采用攻擊策略圖的實時警報綜合分析方法

李龍營,李金庫,馬建峰,姜 奇

(西安電子科技大學計算機學院,陜西西安 710071)

采用攻擊策略圖的實時警報綜合分析方法

李龍營,李金庫,馬建峰,姜 奇

(西安電子科技大學計算機學院,陜西西安 710071)

針對警報因果關聯分析方法存在攻擊場景圖分裂且無法及時處理大規模警報的問題,提出并實現一種采用攻擊策略圖的實時警報綜合分析方法.首先,通過在警報關聯過程中引入推斷警報環節避免攻擊場景圖的分裂;然后,采用一種新型滑動窗口機制,為每類攻擊創建一個滑動窗口,并結合時間跨度與警報數量設定窗口大小,在保證關聯效果基礎上具有線性時間復雜度;最后,將該方法擴展為包含實時攻擊場景重構、后續警報推測及分析結果融合的綜合警報分析系統.實驗結果證明了該方法的實際有效性和高效性.

入侵檢測系統;入侵分析;關聯分析;攻擊場景

入侵檢測系統作為一種重要的網絡攻擊防范工具,得到了越來越廣泛的應用.用戶基于入侵檢測系統產生的警報進行安全事件的檢測和分析.然而,由于傳統入侵檢測系統產生的警報數量巨大,質量和層次較低,警報之間相互孤立,很難被安全分析人員直接有效的利用.因此,對警報進行關聯分析以降低警報數量、提高警報質量,并進而重構攻擊場景顯得至關重要.

近年來,研究人員提出了多種不同類型的警報關聯分析方法[1-10],其中的典型代表是基于因果關系的警報關聯分析方法[1-2].該方法為每一種攻擊行為定義所需要的實施前提(即“因”)和攻擊成功后可能導致的后果(即“果”),通過警報之間的因果關系匹配將原來彼此孤立的警報關聯起來.此類方法在檢測復雜的協同多步攻擊和攻擊場景重構上具有良好的效果.然而,該類方法仍然存在很多問題,尤其是對于網絡中的某些實際發生的異常情況未作處理,導致最終的結果欠佳.考察以下兩種情形:攻擊者未按照因果關系庫中描述的攻擊序列發動攻擊,而是刻意漏掉攻擊中的某些環節,比如,攻擊者已經通過其他方法獲得了目標主機的相關信息,因此,不需要發動某些環節的攻擊;由于入侵檢測系統特征碼庫中沒有對應的條目,或者由于部署在高速網絡中,入侵檢測系統無法及時處理所有的數據包而導致漏報.這些情形都可能使得關聯方法產生的關聯圖被破壞,并分散為若干個子圖,從而無法獲取完整的攻擊場景.現有解決方案大多是在警報關聯完成之后再采用其他方法完成分散的場景圖重構,如基于相似屬性的聚類方法[3-4].為了提高警報匹配效率,現有解決方案大多為所有已處理的警報添加內存索引[5];但由于內存空間有限,在警報規模較大的情況下可行性較差.為此,有些方法采取滑動時間窗口機制[6],所有處在限定時間跨度內的警報被存儲在一個按時間順序排列的窗口中,當前警報只與處于窗口中的警報進行關聯分析.這種方法在提高系統運行效率的同時也帶來了問題,即系統無法關聯時間跨度超過滑動時間窗口范圍的警報,而復雜的多步協同攻擊往往時間跨度較大.有學者提出了基于隊列圖的方法[7-8],這種方法只“顯式關聯”對應漏洞最新的一條警報,具有較高的效率,但同樣會對關聯結果的精確性產生影響.

針對基于因果關系警報關聯分析方法的局限性,文中提出一種新的采用攻擊策略圖的實時警報綜合分析方法.與現有方案相比,該方法主要在3個方面進行了改進.在實時警報關聯時加入對漏報警報或者攻擊者刻意漏掉的攻擊環節的推斷,并將推斷結果作為推斷警報加入到待關聯警報集中,從而有效解決攻擊場景圖的分裂問題,完成完整攻擊場景圖的重構.提出一種新的滑動窗口機制,該機制為每一種類型的攻擊設置一個滑動窗口,窗口的大小同時取決于時間和警報數量,在一定程度上克服了傳統單一類型時間窗口無法應對緩慢攻擊的情形.新型滑動窗口機制為每一種攻擊類型設置滑動窗口,相當于對警報進行了分類,即不同類型的警報存儲在不同窗口中,使得警報分析效率與總體警報數量無直接關系,警報處理在線性時間內即可完成,保證了系統的實際可用性.通過引入后續攻擊預測模塊,將提出的方法擴展為一個綜合的警報分析系統,全面挖掘警報數據.后續攻擊預測模塊的引入,可以有效地幫助安全分析人員對入侵進行預判,并及時采取有效的應對措施.該綜合分析系統通過對分析結果集內的警報記錄進行融合,并用融合警報記錄取代原始記錄,實現無信息丟失的警報分析結果壓縮,使得攻擊場景更簡明清晰.

