倪振華，劉靖旭，王澤軍，劉 鵬

(解放軍信息工程大學(xué)，鄭州 450001)

?

【信息科學(xué)與控制工程】

面向APT攻擊的網(wǎng)絡(luò)安全防護(hù)體系能力分析

倪振華，劉靖旭，王澤軍，劉 鵬

(解放軍信息工程大學(xué)，鄭州 450001)

分析了預(yù)防高級可持續(xù)攻擊(Advanced Persistent Threat，APT)技術(shù)和攻擊流程，并在PPDR網(wǎng)絡(luò)安全防護(hù)模型的基礎(chǔ)上，構(gòu)建了面向APT攻擊的網(wǎng)絡(luò)安全防護(hù)體系；利用系統(tǒng)動(dòng)力學(xué)方法，建立體系能力模型，并進(jìn)行仿真分析，為進(jìn)一步提高網(wǎng)絡(luò)安全防護(hù)能力提供決策建議。

APT攻擊；系統(tǒng)動(dòng)力學(xué)；仿真分析

隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問題日趨嚴(yán)重。APT(Advanced Persistent Threat)即高級可持續(xù)攻擊，是近幾年出現(xiàn)的新型綜合性網(wǎng)絡(luò)攻擊手段，具有針對性、持續(xù)性、多態(tài)性、隱蔽性等特點(diǎn)[1]。 目前，許多學(xué)者提出了不同的防御APT攻擊的信息安全框架，為網(wǎng)絡(luò)信息系統(tǒng)的構(gòu)建提供了重要的參考依據(jù)，而檢驗(yàn)防護(hù)體系是否合理有效，分析和優(yōu)化網(wǎng)絡(luò)安全防護(hù)體系能力顯得尤其重要[2-6]。

系統(tǒng)動(dòng)力學(xué)(System Dynamics，SD)是美國麻省理工學(xué)院的Jay W.Forrestet教授提出的研究系統(tǒng)動(dòng)態(tài)行為的一種計(jì)算機(jī)仿真技術(shù)，根據(jù)系統(tǒng)論、控制論、信息論以及系統(tǒng)理論等，運(yùn)用定性與定量相結(jié)合的方法對網(wǎng)絡(luò)安全防護(hù)體系能力展開分析，能夠查找網(wǎng)絡(luò)體系構(gòu)架的薄弱環(huán)節(jié)，做好針對性的補(bǔ)救措施。

1 面向APT攻擊的網(wǎng)絡(luò)安全防御流程

APT攻擊是傳統(tǒng)網(wǎng)絡(luò)入侵、滲透手段的集成和綜合運(yùn)用，其攻擊過程可概括為6個(gè)階段：偵查準(zhǔn)備階段、代碼傳入階段、初次入侵階段、保持訪問階段、擴(kuò)展行動(dòng)階段和攻擊收益階段[8]。與傳統(tǒng)攻擊相比，APT攻擊具有更強(qiáng)的組織性，其攻擊目標(biāo)更加明確、攻擊手段更加復(fù)雜，造成的危害也更大。

1.1 APT攻擊防御核心技術(shù)

1) 沙箱技術(shù)。如果攻擊者利用零日漏洞實(shí)施攻擊，傳統(tǒng)的特征匹配檢測技術(shù)將無法應(yīng)對，使用沙箱技術(shù)識別未知攻擊與異常行為是一個(gè)很有效的方法。

2) 信譽(yù)技術(shù)。安全信譽(yù)是對網(wǎng)絡(luò)資源和服務(wù)相關(guān)實(shí)體安全可信性的評估和看法，建立包括WEB URL信譽(yù)庫、文件MD5碼庫、僵尸網(wǎng)絡(luò)地址庫、威脅情報(bào)庫等，可以為新型病毒、木馬等APT攻擊的檢測提供強(qiáng)有力的技術(shù)輔助支撐，實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備對不良信譽(yù)資源的阻斷或過濾。

