含的字節(jié)區(qū)域進(jìn)行隨機(jī)的頻數(shù)測試。若存在某滑動窗口且該窗口包含的字節(jié)區(qū)域能夠通過頻數(shù)測試，則數(shù)據(jù)分組中可能存在密文域，該流可能為密碼協(xié)議類型，執(zhí)行Step2，否則執(zhí)行③。

③密碼協(xié)議流中最后1個數(shù)據(jù)分組通常包含密文數(shù)據(jù)。對流中最后1個數(shù)據(jù)分組執(zhí)行與第1個數(shù)據(jù)分組相同的步驟，若判定該分組可能存在密文域，執(zhí)行Step2；否則，對該流不做處理。

Step2 聚類并標(biāo)記協(xié)議類型。對可能為密碼協(xié)議的流，基于特征項(xiàng)描述框架在線提取特征，提取流第一個數(shù)據(jù)分組前64 byte載荷數(shù)據(jù)和前個數(shù)據(jù)分組長度、分組間隔時間。當(dāng)未識別密碼協(xié)議的流達(dá)到一定數(shù)目后，通過FSC方法進(jìn)行聚類，并對類簇得到的協(xié)議簇進(jìn)行標(biāo)記。其中，在選擇FSC初始點(diǎn)時，已存在的類簇中心作為初始點(diǎn)，以降低復(fù)雜度。

Step3 提取協(xié)議特征，用于后續(xù)識別和會話重構(gòu)。將協(xié)議類簇對應(yīng)的識別特征存入?yún)f(xié)議實(shí)例特征庫，參與后續(xù)識別過程；對同一類型協(xié)議依據(jù)筆者提出的SPFPA方法[15]進(jìn)行逆向，首先基于序列模式挖掘方法提取協(xié)議的關(guān)鍵詞序列特征，并在此基礎(chǔ)上利用密文數(shù)據(jù)的隨機(jī)性特征確定密文域，充分利用協(xié)議密文數(shù)據(jù)特征，從而有效解析協(xié)議格式，提取協(xié)議載荷特征，存入?yún)f(xié)議實(shí)例特征庫，用于后續(xù)會話實(shí)例重構(gòu)；未聚類的未識別密碼協(xié)議繼續(xù)參與后續(xù)聚類。

7 密碼協(xié)議在線監(jiān)測平臺

基于CPOMA方法，本文設(shè)計(jì)了面向密碼協(xié)議的在線監(jiān)測平臺，平臺效果如圖4所示。該平臺包含報(bào)文識別模塊、會話重構(gòu)模塊和攻擊監(jiān)測模塊，能夠?qū)崿F(xiàn)在線監(jiān)測針對協(xié)議邏輯的攻擊行為。

7.1 實(shí)驗(yàn)環(huán)境

基于CPOMA平臺，選取SSL協(xié)議、SSH協(xié)議、NS協(xié)議以及Skype協(xié)議進(jìn)行實(shí)驗(yàn)，其中，SSL、SSH和Skype協(xié)議是網(wǎng)絡(luò)中廣泛應(yīng)用的密碼協(xié)議；NS公鑰協(xié)議屬于經(jīng)典基礎(chǔ)密碼協(xié)議。

協(xié)議流量數(shù)據(jù)集如表1所示。第1部分為包含SSL協(xié)議的廣域網(wǎng)流量。第2部分來源于InfoVisContest數(shù)據(jù)集注1http://2009.hack.lu/index.php/InfoVisContest。，為包含SSH協(xié)議的網(wǎng)絡(luò)流量。第3部分由實(shí)驗(yàn)室局域網(wǎng)環(huán)境產(chǎn)生，為包含NS公鑰協(xié)議的網(wǎng)絡(luò)流量，包括正常協(xié)議流量和并行會話攻擊的協(xié)議流量，其中，NS公鑰協(xié)議的應(yīng)用程序采用Spi2Java工具生成，并在各個主機(jī)上運(yùn)行。第4部分來源于Tstat數(shù)據(jù)集注2http://tstat.tlc.polito.it/traces-skype.shtml。，為Skype 的UDP流量。第5部分來源于廣域網(wǎng)，為普通網(wǎng)絡(luò)通信協(xié)議（Http協(xié)議、FTP協(xié)議）流量。

表1 協(xié)議數(shù)據(jù)集

實(shí)驗(yàn)主要驗(yàn)證CPOMA的識別效果、自學(xué)習(xí)效果、會話重構(gòu)效果以及異常會話監(jiān)測效果。Skype協(xié)議是私有協(xié)議，其協(xié)議規(guī)范不公開，無法確定會話重構(gòu)效果，本文將其用于識別效果和自學(xué)習(xí)效果的驗(yàn)證。