1 攻擊策略圖

攻擊策略圖(Attack Strategy Graph,ASG)是一種有向無環圖,文中用它表示攻擊的先驗知識,集中體現攻擊之間的因果關系,是實現文中所有功能的基礎.直觀來說,攻擊策略圖由盡可能多的攻擊策略構成,這些攻擊策略信息構成了警報分析的最直接依據,為進行警報的綜合和有效分析奠定了基礎.為了構建ASG,本節首先定義原子攻擊類型以擴展并結構化原始的警報信息,然后給出攻擊策略圖的構建方法和示例.

1.1 相關定義

定義1原子攻擊類型(Atomic Attack Type,AAType).AAType定義為(AAttack,Require, Provide).其中,AAttack是原子攻擊名稱,惟一標識原子攻擊類型;Require、Provide均由一系列謂詞組成,前者表示實施該攻擊所需的條件集,后者表示完成此攻擊后所能達到的效果集.原子攻擊類型構成攻擊策略圖中的節點.每個原子攻擊類型都對應一個屬性集(SrcIP,SrcPort,DstIP,DstPort,Time,SensorID,…),警報是屬性實例化之后的原子攻擊類型.

定義2約束條件(Constraints).假設有原子攻擊類型A、B,則A、B之間的約束條件可以表示為其中,Ci(A,B)(i=1,2,…,n)是A和B的屬性的邏輯表達式,該表達式在攻擊策略圖構建過程中得出.只有警報的屬性滿足相應約束條件,才能進行相互關聯.

定義3策略圖節點信息(Attack Strategy Graph Node,ASG_Node).ASG_Node定義為(Indeg, Outdeg).其中,Indeg是該策略圖節點的所有入度節點組成的節點集合,Outdeg是該策略圖節點的所有出度節點組成的節點集合.

1.2 構建方法和示例

攻擊策略圖是在警報關聯之前,通過原子攻擊類型的匹配構建而成的.假設對于原子攻擊類型A,其類型描述為(A,R(A),P(A)).對于任意兩個原子攻擊類型A、B,如果?r∈R(B)且P?P(A),其中P= {p1,p2,…,pn},使得p1∨p2∨…∨pn→r,則有A→B關系成立.此時,將A添加到B節點的Indeg集,同時將B添加到A的Outdeg集,并計算出A和B的屬性之間需要滿足的約束條件.

圖1所示為部分攻擊策略圖(圖中分別以A、B代替有向邊的始點和終點).考察原子攻擊類型Email_ Almail_Overflow(簡記為EAO)和Rsh.若EAO攻擊成功,攻擊者可獲得目標主機操作權限,即Gain Access (DstIP).而發動原子攻擊Rsh所需條件為Gain Access(SrcIP)∧Gain Access(DstIP).顯然,當且僅當二者的相關屬性滿足約束條件:EAO.DstIP=Rsh.DstIP‖EAO.DstIP=Rsh.SrcIP時,二者滿足匹配條件, p(EAO)→r(Rsh)成立,形成一條攻擊策略記錄.此時,可將EAO加入到Rsh原子攻擊類型的Indeg集,同時將Rsh加入到EAO的Outdeg集.同理可完成Rsh與Mstream_Zombie(簡記為MZ)的類型匹配,并將Rsh加入到MZ的Indeg集中,同時將MZ加入到Rsh的Outdeg集.

圖1 部分攻擊策略圖(X,Y代表其他原子攻擊)

重復以上步驟,即可最終完成攻擊策略圖的構建.

