一種基于神經(jīng)網(wǎng)絡(luò)和系統(tǒng)調(diào)用的異常入侵檢測(cè)方法

摘要：提出了一種利用多層BP神經(jīng)網(wǎng)絡(luò)建立進(jìn)程正常運(yùn)行輪廓的思想，基于1998年DARPA入侵檢測(cè)系統(tǒng)評(píng)估的審計(jì)數(shù)據(jù)源，通過與K近鄰分類、帶(頻率)門限的Stide(TStide)算法的性能比較表明，所提出的算法具有較高的檢測(cè)率，同時(shí)維持了一個(gè)較低的誤警率。

關(guān)鍵詞：入侵檢測(cè)；異常檢測(cè)；BP神經(jīng)網(wǎng)絡(luò)；系統(tǒng)調(diào)用序列；K近鄰算法；帶(頻率)門限的Stide(TStide)算法

中圖法分類號(hào)：TP39308文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1001－3695(2006)09－0119－03

1引言

隨著個(gè)人、企業(yè)和政府機(jī)構(gòu)日益依賴于Internet進(jìn)行通信、協(xié)作及銷售。起初人們往往指望通過防火墻的身份認(rèn)證和訪問控制來保障通信的安全性，雖然防火墻及強(qiáng)大的身份驗(yàn)證能夠保護(hù)系統(tǒng)不受未經(jīng)授權(quán)訪問的侵?jǐn)_，但是它們對(duì)專業(yè)黑客或惡意的經(jīng)授權(quán)用戶卻無(wú)能為力。依賴防火墻建立網(wǎng)絡(luò)的組織往往是“外緊內(nèi)松”，無(wú)法阻止內(nèi)部人員所做的攻擊，且對(duì)信息流的控制缺乏靈活性。由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力，對(duì)于企業(yè)內(nèi)部人員所做的攻擊，防火墻形同虛設(shè)。

入侵檢測(cè)是對(duì)防火墻及其有益的補(bǔ)充，入侵檢測(cè)系統(tǒng)能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息作為防范系統(tǒng)的知識(shí)，添加到知識(shí)庫(kù)內(nèi)，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，大大提高了網(wǎng)絡(luò)的安全性[1]。

根據(jù)IDS分析引擎中使用的檢測(cè)方法的不同，可以把IDS分為誤用檢測(cè)和異常檢測(cè)。所謂誤用檢測(cè)，是指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測(cè)。而異常檢測(cè)是指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測(cè)。在理論研究方面，對(duì)于誤用檢測(cè)而言，目前主要有簡(jiǎn)單模式匹配、專家系統(tǒng)、狀態(tài)轉(zhuǎn)移法、信息反饋批處理分析等檢測(cè)方法；而異常檢測(cè)主要采用了專家系統(tǒng)、量化分析、統(tǒng)計(jì)分析、非參量化統(tǒng)計(jì)分析和基于規(guī)則的檢測(cè)等處理手段。

神經(jīng)網(wǎng)絡(luò)是一種非參量化的分析技術(shù)，使用自適應(yīng)學(xué)習(xí)技術(shù)來提取異常行為的特征，通過對(duì)訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式。神經(jīng)網(wǎng)絡(luò)由大量的處理單元組成，單元間通過帶有權(quán)值的連接來進(jìn)行交互。神經(jīng)網(wǎng)絡(luò)使用以下的方法來標(biāo)志異常事件：改變單元狀態(tài)、改變連接的權(quán)值、添加連接或刪除連接。K.Fox等人[2]使用神經(jīng)網(wǎng)絡(luò)來進(jìn)行攻擊檢測(cè)，對(duì)于異常檢測(cè)和誤用檢測(cè)分別采用多層感知機(jī)(MultiLayerPerception)和多層BP(BackPropagation)的神經(jīng)網(wǎng)絡(luò)模型，取得了不錯(cuò)的實(shí)驗(yàn)效果。A.K.Ghosh和A.Schwartzbard[3]基于1998年DARPA數(shù)據(jù)研究了神經(jīng)網(wǎng)絡(luò)在異常檢測(cè)和誤用檢測(cè)中的應(yīng)用，他們的實(shí)驗(yàn)結(jié)果表明基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型在誤用檢測(cè)中工作得很好，在低誤警率下能夠可靠地檢測(cè)出絕大部分已知的估計(jì)樣式，但對(duì)未知攻擊模式則效果不佳。

