基于熵估計的安全協議密文域識別方法

朱玉娜　韓繼紅　袁　霖　谷　文　范鈺丹

（解放軍信息工程大學鄭州450001）

?

基于熵估計的安全協議密文域識別方法

朱玉娜*韓繼紅袁霖谷文范鈺丹

（解放軍信息工程大學鄭州450001）

現有基于網絡報文流量信息的協議分析方法僅考慮報文載荷中的明文信息，不適用于包含大量密文信息的安全協議。為充分發掘利用未知規范安全協議的密文數據特征，針對安全協議報文明密文混合、密文位置可變的特點，該文提出一種基于熵估計的安全協議密文域識別方法CFIA（Ciphertext Field Identification Approach）。在挖掘關鍵詞序列的基礎上，利用字節樣本熵描述網絡流中字節的分布特性，并依據密文的隨機性特征，基于熵估計預定位密文域分布區間，進而查找密文長度域，定位密文域邊界，識別密文域。實驗結果表明，該方法僅依靠網絡數據流量信息即可有效識別協議密文域，并具有較高的準確率。

未知安全協議；協議格式；密文域；熵估計

1　引言

隨著密碼技術的廣泛應用，安全協議被大量應用在互聯網各種核心、關鍵應用中，與安全協議相關的各種數據在網絡流量中比重日益增加。基于網絡報文載荷數據，分析協議用戶交互行為信息是安全協議流量分析的關鍵內容，有助于對各種網絡應用實施監控和管理，有效降低系統面臨的安全風險。目前存在很多私有協議，協議細節未公開，語法、語義、交互步驟缺少公開的描述文檔，無法基于已有的協議分析工具（例如著名的W ireshark）進行分析。為此，如何提供一種方法，使其能夠有效支持未知安全協議格式信息的解析，是進一步提升網絡空間安全防護技術的關鍵問題。

安全協議運行過程中，頻繁使用數據加密、數字簽名、公鑰證書、校驗和驗證等各種密碼技術對關鍵信息進行加密和保護。一方面，可用明文信息較少，僅依靠有限的明文信息難以滿足安全應用的需求。另一方面，攻擊者在無法解密密文的情況下，常常通過重放、轉發密文進行攻擊。因此對未知安全協議進行格式解析時，不僅需要解析可用明文格式特征，還需要充分發掘和利用協議報文中包含的密文數據特征。

目前，網絡協議格式解析技術包括兩類方法：基于目標主機程序執行軌跡的方法［15］-和基于網絡報文流量信息的方法［612］-。（1）前者借助特定二進制分析平臺，基于目標主機上協議相關的應用程序運行狀態特征，分析網絡協議。該類方法可實現對安全協議的逆向。ReFormat［3］可以識別密碼算法，并解析明文格式，但不適用于解密過程與解析過程交替進行的安全協議。為解決該問題，Dispatcher［4，5］允許多個加密過程與解析過程交替，識別力度細化到編碼函數級（加/解密函數、哈希函數等），但通用性和準確性需進一步驗證。上述方法可以處理加密報文，但需要在目標主機上獲取執行協議的應用程序信息，并部署特定監測工具，實現復雜，局限性較大，無法真正滿足網絡環境中對數據報文監測需求。（2）基于網絡報文流量信息的方法以捕獲的網絡流量數據為分析對象，依據協議字段的取值變化頻率和特征推斷得到協議格式，是使用范圍更廣的方法。文獻［6］基于序列比對算法解析協議的結構信息。文獻［7］以循環聚類為核心思想，采用基于類型的序列比對算法，實現了針對性更強的報文格式逆向。文獻［8］基于隱半馬爾科夫模型對報文格式進行分段。文獻［9］基于數據挖掘提取協議關鍵詞并構建狀態機。文獻［10］基于無監督分段方法提取協議格式特征。文獻［11，12］利用語義信息推斷協議格式。上述方法局限性較小，應用范圍較廣，但僅解析報文中的明文信息格式，不考慮協議的密文數據特征，不適用包含大量密文的安全協議。