2 基于攻擊策略知識庫的綜合警報分析

2.1 攻擊場景圖重構

2.1.1 推斷警報

在很多情形下,關聯分析算法無法產生完整的攻擊場景圖.如圖2所示,攻擊者通過發動從AAT1類型到AAT7類型的一系列攻擊,以達到攻擊目的.攻擊期間,警報Alert1、Alert4、Alert5、Alert6和Alert7依次產生,而Alert2和Alert3則被攻擊者刻意漏掉或者被漏報.由此造成的結果是:在相應約束條件都得到滿足的情況下,Alert1和Alert4被關聯起來形成一個攻擊場景,而Alert5、Alert6和Alert7則形成另一個攻擊場景.然而,從策略圖中可以清晰地看出這些警報應屬于同一個攻擊場景,只是因為Alert2、Alert3的漏報而被分裂.基于上述觀察,文中提出一種方法用于推斷攻擊者刻意漏掉的攻擊環節或者入侵檢測系統的漏報,并將此推斷結果以一種特殊警報的方式引入警報關聯算法,稱為推斷警報(Hypothesizing Alert,HAlert),以解決攻擊場景圖的分裂問題.

由于攻擊策略圖反映了原子攻擊之間的因果關系,因此,利用它可以方便地得到推斷警報.對于每一個已產生的警報,首先考察其對應攻擊策略圖中節點的節點信息以推斷出可能的漏報攻擊類型集,然后根據其他相關信息(比如,主機或網絡脆弱性等)進行過濾,最后依據警報的屬性及二者之間的約束條件推斷漏報攻擊類型的屬性信息,得到推斷警報.

圖2 推斷警報示意圖

依據上述方法考察圖2中的Alert5,它對應的原子攻擊類型為AAT5,其節點信息中的Indeg= {AAT2,AAT3}.取AAT2、AAT3為可能漏報攻擊類型來構造推斷警報HAlert2和HAlert3.根據約束條件C(1,2)∩C(2,5)=1、C(1,3)∩C(3,5)=1同時成立,計算出HAlert2和HAlert3的可能屬性值,從而完成對警報Alert5的漏報推斷.得到推斷警報HAlert2與HAlert3后,將其與已有警報集中的警報進行關聯,將關聯記錄添加到結果中.需要指出的是,假設已有警報中有Alert2而無Alert3,由于推斷會同時產生HAlert2和HAlert3,則產生兩對兩兩等價的關聯記錄,分別是(Alert1,Alert2)和(Alert1,HAlert2)、(HAlert2,Alert5)和(Alert2,Alert5).對于該情況本節暫時不作處理,而是在場景圖融合時去除冗余信息(詳見2.3節).

2.1.2 新型滑動窗口機制

在實際網絡環境中,很多情況下不同類型警報的出現頻率差異較大,從而導致不同類型警報被調入內存中進行匹配的概率相差較大.因此,將所有警報存放到同一個滑動窗口中統一處理,顯然不是一個好的選擇.基于此考慮,本方法對傳統滑動窗口技術進行了改進,設計了一種新型滑動窗口機制.該機制為每一個攻擊類型維持一個滑動窗口,僅用于存儲本類型警報.同時,該機制基于警報數量與時間跨度相結合的方式確定每一個滑動窗口的大小,保證在不影響警報分析效率的基礎上,一定程度上降低緩慢攻擊對警報關聯分析效果的影響.另外,窗口中有一個窗口信息單元,記錄當前滑動窗口中警報數量及時間寬度.新產生的警報處理完成后,需要訪問上述信息單元以確定是否有警報出列,否則直接執行插入窗口操作.文獻[7]中所使用的隊列類似于本文中的滑動窗口,但是它無法處理同一類型有多個反映同一漏洞卻涉及不同主機的警報的情形,且只按照漏洞來對應隊列,在漏洞不完備的情況下,分析效果不理想.

2.1.3 警報關聯

當一個新警報產生并被傳送到警報分析系統時,首先通過當前警報AAType找到對應的ASG_Node信息,讀取其中Indeg域所包含的節點集.然后,系統針對節點集中每一個節點,依次遍歷相應滑動窗口中的內容,根據約束條件確定可關聯警報,產生警報關聯記錄并存儲.最后,將當前警報放入到滑動窗口中,完成本條警報的處理.警報關聯算法如下:

Algorithm 1 ASG_Based_Alert_Correlation

Input

攻擊類型的入度節點集Indeg;aat類型對應的新型滑動窗口SW(aat);最大警報數量及時間寬度: N,T;