3) 異常流量分析技術(shù)。通過對流量建模，識別異常行為。由于無法提取未知攻擊的特征，只能先對正常的網(wǎng)絡(luò)行為建模。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)連接的行為模式明顯偏離正常模型時(shí)，就可能存在網(wǎng)絡(luò)攻擊。

4) 密碼技術(shù)。針對APT攻擊的過程中控制權(quán)限的非法獲取和重要信息資產(chǎn)的竊取，相應(yīng)地使用密碼技術(shù)，能夠更好地保護(hù)系統(tǒng)的安全。

5) 大數(shù)據(jù)技術(shù)。通過對網(wǎng)絡(luò)數(shù)據(jù)分析，將可疑的網(wǎng)絡(luò)掃描信息、Web會(huì)話、Email記錄、防火墻日志等信息進(jìn)行智能化關(guān)聯(lián)分析，將傳統(tǒng)的基于時(shí)間點(diǎn)的檢測轉(zhuǎn)變?yōu)榛跉v史時(shí)間窗的檢測。

1.2 網(wǎng)絡(luò)安全防御流程

針對APT攻擊的6個(gè)階段，需要在每個(gè)攻擊階段運(yùn)用相應(yīng)的技術(shù)策略進(jìn)行防御。面對APT攻擊的偵查準(zhǔn)備階段，需要更多地應(yīng)用管理技術(shù)來預(yù)防。通過加強(qiáng)管理手段、法規(guī)制度等，加強(qiáng)對人員以及組織的安全管理。面對APT攻擊的后5個(gè)階段，則更多地應(yīng)用技術(shù)手段來應(yīng)對，結(jié)合APT攻擊防御核心技術(shù)的同時(shí)，應(yīng)用傳統(tǒng)的安全防護(hù)技術(shù)，如IDS/IPS入侵檢測、安全網(wǎng)關(guān)、監(jiān)控審計(jì)等。

同時(shí)，利用大數(shù)據(jù)技術(shù)，對相關(guān)安全事件進(jìn)行縱向與橫向關(guān)聯(lián)分析，建立如圖1所示的網(wǎng)絡(luò)安全防御流程。

圖1 面向APT攻擊的網(wǎng)絡(luò)安全防御流程

2 面向APT攻擊的網(wǎng)絡(luò)安全防護(hù)體系框架構(gòu)建

2.1 PPDR網(wǎng)絡(luò)安全防護(hù)模型

PPDR模型，如圖2所示，是美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司(ISS)在90年代末提出來的，由動(dòng)態(tài)的管理角度給出目標(biāo)系統(tǒng)防御基本原則，現(xiàn)今此模型已成為國際認(rèn)可的、實(shí)際可操作、信息指導(dǎo)系統(tǒng)安全建設(shè)與安全運(yùn)營模型構(gòu)架[9]。PPDR模型遵循整體安全策略控制跟指導(dǎo)，全面結(jié)合了防御工具(像防火墻、系統(tǒng)操作的身份認(rèn)證、加密等手段)，同時(shí)利用檢測工具(像漏洞評估、入侵檢測等系統(tǒng))了解、評估系統(tǒng)安全狀態(tài)，把系統(tǒng)恢復(fù)到“安全性最高”、“風(fēng)險(xiǎn)最低”狀態(tài)。防御、檢測跟響應(yīng)組成一個(gè)完整、動(dòng)態(tài)安全循環(huán)，PPDR模型是一個(gè)動(dòng)態(tài)模型，其中引進(jìn)了時(shí)間的概念，而且對如何實(shí)現(xiàn)系統(tǒng)安全，如何評估安全的狀態(tài)，給出了可操作性的描述。