為有效利用安全協議密文數據特征，本文面向未知安全協議，針對其報文明密文混合、密文位置可變的特點，提出了一種基于熵估計的密文域識別方法CFIA（Ciphertex t Field Identification Approach），僅依靠網絡數據流量信息即可有效識別協議密文域。本文主要貢獻有：（1）提出字節樣本熵，用于描述網絡流中字節的分布特性；（2）依據密文的隨機性特征，基于熵估計給出密文域分布區間的預定位方法；（3）啟發式查找密文長度域，進而定位密文域邊界，識別密文域，從而為密文數據信息的有效利用提供了新的解決思路。

2　密文域識別問題描述

安全協議報文序列長、結構復雜、變長域多，其載荷可能為全明文、全密文或者明密文混合，并且密文位置、長度通常為可變值。本文分析對象為未知規范安全協議，目的是識別協議密文域，定位密文域邊界，為入侵檢測、流量監控、協議安全性在線分析等網絡安全關鍵應用提供支撐。

協議格式由若干個域（具有特定語義且最小不可分割的連續字節序列）組成［4］，域具有域類型、域邊界、語義和取值約束等屬性，域之間存在順序、并列和層次關系。根據域在網絡流中的取值變化情況，可將協議格式劃分為不變域和可變域。

定義1協議關鍵詞：報文格式中用于標識協議報文類型和傳遞相關控制信息的協議字段。文獻［1］指出，絕大多數的網絡協議都會在報文格式中定義一個或多個關鍵詞，基于關鍵詞可以有效區分報文中協議的控制信息和用戶數據。

協議的關鍵詞可以是協議名稱和版本號，也可以是協議的各種命令和響應碼。按照關鍵詞出現的位置，可將其分為固定偏移關鍵詞和非固定偏移關鍵詞。前者在協議報文中位置固定；后者位置可變。

關鍵詞在協議報文中頻繁出現，為協議的不變域。前后兩個關鍵詞之間是協議的用戶數據，取值可變，為協議的可變域。根據域是否加密，將可變域劃分為明文域和密文域。安全協議為防止攻擊，常采用具有新鮮性的隨機數。普通網絡協議則一般不包含隨機數。本文將隨機數區域看作廣義上的密文域。

為識別密文域，需分析密文數據區別于明文數據的特征。從密碼學角度，密文數據消除了統計特征，近似為隨機數據。已有研究［1316］-基于密文數據的隨機性分析加密流量，但其處理對象與本文不同，文獻［13，14］針對全密文情況，文獻［15］針對已知協議，文獻［16］僅考慮報文前N個字節，均無法解決協議密文域識別問題。

由于密文是隨機的，在密文域中不存在頻繁項，也不可能存在關鍵詞，密文域一定位于前后兩個關鍵詞之間，或者最后一個位置的關鍵詞之后，因此可在提取關鍵詞序列的基礎上，對前后兩個關鍵詞之間的可變域進一步解析，識別密文域。

3　 CFIA方法

本節給出CFIA總體框架，并詳細闡述框架的密文域識別階段，給出字節樣本熵計算方法、密文域預定位算法以及密文域邊界定位算法。

3.1 CFIA總體框架

CFIA總體框架如圖1所示。

（1）數據預處理：利用數據包大小、方向、偏移位置等特征對同一類協議流量進行聚類，獲取相同類型的報文組，并對每一個報文組中的報文提取載荷字節序列，用于后續密文域識別。

（2）密文域識別：根據密文的隨機性，密文字節在網絡流中隨機取值。因此密文域中不存在頻繁出現的協議關鍵詞，密文域位于前后兩個關鍵詞之間。首先基于序列模式挖掘方法提取協議中具有時序關系的關鍵詞序列；在此基礎上，對前后兩個關鍵詞之間的可變域進一步進行解析，計算字節樣本熵，描述兩個關鍵詞之間各個對齊字節的取值變化特性；并依據密文數據的隨機性特征，基于熵估計預定位密文分布區間，進而啟發式查找密文長度域，定位密文域邊界，識別密文域。

圖1　 CFIA總體框架

3.2字節樣本熵

協議域通常以字節為小單位進行組織［7］，本文將相同偏移位置的字節作為隨機變量，利用信息熵來描述網絡流中字節的分布特性。

定義2字節偏移：字節在所屬載荷數據中的序號位置。

通過W ireshark在廣域網中捕獲SSL協議流量，并計算ClientHello報文前64 Byte的字節樣本熵（報文數目N=300），如圖2（c）所示。當字節位于關鍵詞區域，其樣本熵值為0；當字節位于明文區域，其樣本熵值大都在3.1886～3.3671之間。當字節位于隨機數區域時，偏移11～14的字節表示時間，不完全隨機，其樣本熵值小于7；偏移15～42的字節為隨機值，樣本熵值位于7.1552～7.3770之間。