新產生的警報Current Alert;警報關聯結果集Records;存儲AAType類型變量:var AAT;滑動窗口中警報變量:SWAlert;

Output

更新后的警報關聯結果集Records以及更新后的相應類型滑動窗口SW(aat of Current Alert);

Begin_Approach

(1)var AAT←Indeg(aat of Current Alert);

(2)for each var AAT

(3){

(4) do for each alert in SW(var AAT)

(5) if(Constraints(Current Alert,SWAlert)==1)

(6) Insert(SWAlert,Current Alert)into Records

(7)}

(8)insert Current Alert into SW(aat of Current Alert)

(9)if(SW(aat of Current Alert)exceed the limit)

(10) delete the first alert in SW(aat of Current Alert)

End_Approach.

假設系統當前正處理第i條新警報Alerti,該警報對應Indeg節點集中節點個數為mi,其中第j個節點對應的滑動窗口長度為nj且對于任意j,有j≤mi,當窗口大小為N時,有nj≤N,則Alerti的處理時間ti為

由式(1)可見,本方法效率主要取決于警報Indeg集中的數目,而與場景知識庫的總體規模及待處理的警報總體數量之間無直接關系,程序時間復雜度為O(mi).

2.2 后續攻擊預測

為了更及時地對復雜協同攻擊行為采取有效措施,文中引入了后續攻擊預測部分.與文獻[7]中預測算法相比,文中方法不僅可以預測后續可能發生的攻擊類型,同時也可以得出后續攻擊相關屬性的預測.具體通過搜尋當前警報原子類型攻擊節點信息的Outdeg來實現.理論上,該節點集內的所有原子攻擊,已然具備了被發動的條件,從而可以加入到當前警報的后續攻擊備選節點集內.順著Outdeg的方向向后遍歷,也可對后續攻擊進行多步預測.例如,圖2中當前警報為AAT1類型警報Alert1,而AAT1的Outdeg節點集為{AAT2,AAT3,AAT4},則文中方法首先將{AAT2,AAT3,AAT4}加入到當前警報Alert1的后續攻擊節點集內,得到推測警報Alert2、Alert3和Alert4,并根據相關約束條件C(1,2)=1、C(1,3)=1和C(1,4)=1同時成立,可得出后續推測警報的相關屬性信息.最后,根據其他信息(比如相應主機的系統信息或者主機是否存在可被攻擊的漏洞)對節點集內的節點相應攻擊發生的可能性進行評估,并設置閾值,剔除攻擊發生的可能性小于設定閾值的節點,從而獲得最優的節點集.

2.3 攻擊場景圖融合

如前面2.1.1節所述,為了完成實時攻擊場景圖的整體重構,文中方法將推斷警報引入到了警報關聯,這可能導致關聯結果的冗余.此外,觀察并分析警報關聯記錄結果發現,對于大規模的攻擊,關聯后的攻擊場景圖一般都包含冗余信息.針對上述問題,文中方法對警報關聯記錄進行融合,并用融合關聯記錄取代原始記錄,以實現無信息丟失的分析結果壓縮,得到更為清晰的攻擊場景.

舉例來說,現有一條警報關聯記錄Alert1→Alert2,即一個警報對,其中涉及到Alert1、Alert2對應的屬性,包括源、目的主機(SrcIP1,DstIP1)、(SrcIP2,DstIP2),以及警報產生時間(time1)、(time2)等.該記錄表示攻擊者先在time1時刻從SrcIP1向DstIP1發起AAT1的攻擊,接著在time2時刻從SrcIP2向DstIP2發起AAT2的攻擊.因此,認為所有可以反映上述信息(除了時間)的多條警報關聯記錄是互為可融合警報關聯記錄,并用一條警報關聯記錄代替一簇互為可融合警報關聯記錄,稱為融合警報關聯記錄.注意,融合記錄的時間是一個時間范圍,通過取一簇互為可融合警報關聯記錄中的最小時間和最大時間值獲得.

3 實驗結果及分析

為了驗證提出的方法,筆者初步實現了一個實時警報綜合分析原型系統,并采用MIT林肯實驗室DARPA 2000數據集[9]和入侵檢測系統Realsecure進行了有效性和警報分析效率兩方面的測試.實驗是在VMWare上安裝的Windows XP專業版客戶機系統上進行的,為其分配2 GB RAM空間,處理器為Intel I5-2400,主頻3.10 GHz,系統采用C++語言實現.