從以往的基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型來看，對(duì)入侵行為的識(shí)別往往是通過對(duì)網(wǎng)絡(luò)連接的某些特征或主機(jī)日志、審計(jì)記錄的分析和學(xué)習(xí)來實(shí)現(xiàn)的，如TCP連接的流量特征(目的地址、源地址、目的端口號(hào)、源端口號(hào)、傳輸協(xié)議、發(fā)送字節(jié)數(shù)、TCP選項(xiàng)等)、主機(jī)審計(jì)記錄(CPU利用率、I/O利用率、文件訪問、用戶命令調(diào)用序列等)。雖然基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型在基于上述特征的入侵檢測(cè)系統(tǒng)中有不錯(cuò)的效果，然而由于這些檢測(cè)行為是“粗粒度”的，因此對(duì)于慢速、持久的網(wǎng)絡(luò)攻擊和刻意冒充用戶正常行為的攻擊檢測(cè)效果不佳，不能適應(yīng)用戶行為的變化統(tǒng)計(jì)輪廓。顯然，單純地增加網(wǎng)絡(luò)或主機(jī)事件記錄的輸入長(zhǎng)度是不可取的，較長(zhǎng)的滑動(dòng)窗口事件輸入將為神經(jīng)網(wǎng)絡(luò)的訓(xùn)練增加時(shí)間，并容易導(dǎo)致由于“過擬合”而降低系統(tǒng)的泛化能力。因此，采用“細(xì)粒度”的輸入——進(jìn)程執(zhí)行軌跡的時(shí)域特征將有可能改善神經(jīng)網(wǎng)絡(luò)的檢測(cè)性能。本文對(duì)基于進(jìn)程執(zhí)行的系統(tǒng)調(diào)用序列進(jìn)行分析，利用多層BP網(wǎng)絡(luò)訓(xùn)練正常進(jìn)程的短序列調(diào)用，對(duì)1998年DARPA數(shù)據(jù)源的實(shí)驗(yàn)結(jié)果表明，基于短系統(tǒng)調(diào)用序列的多層BP網(wǎng)絡(luò)在異常檢測(cè)中具有可靠的檢測(cè)精度，同時(shí)保持了較低的誤警率。

2進(jìn)程系統(tǒng)調(diào)用序列的異常檢測(cè)

在UNIX系統(tǒng)中，進(jìn)程運(yùn)行過程中會(huì)產(chǎn)生一系列系統(tǒng)調(diào)用，通過對(duì)這些系統(tǒng)調(diào)用的分析，可以發(fā)現(xiàn)進(jìn)程的異常運(yùn)行狀態(tài)，進(jìn)而判斷出該系統(tǒng)是否受到攻擊。1996年Forrest等人[4]在研究基于人工免疫的入侵檢測(cè)中，發(fā)現(xiàn)可以通過對(duì)進(jìn)程正常運(yùn)行時(shí)的執(zhí)行軌跡建模來刻畫進(jìn)程的正常運(yùn)行狀態(tài)，從而建立了執(zhí)行軌跡的局部模式(短序列)特征，與這些模式的偏離被認(rèn)為是潛在的入侵行為。他們提出了所謂的時(shí)延嵌入序列(Tide)方法，通過列舉出現(xiàn)在訓(xùn)練數(shù)據(jù)中唯一的、預(yù)先定義的長(zhǎng)度為K的連續(xù)序列來構(gòu)造進(jìn)程的正常行為輪廓，這樣的短序列以樹狀存儲(chǔ)在進(jìn)程正常輪廓庫(kù)中。進(jìn)一步，Warrender，F(xiàn)orrest等人[5]發(fā)現(xiàn)進(jìn)程運(yùn)行不正常時(shí)短系統(tǒng)調(diào)用序列具有局域特征，因此可以通過研究給定長(zhǎng)度的局部區(qū)域中長(zhǎng)度為K的短序列與進(jìn)程正常輪廓庫(kù)中不匹配的短序列數(shù)目來檢測(cè)攻擊，稱之為序列Tide方法(Stide)。Stide方法進(jìn)一步擴(kuò)展為帶(頻率)門限的Stide方法，即TStide方法。它考慮了短序列出現(xiàn)的頻率，而將稀有序列從進(jìn)程的正常輪廓庫(kù)中忽略。A.Wespi，M.Dacier和H.Debar[6]基于一種生物序列模式發(fā)現(xiàn)方法——Teiresias，提出了一種可變長(zhǎng)度的短序列的正常模式建立方法，研究結(jié)果表明該方法明顯好于定長(zhǎng)序列的檢測(cè)方法。