圖2 PPDR模型

PPDR模型給網(wǎng)絡(luò)安全管理提供了方法，所有的安全問題都可以在統(tǒng)一的策略指導(dǎo)下，采取防護(hù)、檢測、響應(yīng)等不斷循環(huán)的動(dòng)態(tài)過程。然而，PPDR安全模型唯一的動(dòng)態(tài)因素是建立在檢測上，而解決手段僅僅是防護(hù)。如果要使這種安全模型取得成功必然要依賴系統(tǒng)正確的設(shè)置和完善的防御手段，并且在很大程度上針對固定的威脅和環(huán)境弱點(diǎn)，但它忽略了網(wǎng)絡(luò)安全的動(dòng)態(tài)性特征。

2.2 網(wǎng)絡(luò)安全防護(hù)體系框架

面向APT攻擊的網(wǎng)絡(luò)安全防護(hù)體系是一項(xiàng)系統(tǒng)工程，不是對各個(gè)系統(tǒng)的簡單羅列，而是對構(gòu)成網(wǎng)絡(luò)安全防護(hù)體系各個(gè)分系統(tǒng)功能的具體明確，通過對各個(gè)分系統(tǒng)的分解，明確各個(gè)保障源組成部分的功能及其相互關(guān)系。根據(jù)PPDR網(wǎng)絡(luò)安全防護(hù)模型及APT攻擊的防御流程，設(shè)計(jì)網(wǎng)絡(luò)安全防護(hù)體系框架如圖3所示。

圖3 面向APT攻擊的網(wǎng)絡(luò)安全防護(hù)體系框架

1) 安全策略系統(tǒng)。安全策略系統(tǒng)是為了保證網(wǎng)絡(luò)安全防護(hù)體系能夠高效運(yùn)行，對體系內(nèi)的資源進(jìn)行統(tǒng)一管理分配，使整個(gè)體系達(dá)到效能最大化的主要組織系統(tǒng)。安全策略系統(tǒng)由人員管理子系統(tǒng)、控制決策子系統(tǒng)、技術(shù)保障子系統(tǒng)和法規(guī)制度子系統(tǒng)組成，是整個(gè)體系的中樞神經(jīng)和指揮中心，如圖4所示。

圖4 安全策略系統(tǒng)能力

2) 情報(bào)預(yù)警系統(tǒng)。情報(bào)預(yù)警系統(tǒng)是網(wǎng)絡(luò)安全防護(hù)體系的“眼睛”，是綜合運(yùn)用各種監(jiān)測設(shè)備和信息獲取手段，對可能發(fā)生的情況進(jìn)行分析處理，從而達(dá)到提前預(yù)防、減少損失的目的。情報(bào)預(yù)警系統(tǒng)由情報(bào)獲取子系統(tǒng)、情報(bào)處理子系統(tǒng)和情報(bào)共享子系統(tǒng)組成，在網(wǎng)絡(luò)安全防護(hù)過程中，對APT攻擊的檢測除了內(nèi)網(wǎng)本身收集到的數(shù)據(jù)以外，第三方機(jī)構(gòu)提供的APT攻擊信息對于檢測APT攻擊也至關(guān)重要，可以突破單點(diǎn)防護(hù)的傳統(tǒng)觀念，有效提高系統(tǒng)防御APT攻擊的能力，如圖5所示。

圖5 情報(bào)預(yù)警系統(tǒng)能力

3) 安全防護(hù)系統(tǒng)。安全防護(hù)系統(tǒng)是網(wǎng)絡(luò)安全防護(hù)體系的基礎(chǔ)，合理運(yùn)用各種資源，根據(jù)不同情況對資源投入量進(jìn)行調(diào)整，使防御效果最大化。安全防護(hù)系統(tǒng)由防火墻子系統(tǒng)、數(shù)據(jù)加密子系統(tǒng)、訪問控制子系統(tǒng)和網(wǎng)絡(luò)欺騙子系統(tǒng)等組成，安全防護(hù)系統(tǒng)的運(yùn)行直接影響著整個(gè)防護(hù)過程，如圖6所示。