在實驗室局域網中運行NS公鑰協議應用程序（采用Spi2java工具生成），并計算協議第1條報文前500 Byte的字節樣本熵（報文數目N=300），如圖2（d）所示。關鍵詞區域的字節樣本熵值為0；密文長度域區域的字節樣本熵值位于0～1之間。密文區域的字節樣本熵值在7.1317～7.4401之間。

依據文獻［16］，密文字節變量近似滿足均勻分布。若字節屬于協議密文域，則在網絡流中隨機取值，其熵值最大。若字節屬于協議明文域，由于協議規范具有特定語義，字節取值在一定范圍，其熵值明顯小于密文域字節熵，與圖2結果一致。因此可基于字節樣本熵值區分密文域和明文域。

3.3密文域預定位算法

密文域預定位算法如表1所示。

（1）關鍵詞提取：同種協議包含一個或多個關鍵詞，組成具有時序關系的關鍵詞集合。為處理關鍵詞位置變化問題，本文基于序列模式挖掘方法PrefixSpan算法提取包含任意長度間隔的有序關鍵詞序列。

圖2　協議字節樣本熵（N=300）

（2）字節樣本熵計算：獲取關鍵字序列后，提取相鄰的兩個關鍵詞之間的載荷數據，并將關鍵詞之間相同偏移（偏移從關鍵詞位置開始計數）的字節作為隨機變量，計算字節樣本熵，如圖3所示。

表1　密文域預定位算法

（3）基于熵估計預定位密文分布區間：由熵的定義可知，均勻分布的熵值最大，為但字節樣本熵與所選擇的樣本相關。在NS協議流量第1條報文中，隨機選擇某一密文字節變量，計算其字節樣本熵，樣本數目N為1～2048，如圖4所示。當N為有限值時，特別在N～256或者N＜256的情況下，字節樣本熵值與8之間存在誤差。只有N→∞時，密文字節樣本熵值才近似為8［15］。為此，不能將樣本熵值與8相比較。

圖3　字節樣本熵計算

為檢測是否為密文字節變量，采用熵估計方法，計算樣本數目為N時均勻分布的熵大?。ǜ鶕墨I并與字節樣本熵相比較。文獻［15］等給出N-截斷熵（N-truncated entroy），估計分布依據分布p產生所有可能的長度為N的樣本，并通過最大似然估計對這些樣本進行熵估計，將估計的平均值作為N-截斷熵值，隨后證明了當p滿足均勻分布時，為無偏估計值。

圖4　樣本數目熵

其中，N為樣本數量，in為i值出現的次數，

依據文獻［15］，采用蒙特卡羅方法計算均勻分布的N-截斷熵及其置信區間6時，置信水平近似為99.9%［15］，即滿足均勻分布的變量以99.9%的概率位于區間為的標準偏移。隨后，將字節熵與均勻分布的N-截斷熵值相比較，若字節熵值落在置信區間中，則認為該字節變量滿足均勻分布，為密文字節。最后，將連續的密文字節變量合并在一起，作為密文域分布區間，如圖5所示。

圖5　密文域分布區間預定位

3.4密文域邊界定位算法

由于密文相對關鍵詞偏移可變，密文長度可變，因此密文域分布區間不一定為密文域邊界。

在協議報文中，依據長度是否可變，密文數據分布存在如下兩種情況：（1）長度域||可變長度密文數據：密文長度與所采用的密碼算法、明文長度、密鑰長度相關。密文長度通?？勺儯冮L字段必須使用長度域，以便接收方進行解析。（2）固定長度密文數據：密文為固定長度，前面可能無長度域。

根據密文和關鍵詞的相對位置，存在以下兩種情況：

（1）密文相對關鍵詞的偏移固定：（a）關鍵詞||固定長度密文…||關鍵詞；（b）關鍵詞||固定長度明文||固定長度密文…||關鍵詞；（c）關鍵詞||長度域||可變長度密文…||關鍵詞；（d）關鍵詞||固定長度明文||長度域||可變長度密文…||關鍵詞。若密文長度固定（（a），（b）），則預定位的密文分布區間即為密文域邊界。若密文長度可變（（c），（d）），預定位的密文分布區間起始位置即為密文域起始位置，但密文域結束位置不確定。