基于進(jìn)程系統(tǒng)調(diào)用序列的異常檢測(cè)方法中，一個(gè)關(guān)鍵因素是確定短序列的長(zhǎng)度。WenkeLee利用信息論的方法研究了不同長(zhǎng)度的短序列對(duì)檢測(cè)結(jié)果的影響。通過對(duì)進(jìn)程執(zhí)行軌跡建立熵、條件熵、信息增益等概念，定量描述了1998DARPA數(shù)據(jù)源的特征，結(jié)果表明檢測(cè)性能和審計(jì)數(shù)據(jù)的正則性有密切關(guān)系，只有當(dāng)訓(xùn)練數(shù)據(jù)和測(cè)試數(shù)據(jù)的相對(duì)條件熵較小時(shí)，訓(xùn)練獲得的模型才對(duì)測(cè)試數(shù)據(jù)具有較好的檢測(cè)性能。本文的實(shí)驗(yàn)數(shù)據(jù)源來自1998年DARPA數(shù)據(jù)，這個(gè)數(shù)據(jù)源包含了七周的訓(xùn)練數(shù)據(jù)和兩周的測(cè)試數(shù)據(jù)，大約有500萬(wàn)條訓(xùn)練數(shù)據(jù)和30萬(wàn)條測(cè)試數(shù)據(jù)。測(cè)試數(shù)據(jù)包含了38種攻擊，分為四大類：Probing，DenialofService(DoS)，UsertoRoot(U2R)和RemotetoLocal(R2L)，其中14種攻擊在訓(xùn)練數(shù)據(jù)中沒有出現(xiàn)過。根據(jù)M.Sabhnani和G.Serpen[7]的分析，對(duì)于U2R和R2L類攻擊，現(xiàn)有的模式分類或基于機(jī)器學(xué)習(xí)的誤用檢測(cè)方法效果很差，因?yàn)檫@兩類攻擊的記錄在整個(gè)數(shù)據(jù)源中很少，而且在測(cè)試集中有大量訓(xùn)練集中沒有出現(xiàn)的攻擊記錄，分析表明訓(xùn)練集和測(cè)試集分別代表了不同的“目標(biāo)假設(shè)”。據(jù)此，本文主要研究采用多層BP網(wǎng)絡(luò)對(duì)進(jìn)程系統(tǒng)調(diào)用的短序列進(jìn)行訓(xùn)練，并利用訓(xùn)練獲得的神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)進(jìn)行異常檢測(cè)。

3基于三層BP網(wǎng)絡(luò)的異常檢測(cè)

3．1三層BP網(wǎng)絡(luò)的結(jié)構(gòu)