首先，基于Lua腳本對數(shù)據(jù)集進(jìn)行處理，獲取與協(xié)議相關(guān)的信息（如通信雙方IP、端口、載荷內(nèi)容、分組長度等）。對協(xié)議識別特征通過Z-score進(jìn)行歸一化處理，使數(shù)據(jù)的各維特征都在[0,1]。從SSL、SSH和NS中分別提取500個完整會話，作為訓(xùn)練集，用于構(gòu)建協(xié)議實(shí)例特征庫；數(shù)據(jù)集其余部分作為測試集，采用JESS推理引擎進(jìn)行知識推理，識別協(xié)議，并基于實(shí)例特征庫進(jìn)一步解析協(xié)議，重構(gòu)會話并監(jiān)測是否存在異常。

7.2 參數(shù)設(shè)置

不同聚類數(shù)目下的值如圖5(a)所示。訓(xùn)練集中存在3類協(xié)議——NS 、SSL、SSH。當(dāng)=3，p=4或p=5時，為最大值。由于設(shè)定p=4與設(shè)定p=5相比，CPOMA復(fù)雜度更低，效率更高，本文設(shè)定=3，p=4。

識別參數(shù)為距離閾值r中的，依據(jù)文獻(xiàn)[4]方法進(jìn)行設(shè)定。對訓(xùn)練集在不同值情況下進(jìn)行識別，并統(tǒng)計(jì)識別為未知協(xié)議類型的比例，如圖5(b)所示。當(dāng)增大時，判定為未知協(xié)議類型的樣本數(shù)目減少，識別新協(xié)議類型的概率也隨著下降。將可以較好識別已知協(xié)議的最小值作為閾值，設(shè)定=2.5。

7.3 實(shí)驗(yàn)結(jié)果

1) 協(xié)議識別結(jié)果

采用如下性能指標(biāo)衡量識別效果。記測試集中某協(xié)議A的樣本數(shù)目為。1表示被正確識別為A的樣本數(shù)，2表示非A被錯誤識別為A的樣本數(shù)，識別率=，誤識別率=。識別率越高，誤識別率越低，相應(yīng)的識別效果越好。

在不加入自學(xué)習(xí)反饋機(jī)制的情況下，分別采用-means和FSC方法獲取協(xié)議特征并識別協(xié)議，由于子空間聚類考慮了不同協(xié)議特征的權(quán)重，識別效果相對-means方法更好，如圖6所示。

2) 會話重構(gòu)效果

對識別的SSL協(xié)議、SSH協(xié)議和NS協(xié)議進(jìn)行會話重構(gòu)。SPFPA方法[17]根據(jù)識別結(jié)果可以較好地解析協(xié)議。多方密碼協(xié)議會話識別方法[18]可以較好地構(gòu)建密碼協(xié)議會話流，在此基礎(chǔ)上能夠進(jìn)一步識別報(bào)文類型，重構(gòu)協(xié)議會話實(shí)例。采用會話重構(gòu)率指標(biāo)評價(jià)會話重構(gòu)效果。記測試集中某協(xié)議A的會話樣本數(shù)目為,表示被成功重構(gòu)的會話數(shù)目，協(xié)議A的會話重構(gòu)率為。不同訓(xùn)練樣本數(shù)的協(xié)議會話重構(gòu)率如圖7所示，當(dāng)訓(xùn)練集中某協(xié)議的會話數(shù)目大于100時，會話重構(gòu)率在92.3%以上。

3) 自學(xué)習(xí)反饋效果

在加入自學(xué)習(xí)反饋機(jī)制的情況下，采用FSC方法識別協(xié)議。依次選擇4個測試集進(jìn)行驗(yàn)證，每類包含500個協(xié)議會話。第1部分為包含SSL、SSH、NS的流量，第2部分在第1部分基礎(chǔ)上增加Http和FTP協(xié)議，第3部分在第1部分基礎(chǔ)上增加Skype協(xié)議流量、密文數(shù)據(jù)傳輸流量。第4部分包括所有協(xié)議。記測試集中協(xié)議樣本數(shù)目為，1表示成功識別的協(xié)議樣本，記識別比例為。結(jié)果如表2所示，對測試集2進(jìn)行自學(xué)習(xí)后，Http協(xié)議和FTP協(xié)議判定為非密碼協(xié)議；對測試集3進(jìn)行自學(xué)習(xí)后，可以成功將Skpye協(xié)議判定為未知密碼協(xié)議流量，并形成新簇，提取其識別特征，加密數(shù)據(jù)傳輸流量則判定為非加密流量；在測試集4中能夠識別Skype協(xié)議，其識別率為97.2%。