3.1 系統有效性

以內網1(inside 1)流量產生的警報集為例來分析.為了測試攻擊場景圖重構功能,在系統測試時刪除了內網中的原子攻擊類型為Rsh且同時涉及主機172.016.115.020和202.077.162.213的警報.

信息無損壓縮后的警報綜合分析結果如圖3所示.與文獻[2,7-8]中的內網1場景圖相比,圖3給出了更為清晰的攻擊場景脈絡.另外,對結果圖進行分析不難發現,在無推斷警報(包括涉及主機202.077.162.213和172.016.115.020的Rsh等陰影標識節點)的情況下,完整的場景圖遭到破壞,并一分為二.文獻[2,7-8]方法在漏報相應警報的情況下,都將產生不同程度的場景圖分裂,而文中方法由于包含了推斷警報,成功地得到了完整的攻擊場景圖.

圖3 信息無損壓縮后的警報綜合分析結果

攻擊者連續發起的一系列攻擊行為,按如下步驟進行:

(1)Sadmind_Ping<主機1,主機2>:主機1掃描主機2是否存在sadmind漏洞;

(2)Sadmind_Amslverify_Overflow<主機1,主機2>:主機1對主機2的sadmind守護程序發起緩沖區溢出攻擊;Email_Amail_Overflow<主機1,主機2>:主機1對主機2的ALMail POP3客戶端發起緩沖區溢出攻擊;

(3)Rsh<主機1,主機2>:主機1對主機2遠程執行shell命令;

(4)Mstream_Zombie<主機1,主機2>:檢測到控制者和被控制主機(主機1)之間的通信;

(5)Stream_DoS:通過洪泛虛假的TCP包到目標主機的任意端口,從而向目標主機發起拒絕服務攻擊.

通過后續警報預測,推斷出Mstream_Zombie節點是后續可能發生的攻擊(如圖3中右下角陰影標識節點所示).根據知識庫中Rsh和Mstream_Zombie之間需要滿足的限制條件集:B.SrcIP=A.SrcIP‖B.SrcIP=A.DrcIP‖B.DstIP=B.SrcIP‖B.DstIP=A.DstIP,其中A=Rsh,B=Mstream_Zombie,推斷出攻擊者下一步有可能發起Mstream_Zombie攻擊,并且該攻擊將涉及主機202.077.162.213和172.016.115.020.

從實驗結果可以看出,文中提出的綜合警報分析方法解決了由于漏報(或刻意漏掉攻擊環節)而帶來的分散問題,完成了后續警報的預測,實現了無信息損失的場景圖壓縮.

3.2 警報分析效率

筆者對兩個不同規模的數據集進行了效率測試,測試結果如圖4所示.對于較小規模警報集(圖4(a)),平均警報處理時間約為3.001 08 ms,較大規模警報集(圖4(b))平均警報處理時間約為5.752 84 ms.平均時間隨著警報集數量的增加并沒有較大上升.另外,從圖中可以發現,只有極少數警報處理時間相對較長,絕大多數警報的處理時間都維持在10 ms以下.根據警報處理時間復雜度隨當前警報原子攻擊類型的Indeg集內節點數目增長而線性增長,可以推斷這是由于少數原子攻擊類型在攻擊場景圖中的Indeg集內包含的節點數量較大造成的,而絕大多數的原子攻擊類型Indeg集內節點數量都在較小范圍內.綜上所述,本系統可以實時部署運行,且能夠很好地處理較大規模的警報數據.

圖4 警報分析效率

4 結束語

針對基于因果關系的警報關聯分析方法中存在的問題,文中提出一種新的采用攻擊策略圖的實時警報綜合分析方法.該方法通過在警報關聯時加入對漏報警報或者攻擊者刻意漏掉的攻擊環節的推斷,有效解決攻擊場景圖的分裂問題,完成攻擊場景圖的完整重構;通過采用一種新的滑動窗口機制,即為每一種類型的攻擊設置一個滑動窗口,并結合時間跨度與警報數量設定窗口大小,在一定程度上克服了傳統單一類型時間窗口無法應對緩慢攻擊的情形,并且在保證關聯效果基礎上使得警報處理具有線性時間復雜度;通過引入后續攻擊預測模塊,將提出的方法擴展為一個綜合的警報分析系統,全面挖掘警報數據,有效幫助安全分析人員對入侵行為進行預判.最后的實驗結果證明了方法的實際有效性和高效性.