利用神經(jīng)網(wǎng)絡(luò)進(jìn)行異常檢測(cè)，本質(zhì)上可視為根據(jù)訓(xùn)練數(shù)據(jù)對(duì)布爾函數(shù)進(jìn)行逼近。由于任意函數(shù)均可被一個(gè)有三層單元的前饋網(wǎng)絡(luò)逼近，因此這里采用三層BP神經(jīng)網(wǎng)絡(luò)來對(duì)進(jìn)程系統(tǒng)調(diào)用序列作異常檢測(cè)，其中隱含層和輸出層均使用Sigmoid函數(shù)σ(y)=1/（1+e-y）。根據(jù)WenkeLee[8]的研究結(jié)果，進(jìn)程系統(tǒng)調(diào)用序列長(zhǎng)度為6~14時(shí)，訓(xùn)練數(shù)據(jù)的條件熵較小，這與Forrest等人的研究結(jié)果一致，考慮到計(jì)算成本，采用長(zhǎng)度為6的窗口沿進(jìn)程執(zhí)行軌跡滑動(dòng)以得到用于訓(xùn)練的短序列集。

多層BP網(wǎng)絡(luò)的訓(xùn)練算法有好幾種，如梯度下降法、帶沖量因子的梯度下降法、共軛梯度法、擬牛頓法等。本文采用了帶沖量因子的梯度下降法來訓(xùn)練BP網(wǎng)絡(luò)。算法過程[9]簡(jiǎn)述如下：

假設(shè)訓(xùn)練樣例是形式為的序?qū)Γ渲衳為網(wǎng)絡(luò)輸入值向量，t為目標(biāo)輸出值。η為學(xué)習(xí)速率，α為沖量因子。nin為網(wǎng)絡(luò)輸入的數(shù)量，nhidden為隱藏單元的數(shù)量，nout為網(wǎng)絡(luò)輸出單元的數(shù)量(這里為2)。從單元i到單元j的輸入表示為xji，單元i到單元j的權(quán)值表示為wji。

(1)創(chuàng)建具有nin個(gè)輸入，nhidden個(gè)隱藏單元，nout個(gè)輸出單元的BP網(wǎng)絡(luò)；

(2)初始化所有的網(wǎng)絡(luò)權(quán)值wji(0)為小的隨機(jī)值(例如-0．05和0.05之間)；

(3)對(duì)于第m個(gè)訓(xùn)練樣例，將輸入沿網(wǎng)絡(luò)前向傳播，并計(jì)算網(wǎng)絡(luò)中每個(gè)單元u的輸出ou，使誤差沿網(wǎng)絡(luò)反向傳播；

(4)對(duì)于網(wǎng)絡(luò)的每個(gè)輸出單元k，計(jì)算它的誤差項(xiàng)δk，δk=ok(1-ok)(tk-ok)；

(5)對(duì)于網(wǎng)絡(luò)的每個(gè)隱藏單元h，計(jì)算它的誤差項(xiàng)δh，δh=oh(1-oh)∑k∈outputswkh(m-1)δk；

(6)利用誤差項(xiàng)更新每個(gè)網(wǎng)絡(luò)權(quán)值wji(m)，wji(m)=wji(m-1)+Δwji(m)，其中Δwji(m)=ηδjxji+αΔwji(m-1)；

(7)重復(fù)第(3)~(6)步，直到滿足停止條件(如指定的迭代次數(shù)或最小允許誤差)。

3．2輸入數(shù)據(jù)預(yù)處理

在本文的BP網(wǎng)絡(luò)中，輸入的是進(jìn)程正常執(zhí)行的軌跡。用長(zhǎng)度為6的窗口沿正常進(jìn)程執(zhí)行軌跡滑動(dòng)，得到進(jìn)程正常執(zhí)行的短系統(tǒng)調(diào)用序列庫(kù)，每個(gè)進(jìn)程可由長(zhǎng)度為6的短系統(tǒng)調(diào)用序列的組合來表征。若M為所得短序列庫(kù)的大小，可對(duì)M個(gè)不同的短序列編號(hào)，從而每個(gè)進(jìn)程可用M維短序列來表示。由于神經(jīng)網(wǎng)絡(luò)只能處理數(shù)值逼近，因此在輸入之前必須對(duì)短序列作預(yù)處理，將其轉(zhuǎn)換為數(shù)值。這里采用了Y.Liao和V.Vemuri[10]提出的tf×idf量化方法，這一方法借鑒了文本分類中K近鄰算法對(duì)文本“詞”的量化思想。假設(shè)fij為短序列i在進(jìn)程j中出現(xiàn)的頻率，N為正常進(jìn)程數(shù)，ni為短序列i在整個(gè)短序列庫(kù)中出現(xiàn)的總次數(shù)，則定義進(jìn)程j中短序列i的取值aij為