表2 自學(xué)習(xí)結(jié)果

4) 異常會話監(jiān)測效果

測試集的NS協(xié)議流量中存在1 397次正常的密碼協(xié)議會話，103次并行會話攻擊。CPOMA成功監(jiān)測98次攻擊，攻擊監(jiān)測正確率為100%，漏報(bào)率為6.7%。攻擊監(jiān)測效果如圖8所示，針對監(jiān)測到的攻擊，可提供實(shí)時報(bào)警，定位攻擊者。

8 結(jié)束語

本文提出了一種密碼協(xié)議在線監(jiān)測方法CPOMA。該方法建立了特征項(xiàng)本體描述框架，給出了基于FSC的特征加權(quán)方法，并構(gòu)建協(xié)議特征庫。在此基礎(chǔ)上進(jìn)行協(xié)議識別和會話實(shí)例重構(gòu)，進(jìn)而監(jiān)測協(xié)議異常會話。實(shí)驗(yàn)結(jié)果表明，該方法能夠較好地監(jiān)測協(xié)議會話，為協(xié)議動態(tài)安全性分析提供支撐，但CPOMA還存在一定的局限性。1）目前，多方密碼協(xié)議的識別主要針對可以獲取同類多方密碼協(xié)議流量的情況，需要提前進(jìn)行訓(xùn)練并提取多方密碼協(xié)議特征，下一步提出多方密碼協(xié)議的自學(xué)習(xí)識別方法。2）FSC對初始點(diǎn)選擇敏感、容易陷入局部最優(yōu)解，出現(xiàn)若干類簇合并的現(xiàn)象，需要結(jié)合半監(jiān)督學(xué)習(xí)和FSC，進(jìn)一步提高協(xié)議識別正確率。

[1] BERNAILLE L, TEIXEIRA R. Early recognition of encrypted applications[C]//The 8th International Conference on Passive and Active Network Measurement. Belgium, c2007: 165-175.

[2] HAFFNER P, SEN S, SPATSCHECKO, et al. ACAS: automated construction of application signatures[C]//ACM SIGCOMM Workshop on Mining Network Data. Philadelphia, PA, USA, c2005: 197-202.

[3] MOORE A, ZUEV D, CROGAN M. Discriminators for use in flow-based classification: technical report, RR-05-13[R]. UK: Quecn Mayr University of London, 2005.

[4] BERNAILLE L, TEIXEIRA R， SALAMATIAN K. Early application identification[C]//ACM CoNEXT, Lisboa, Portugal, c2006.

[5] ZHANG J, XIANG Y, WANG Y, et al. Network traffic classification using correlation information[J]. IEEE Transactions on Parallel & Distributed Systems, 2013, 24(1): 104-117.

[6] BARALIS E M，MELLIA M，GRIMAUDO L. Self-learning classifier for internet traffic[J]. IEEE INFOCOM, Turin, Italy, c2013, 11(2): 423-428.

[7] DIVAKARAN D M，SU L，LIAU Y S, et al. SLIC: self-learning intelligent classifier for network traffic[J]. Computer Networks, 2015, 91: 283-297.

[8] XIE G W, ILIOFOTOU M, KERALAPURA R, et al. SubFlow: Towards practical flow-level traffic classification[C]//IEEE INFOCOM. Orlando, Florida, USA, c2012: 2541-2545.

[9] ACETO G, DAINOTTI A, DONATO W, et al. PortLoad: taking the best of two worlds in traffic classification[C]//IEEE INFOCOM. San Diego, 2010:1-5.

[10] DONATO WD，PESCAPè A，DAINOTTI A. TIE: a community-oriented traffic classification platform[C]//International Workshop on Traffic Monitoring and Analysis (TMA), Springer Berlin Heidelberg. c2009.

[11] LEE S, KIM H-C, BARMAN D, et al. NeTraMark: a network traffic classification benchmark[C]//ACM SIGCOMM. Toronto,ON, Canada, c2011.

[12] 張眾, 楊建華, 謝高崗. 高效可擴(kuò)展的應(yīng)用層流量識別架構(gòu)[J]. 通信學(xué)報(bào), 2008, 29(12): 22-31. ZHANG Z, YANG J H, XIE G G. Efficient and extensible architecture of traffic identification at application layer[J]. Journal on Communications, 2008, 29(12): 22-31.

[13] BEDDOE M. The Protocol information project[EB/OL]. http://www. tphi.net/ awalters/ PI.html.

[14] CUI W D, KANNAN J, WANG H J. Discoverer: automatic protocol reverse engineering from network traces[C]//The 16th USENIX Security Symposium on USENIX Security Symposium. Berkeley: USENIX, c2007: 199-212.