（2）密文相對關鍵詞的偏移可變：（a）關鍵詞||可變長度明文||固定長度密文…||關鍵詞；（b）關鍵詞||可變長度明文||長度域||可變長度密文…||關鍵詞。預定位的密文分布區間為密文域的一部分，不能確定密文域起止邊界。

為此，在預定位密文分布區間后，查找密文長度域，進而定位密文域邊界。本文主要考慮16進制值表示的長度域。

密文長度域的識別策略基于以下啟發式規則。（1）密文長度域一般采用1～2 Byte長度的16進制數值表示。協議密文具有明確的規范，其長度在一定的范圍內。通常情況下協議密文長度為128～4096 bit。密文長度為8 bit的倍數，相應的長度域10進制取值范圍為16～512。（2）密文長度域與密文長度相關聯。長度域值隨著密文長度變化而改變。（3）密文長度域不可能出現在它所標記的密文區間之后。

記3.3節預定位的密文分布區間Ii長度為1l（單位為Byte），起始關鍵詞和Ii起始位置之間的字節序列記為BS，BS中某一字節至下一關鍵詞之間的長度記為2l（單位為Byte），如圖6所示。

圖6　報文格式

密文域邊界定位算法描述如表2所示。

表2　密文域邊界定位算法

（1）對每個BS序列查找可能的密文長度域。若116l≥，關鍵詞之間可能存在密文域。對密文分布區間Ii之前的字節序列BS進行處理，分別計算BS各個字節值n，和連續2Byte（字節以及相鄰的前一字節）對應的值512），記錄長度向量（字節所在起始關鍵詞K、字節所在終止關鍵詞K'、字節相對起始關鍵詞的偏移O、字節值，對應的字節序列）；（b）若m=n（例如“00 C0”和“C0”都作為長度域標識密文域），長度域本身重疊，優先選取m作為長度域。

（2）進一步判定所記錄的n值和m值是否為長度域。根據（字節所在起始關鍵詞K、字節所在終止關鍵詞K'、字節相對起始關鍵詞的偏移O），對長度向量取交集。若存在，則密文相對關鍵詞偏移固定，交集即為正確的長度向量。若不存在，則密文相對關鍵詞偏移可變，查找明文長度域，確定明文字段長度，并從左至右層次化解析報文，確定密文長度域，定位密文域邊界。

（3）若不存在密文長度域，則為固定長度密文，進一步查找明文長度域。若不存在，則明文為固定長度，密文相對關鍵詞偏移固定，預定位的密文分布區間即為密文域；若存在，根據明文長度域確定明文，進而從左至右解析報文，定位密文域邊界。

4　實驗測試

SSL協議和SSH協議是網絡中廣泛應用的安全通信協議；NS（Needham-Schroeder）公鑰協議和sof協議則屬于經典基礎安全協議。本文選取這4個經典的安全協議進行實驗，結果表明本文方法可以準確識別密文域。

4.1實驗數據

協議流量數據集由3部分組成，如表3所示。第1部分來源于廣域網和MACCDC數據集［18］，為包含SSL協議的網絡流量。第2部分來源于In foV is Contest數據集［19］，為包含SSH協議的網絡流量。第3部分由實驗室局域網環境產生，為包含NS公鑰協議和sof協議［20］的網絡流量。其中NS公鑰協議、sof協議的應用程序采用Spi2Java［20］工具生成，并在各個主機上運行。

表3　協議數據集

4.2實驗結果

現有基于網絡報文流量信息的方法使用不公開的數據集，且主要解析協議的明文格式，難以和CFIA方法進行比較。CFIA對密文域識別主要依據密文的隨機性，目前存在其它隨機性評估方法，例如NIST測試、卡方測試等。文獻［15］指出：（1）相比較樣本平均值、方差，熵是最抗噪的隨機性測試方法。（2）疊加使用多種隨機性測試方法，不能提升測試效果，無意義。因此本文不再采用其他方法，僅基于熵識別密文域。