這樣一來，每個(gè)進(jìn)程j就可用一個(gè)M維的數(shù)值向量來表示，向量的第i個(gè)元素就是編號(hào)為i的長(zhǎng)度為6的短系統(tǒng)調(diào)用序列在進(jìn)程j中的取值aij。當(dāng)短序列庫(kù)中正常進(jìn)程的短系統(tǒng)調(diào)用序列數(shù)M很大時(shí)，需要降低處理的維數(shù)，可采用的方法有去除對(duì)分類無(wú)意義的系統(tǒng)調(diào)用、進(jìn)行特征選擇和重新參數(shù)化等。

4實(shí)驗(yàn)結(jié)果與性能比較

實(shí)驗(yàn)中選取了1998DARPA的550個(gè)進(jìn)程來訓(xùn)練，其中包含20個(gè)異常進(jìn)程，如Ejectexploit，F(xiàn)ormateexploit，F(xiàn)fbexploit等，這些進(jìn)程來自于Solaris主機(jī)軌跡系統(tǒng)調(diào)用的BSM日志。測(cè)試數(shù)據(jù)集由80個(gè)進(jìn)程組成，除了包含訓(xùn)練集中的20個(gè)異常進(jìn)程外，還增加了8個(gè)訓(xùn)練集中沒有出現(xiàn)的異常進(jìn)程，以考察三層BP網(wǎng)絡(luò)對(duì)未知異常進(jìn)程的檢測(cè)能力，其余52個(gè)正常進(jìn)程是從BSM正常進(jìn)程庫(kù)中隨機(jī)抽取的。

實(shí)驗(yàn)中，首先要確定BP網(wǎng)絡(luò)隱藏層的數(shù)目nhidden，nhidden太小，則神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)誤差較大；nhidden太大，則網(wǎng)絡(luò)易出現(xiàn)“過擬合”現(xiàn)象，即系統(tǒng)可以很好地?cái)M合訓(xùn)練數(shù)據(jù)集，但泛化性能很差。對(duì)隱藏層單元數(shù)目的確定理論上沒有很好的方法，通常由實(shí)驗(yàn)測(cè)試得出。這里采用交叉—測(cè)試方法，通過反復(fù)試驗(yàn)發(fā)現(xiàn)nhidden為25時(shí)性能較好。在BP網(wǎng)絡(luò)的訓(xùn)練中，取η為0.1，α為0.6，最小允許誤差為0.001。實(shí)驗(yàn)結(jié)果如表1所示。

表1算法性能比較

由表1可見，幾種算法對(duì)訓(xùn)練集的檢測(cè)效果很好，同時(shí)保持了很低的誤警率。三層BP網(wǎng)絡(luò)和K近鄰算法對(duì)訓(xùn)練集檢測(cè)率達(dá)到了100％，即可以檢測(cè)訓(xùn)練集中的所有異常進(jìn)程。但對(duì)于測(cè)試集，均有不同程度的性能下降，這是因?yàn)闇y(cè)試集中包含了訓(xùn)練集中未曾出現(xiàn)過的新異常序列。BP網(wǎng)絡(luò)具有相對(duì)最高的檢測(cè)率，達(dá)到了93%，此時(shí)誤警率保持在一個(gè)較低的水平，為1.37％。K近鄰算法的檢測(cè)率低于三層BP網(wǎng)絡(luò)，同時(shí)誤警率也更低。而TStide算法的性能在給定的測(cè)試集上明顯低于上述兩種算法。