[1]Ning P,Cui Y,Reeves D S.Analyzing Intensive Intrusion Alerts via Correlation[C]//Proceedings of International Symposium on Recent Advances in Intrusion Detection.Stevenage:Springer Verlang,2002:74-94.

[2]Ning P,Cui Y,Reeves D S.Constructing Attack Scenarios through Correlation of Intrusion Alerts[C]//Proceedings of the 9th ACM Conference on Computer and Communications Security.Washington:ACM,2002:245-254.

[3]Ahmadinejad S H,Jalili S,Abadi M.A Hybrid Model for Correlating Alerts of Known and Unknown Attack Scenarios and Updating Attack Graphs[J].Computer Networks,2011,55(9):2221-2240.

[4]Ning P,Xu D,Healey C G,et al.Building Attack Scenarios through Integration of Complementary Alert Correlation Methods[C]//11th Annual Network and Distributed System Security Symposium.Stevenage:Springer,2004:97-111.

[5]Ning P,Xu D.Adapting Query Optimization Techniques for Efficient Intrusion Alert Correlation[R/OL].[2013-05-19].discovery.csc.ncsu.edu/～pning/pubs/footcorldation.pdf.

[6]Valeur F,Vigna G,Kruegel C,et al.A Comprehensive Approach to Intrusion Detection Alert Correlation[J].IEEE Transactions on Dependable and Secure Computing,2004,1(3):146-169.

[7]Wang L,Liu A,Jajodia S.Using Attack Graphs for Correlating,Hypothesizing,and Predicting Intrusion Alerts[J]. Journal of Computer Communications,2006,29(15):2917-2933.

[8]Zali Z,Hashemi M R,Saidi H.Real-Time Attack Scenario Detection via Intrusion Detection Alert Correlation[C]// Proceedings of the 9th International ISC Conference on Information Security and Cryptology.Piscataway:IEEE,2012: 95-102.

[9]楊潔,劉聰鋒.模式匹配與校驗和相結合的IP協議識別方法[J].西安電子科技大學學報,2012,39(3):149-153.

Yang Jie,Liu Congfeng.IP Protocol Identification Method Using the Pattern Match and Check Sum[J].Journal of Xidian University,2012,39(3):149-153.

[10]林暉,馬建峰.無線Mesh網絡中基于跨層信譽機制的安全路由協議[J].西安電子科技大學學報,2014,41(1):145-153.

Lin Hui,Ma Jianfeng.Cross Layer Reputation Mechanism based Secure Routing Protocol for WMNs[J].Journal of Xidian University,2014,41(1):145-153.

(編輯:李恩科)

Comprehensive analysis of real-time alerts with attack strategy graphs

LI Longying,LI Jinku,MA Jianfeng,JIANG Qi
(School of Computer Science and Technology,Xidian Univ.,Xi’an 710071,China)

The causal relation based alert correlation approach causes split scenario graphs and cannot process massive alerts in time.To address this issue,a comprehensive analysis approach of real-time alerts with attack strategy graphs is proposed.First,it gets rid of the splitting of the attack scenario graph by introducing hypothesizing alerts to the alert correlation process.Second,it leverages a novel sliding window mechanism,which maintains a window for each type of attacks and determines the window’s size according to both the time and number of the alerts.This new mechanism only introduces linear time complexity without sacrificing effectiveness.Third,the approach is extended to a comprehensive system to reconstruct attack scenarios,predict future alerts and fuse analytical results.Evaluation results indicate that our approach is effective and efficient.

intrusion detection systems;intrusion analysis;correlation analysis;attack scenarios

TP309

A

1001-2400(2014)05-0084-07

2013-06-22< class="emphasis_bold">網絡出版時間:

時間:2014-01-12

國家自然科學基金委員會廣東聯合基金重點基金資助項目(U1135002);長江學者和創新團隊發展計劃資助項目(IRT1078);教育部留學回國人員科研啟動基金資助項目(K60013030103);中央高校基本科研業務費專項資金資助項目

李龍營(1991-),男,西安電子科技大學碩士研究生,E-mail:leelongying@163.com.

http://www.cnki.net/kcms/doi/10.3969/j.issn.1001-2400.2014.05.015.html

10.3969/j.issn.1001-2400.2014.05.015