為檢驗CFIA方法的有效性，針對每個協議隨機選取完整的K個會話（取K=16，32，64，128和 256），統計不同樣本數K情況下密文域識別的正確率。絕大多數識別特征包含于流中第1條報文內［21］，對第1條報文包含密文域的SSL協議，NS協議和sof協議分別進行1000次測試，統計報文密文域識別的正確率，如圖7所示，當32K≥時，密文識別率在95%以上，與熵估計要求K＞16一致。

為進一步驗證CFIA方法的有效性，針對每個協議，隨機選取完整的M個會話作為訓練集，用于解析協議格式；其余部分作為測試集，用于評估所解析的格式。采用如下性能指標：記測試集中某協議A的樣本數目為N。N1表示被正確識別為A的樣本數，N2表示非A被錯誤識別為A的樣本數，識別率=N1/N，誤識別率=N2/（N1+N3）。識別率越高，誤識別率越低，相應的識別效果越好。

不同訓練樣本數的識別率如圖8所示。在小樣本情況下，協議會話類型偏少，所解析的格式只能代表協議部分類型的會話，識別率偏低。隨著M增加，選取的會話類型增多，解析的格式特征更為精確，識別率也隨之增加。當M=128時，識別率基本在94%以上。另一方面，不同訓練樣本數目下，都可以提取有效的協議格式特征，與其他協議可以相區分，誤識別率都為0。由上可知，本文方法可以較好地識別協議。

圖7　協議第1條報文密文域識別正確率

圖8　訓練集M不同大小時的識別率

5　結束語

本文提出CFIA方法，依據密文的隨機性特征，利用字節樣本熵和熵估計預定位密文域區間，進而通過密文長度域定位密文邊界，識別密文域。最后對4個經典安全協議進行實驗，結果表明，該方法僅依靠網絡數據流量信息即可有效識別協議密文域。但CFIA未考慮協議的時序行為，存在一定的局限性。下一步需進一步構建未知安全協議狀態機，給出協議的狀態轉換過程，刻畫協議的行為關系，為信息系統各種網絡安全應用提供支撐。

［1］CABALLERO J，YIN H，LIANG Zhenkai，et al.Polyglot:York:2007:317-329.doi:10.1145/1315245.1315286.

［2］CUIWeidong，PEINADO M，CHEN K，et al.Automatic reverse engineering of input format［P］.USA，8935677 B 2，2015-1-13.

［3］WANG Zhi，JIANG Xuxian，CUIWeidong，et al.ReFormat: Automatic reverse engineering of encrypted messages［C］. European Symposium on Research in Com puter Security，Berlin，2009:200-215.doi:10.1007/978-3-642-04444-1_13.

［4］CABALLERO J，POOSANKAM P，KREIBICH C，et al. Dispatcher:enab ling active botnet in filtration using automatic protocol reverse-engineering［C］.Proceedings of the 16th ACM Con ference on Com puter and Communications Security，New York，2009:621-634.doi:10.1145/1653662. 1653737.

［5］CABALLERO J and SONG D.Au tom atic protocol reverseengineering:m essage form at extraction and field sem antics in ference［J］.Computer Network，2013，57（2）:451-474.doi: 10.1016/j.comnet.2012.08.003.

［6］BEDDOE M.The protocol information pro ject［EB/OL］. http://www.4tphi.net/～awalters/PI/PI.htm l，2004.

［7］CUI W eidong，KANNAN J，and WANG H J.D iscoverer: Au tom atic protocol reverse engineering from network traces［C］.Proceedings of the 16th USENIX Security Sym posium，Berkeley，2007:199-212.

［8］黎敏，余順爭.抗噪的未知應用層協議報文格式最佳分段方法［J］.軟件學報，2013，24（3）:604-617.doi:10.3724/SP.J. 1001.2013.04243.

LI M in and YU Shunzheng.Noise-tolerant and op timal segmentation of message formats for unknown applicationlayer p rotocols［J］.Journal of Software，2013，24（3）:604-617. doi:10.3724/SP.J.1001.2013.04243.

［9］LUO Jianzhen and YU Shunzheng.Position-based automatic reverse engineering of network protocols［J］.Journal of Network and Com puter Applications，2013，36（3）:1070-1077. doi:10.1016/j.jnca.2013.01.013.