5結(jié)論

由于進(jìn)程運(yùn)行過程中會(huì)產(chǎn)生一系列系統(tǒng)調(diào)用，通過對(duì)這些系統(tǒng)調(diào)用的分析和建立進(jìn)程正常運(yùn)行的短系統(tǒng)調(diào)用序列庫(kù)，可以發(fā)現(xiàn)進(jìn)程的異常運(yùn)行狀態(tài)，進(jìn)而判斷出該系統(tǒng)是否受到攻擊。相應(yīng)地，提出了各種基于短系統(tǒng)調(diào)用序列的異常檢測(cè)方法。本文著眼于利用BP神經(jīng)網(wǎng)絡(luò)來建立進(jìn)程執(zhí)行時(shí)短系統(tǒng)調(diào)用序列的正常輪廓。通過對(duì)短系統(tǒng)調(diào)用序列合適的量化方法，給出了適合神經(jīng)網(wǎng)絡(luò)訓(xùn)練的進(jìn)程的向量表示。在給定的測(cè)試集上的實(shí)驗(yàn)結(jié)果表明，所提出的三層BP網(wǎng)絡(luò)在異常檢測(cè)中具有很高的檢測(cè)率，同時(shí)保持了一個(gè)較低的誤警率。進(jìn)一步值得研究的問題是：如何提高BP算法的訓(xùn)練速度，采用合適的特征選擇方法對(duì)輸入向量進(jìn)行降維，對(duì)更多的數(shù)據(jù)源進(jìn)行測(cè)試等。

參考文獻(xiàn)：

［1］J P Anderson.Computer Security Threat Monitoring and Surveillance[R].Technical Report，James P Anderson Co.，F(xiàn)ort Washington，Pennsylvania，1980.

［2］Fox K，Henning R，et al.A Neural Network Approach Towards In-trusion Detection[C].Proceedings of the 13th National Computer Se-curity Conference，1990.125-134.

［3］A K Ghosh，A Schwartzbard.A Study in Using Neural Networks for Anomaly and Misuse Detection[C].Proceedings of the 8th USENIX Security Symposium，1999.

［4］S Forrest，S A Hofmeyr，et al.A Sense of Self for UNIX Process[C].Proceedings of 1996 I IEEE Symposium on Computer Security and Privacy，1996.120-128.

［5］C Warrender，S Forrest，B Pearlmutt.Detecting Intrusion Detection Using SystemCalls：Alternative Data Model[C].Proceedings of 1999 IEEE Symposium on Computer Security and Privacy，1999.133-145.

［6］A Wespi，M Dacier，H Debar.Intrusion Detection Using Variable-length Audit Trail Patterns[C].RAID，2000.110-129.

［7］M Sabhnani，G Serpen.Why Machine Learning Algorithms Fail in Misuse Detection on KDD Intrusion Detection Data Set[J].Journal of Intelligent Data Analysis，2004，8(4):403-415.

［8］L Wenke，X Dong.Information-Theoretic Measures for Anomaly De-tection[C].Oakland，CA:Proceedings of 2001 IEEE Symposium on Computer Security and Privacy，2001.

［9］TomMMitchell.機(jī)器學(xué)習(xí)[M].曾華軍，張銀奎，等.北京：機(jī)械工業(yè)出版社，2003.

［10］Y Liao，V Vemuri.Use of K-Nearest Neighbor Classifier for Intrusion Detection[J].Computers Security，2002，21(5):439-448.

［11］http：//kdd.ics.uci.edu/databases/kddcup99/kddcup99.html[EB/OL].

作者簡(jiǎn)介：

張義榮（1977），男，湖北荊州人，博士研究生，主要研究方向?yàn)樾畔踩椭悄苄畔⑻幚恚货r明（1970），男，湖南長(zhǎng)沙人，副教授，博士，主要研究方向?yàn)樾畔踩c電子對(duì)抗；肖順平（1964），男，江西南昌人，教授，博導(dǎo)，主要研究方向?yàn)殡娮酉到y(tǒng)建模、仿真與評(píng)估；王國(guó)玉（1962），男，安徽巢湖人，研究員，博導(dǎo)，主要研究方向?yàn)樾畔?duì)抗與目標(biāo)識(shí)別。