[15] 朱玉娜, 韓繼紅, 袁霖, 等. SPFPA：一種面向未知密碼協(xié)議的格式解析方法[J]. 計(jì)算機(jī)研究與發(fā)展, 2015, 52(10): 2200-2211. ZHU Y N, HAN J H, YUAN L, et al. SPFPA: a format parsing approach for unknown security protocols[J]. Journal of Computer Research and Development, 2015, 52(10): 2200-2211.

[16] JOGLEKAR S P, TATE S R. Protomon: embedded monitors for cryptographic protocol intrusion detection and prevention[C]// International Conference on Information Technology: Coding and Computing, 2004. ITCC 2004. IEEE, c2004, 1: 81-88.

[17] LECKIE T, YASINSAC A. Metadata for anomaly-based security protocol attack deduction[J]. IEEE Transactions on Knowledge and Data Engineering, 2004, 16(9): 1157-1168.

[18] FADLULLAH Z M, TALEB T, ANSARI N, et al. Combating against attacks on encrypted protocols[C]//In Communications, IEEE International Conference on ICC'07. c2007:1211-1216.

[19] FADLULLAH Z M, TALE B T, VASIAKOS A V, et al. DTRAB: combating against attacks on encrypted protocols through traffic-feature analysis[J]. IEEE/ACM Transactions on Networking (TON), 2010, 18(4): 1234-1247.

[20] YASINSAC A. An environment for security protocol intrusion detection [J]. Journal of Computer Security, 2002, 10(1/2): 177-188.

[21] MAEDCHE A. Ontology learning for the semantic Web[M]. Boston: Kluwer Academic Publishers, 2002.

[22] GAN G, WU J. A convergence theorem for the fuzzy subspace clustering (FSC) algorithm[J]. Pattern Recognition, 2008, 41 (6): 1939-1947.

[23] 朱玉娜, 韓繼紅, 袁霖, 等. 基于主體行為的多方密碼協(xié)議會話識別方法[J]. 通信學(xué)報(bào), 2015, 11(36): 190-200. ZHU Y N, HAN J H, YUAN L, et al. Towards session identification using principal behavior for multi-party secure protocol[J]. Journal on Communications, 2015, 11(36): 190-200.

[24] KHAKPOUR A R，LIU A X. High-speed flow nature identification[C]// International Conference on Distributed Computing Systems. Montreal, Canada, c2009: 510-517.

Monitoring approach for online security of cryptographic protocol

ZHU Yu-na1,2, HAN Ji-hong1, YUAN Lin1, FAN Yu-dan1, CHEN Han-tuo1, GU Wen1

(1. The Third College, PLA Information Engineering University, Zhengzhou 450001, China; 2. Troops 91033 of PLA, Qingdao 266035, China)

Previous methods can not detect the low-interaction attacks of protocol logic. A cryptographic protocol online monitoring approach named CPOMA was presented. An ontology framework of cryptographic protocol features was constructed for the unified description of cryptographic protocol features with different types. Based on the framework, a feature weighting method was proposed by fuzzy subspace clustering first, and the individualized feature database of cryptographic protocols was built. On this basis, a self-learning method was presented for protocol identification and session rebuilding, and then abnormal protocol sessions were detected online. Experimental results show that CPOMA can identify protocols, rebuild sessions, detect abnormal sessions efficiently, and can improve the online security of cryptographic protocols.

cryptographic protocol identification, session rebuilding, online security, ontology, subspace clustering

TP393.08

A

10.11959/j.issn.1000-436x.2016129

2016-02-02；

2016-05-18

國家自然科學(xué)基金資助項(xiàng)目（No.61309018）

The National Natural Science Foundation of China (No.61309018)

朱玉娜（1985-），女，山東菏澤人，解放軍信息工程大學(xué)博士生，主要研究方向?yàn)榘踩珔f(xié)議逆向與識別。

韓繼紅（1966-），女，山西定襄人，博士，解放軍信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、安全協(xié)議形式化分析與自動化驗(yàn)證。

袁霖（1981-），男，河南商丘人，博士，解放軍信息工程大學(xué)副教授，主要研究方向?yàn)榘踩珔f(xié)議形式化分析與自動化驗(yàn)證、軟件可信性分析。

范鈺丹（1982-），女，河南鄧州人，解放軍信息工程大學(xué)講師，主要研究方向?yàn)榘踩珔f(xié)議形式化分析與自動化驗(yàn)證。

陳韓托（1990-），男，浙江奉化人，解放軍信息工程大學(xué)碩士生，主要研究方向?yàn)閰f(xié)議在線安全性分析。

谷文（1992-），男，湖南圭陽人，解放軍信息工程大學(xué)碩士生，主要研究方向?yàn)榘踩珔f(xié)議形式化分析與驗(yàn)證。