［10］ZHANG Zhuo，ZHANG Zhibin，Lee P P C，et al.Toward unsupervised protocol feature Word extraction［J］.IEEE Journal on Selected Areas in Commun ications，2014，32（10）: 1894-1906.doi:10.1109/JSAC.2014.2358857.

［11］TéTARD O.Netzob［OL］.http://www.netzob.org/，2013.

［12］BOSSERT G，GUIHéRY F，and HIET G.Towards autom ated protocol reverse engineering using semantic in formation［C］.Proceedings of the 9th ACM Sym posium on Information，Com puter and Communications Security，Kyoto，2014:51-62.doi:10.1145/2590296.2590346.

［13］KUMANO Y，ATA S，NAKAMURA N，et al.Towards realtime processing for app lication identification of encrypted traffic［C］.International Conference on Com puting，Networking and Comm unications，Honolulu，H I，2014: 136-140.doi:10.1109/ICCNC.2014.6785319.

［14］趙博，郭虹，劉勤讓，等.基于加權累積和檢驗的加密流量盲識別算法［J］.軟件學報，2013，24（6）:1334-1345.doi:10. 3724/SP.J.1001.2013.04279.

ZHAO Bo，GUO Hong，LIU Qinrang，et al.Protocol independent identification of encrypted traffic based on weighted cumulative sum test［J］.Journal of Software，2013，24（6）:1334-1345.doi:10.3724/SP.J.1001.2013.04279.

［15］OLIVAIN J and GOUBAULT-LARRECQ J.Detecting subverted cryptographic protocols by entropy checking［R］. LSV-06-13，2006.

［16］BONFIGLIO D，MELLIA M，MEO M，et al.Revealing skype traffic:when randomness plays w ith you［C］.Proceedings of the ACM SIGCOMM Conference on App lications，Technologies，Architectures，and Protocols for Com puter Communications，Kyoto，2007:37-48.doi:10.1145/1282380. 1282386.

［17］PAN INSKI L.A coincidence-based test for un iform ity given very sparsely samp led discrete data［J］.IEEE Transactions on Information Theory，2008，54（10）:4750-4755.doi:10.1109/ TIT.2008.928987.

［18］MACCDC traces［OL］.http://www.netresec.com/？page= MACCDC，2012.

［19］InfoVisContest traces［DB/OL］.http://2009.hack.lu/index. php/InfoVisContest，2009.

［20］PIRONTI A，POZZA D，and SISTO R.Spi2Java User Manual-Version 3.1［R］.Turin:Piedmont:Italy，Polytechnic University of Turin，2008.

［21］ACETO G，DAINOTT I A，DONATO W，et al.PortLoad: taking the best of two worlds in traffic classification［C］. Proceedings of IEEE International Conference on Com puter Communications，San Diego，CA，2010:1-5.doi:10.1109/ INFCOMW.2010.5466645.

朱玉娜：女，1985年生，博士生，研究方向為安全協議逆向與識別.

韓繼紅：女，1966年生，教授，博士生導師，研究方向為網絡與信息安全、安全協議形式化分析與自動化驗證.

袁霖：男，副教授，研究方向為安全協議形式化分析與自動化驗證、軟件可信性分析.

Protocol Ciphertext Field Identification by Entropy Estimating

ZHU Yuna HAN Jihong YUAN Lin GU Wen FAN Yudan
（PLA Information Engineering University，Zhengzhou 450001，China）

Previous network-trace-based m ethods only consider the p laintext format of pay load data，and are not suitable for security p rotocolswhich include a large number of ciphertext data；therefore，a novel approach named CFIA（Ciphertext Field Identification Approach）is p roposed based on entropy estimation for unknown security protocols.On the basis of keywords sequences extraction，CFIA utilizes byte sam ple entropy and entropy estimation to pre-locate ciphertext filed，and further searches ciphertext length field to identify ciphertext field. The experimental resu lts show that w ithout using dynam ic binary analysis，the proposed method can effectively identify ciphertext fields pu rely from network traces，and the inferred formats are high ly accurate in identifying the protocols.

Unknown security protocol；Protocol format；Ciphertext field；Entropy estimation

The National Natural Science Foundation of China（61309018）

TP393.08

A

1009-5896（2016）08-1865-07

10.11999/JEIT 151205

2015-10-29；改回日期：2016-02-25；網絡出版：2016-05-09

朱玉娜zyn_qingdao@126.com

國家自然科學基金（61309018）