圖6 安全防護(hù)系統(tǒng)能力

4) 信息防護(hù)系統(tǒng)。信息防護(hù)系統(tǒng)是網(wǎng)絡(luò)安全防護(hù)體系的重要支撐，通過各種技術(shù)手段的使用，對體系內(nèi)數(shù)據(jù)進(jìn)行加密、隱藏甚至欺騙，從而達(dá)到防護(hù)的目的。信息防護(hù)系統(tǒng)由身份認(rèn)證子系統(tǒng)、監(jiān)控審計(jì)子系統(tǒng)、入侵檢測子系統(tǒng)和病毒防護(hù)子系統(tǒng)組成，確保信息的完整性、保密性和可用性，如圖7所示。

圖7 信息防護(hù)系統(tǒng)能力

5) 響應(yīng)恢復(fù)系統(tǒng)。響應(yīng)恢復(fù)系統(tǒng)是對體系內(nèi)各信息系統(tǒng)的運(yùn)行進(jìn)行安全評估，在出現(xiàn)安全威脅時(shí)自動(dòng)處理。響應(yīng)恢復(fù)系統(tǒng)由系統(tǒng)重構(gòu)子系統(tǒng)、應(yīng)急響應(yīng)子系統(tǒng)、數(shù)據(jù)恢復(fù)子和攻擊溯源子系統(tǒng)等組成，確保在各種情況下體系的正常運(yùn)轉(zhuǎn)，如圖8所示。

圖8 響應(yīng)恢復(fù)系統(tǒng)能力

3 面向APT攻擊的系統(tǒng)動(dòng)力學(xué)模型

網(wǎng)絡(luò)安全防護(hù)體系能力發(fā)揮的最終目的是有效阻止APT攻擊以及消除體系內(nèi)部的木馬后門，恢復(fù)系統(tǒng)受感染損壞的資源。通過分析體系能力，對網(wǎng)絡(luò)安全防護(hù)體系能力構(gòu)成要素發(fā)揮功能的程度和重要性進(jìn)行衡量，找出關(guān)鍵要素、核心環(huán)節(jié)和防御弱點(diǎn)，為更好地發(fā)揮防護(hù)能力提出改進(jìn)措施。

3.1 APT攻擊過程描述

根據(jù)APT攻擊的6個(gè)階段和攻擊特性，選取網(wǎng)絡(luò)安全防護(hù)體系中的一部分，假設(shè)共有節(jié)點(diǎn)N,攻擊過程簡化如圖9所示[10-11]。

圖9 APT攻擊過程

針對某種未知APT攻擊來說，S(t)表示當(dāng)前網(wǎng)絡(luò)中易感染節(jié)點(diǎn)的數(shù)目，E(t)表示APT攻擊已經(jīng)取得后門權(quán)限節(jié)點(diǎn)的數(shù)目，I(t)表示已經(jīng)被感染節(jié)點(diǎn)的數(shù)目，R(t)表示通過有效的防護(hù)手段變成免疫節(jié)點(diǎn)的數(shù)目。

(1)

(2)

(3)

(4)

(5)

其中γ定義為S(t)轉(zhuǎn)變?yōu)镋(t)的速率，ε定義為E(t)轉(zhuǎn)變?yōu)镮(t)的速率，μ定義為E(t)轉(zhuǎn)變?yōu)镽(t)的速率，λ定義為I(t)轉(zhuǎn)變?yōu)镽(t)的速率，ω為延時(shí)函數(shù)。式(1)說明了易感染節(jié)點(diǎn)個(gè)體數(shù)量的變化率隨著易感染個(gè)體和取得后門個(gè)體的數(shù)量上升而下降，這同樣也受限于式(2)，因?yàn)橐赘腥竟?jié)點(diǎn)個(gè)體的數(shù)量以與已經(jīng)取得后門權(quán)限節(jié)點(diǎn)個(gè)體數(shù)量相反的方向增加或減少。式(2)說明了取得后門權(quán)限節(jié)點(diǎn)個(gè)體數(shù)量的變化率根據(jù)易感染節(jié)點(diǎn)個(gè)體和取得后門權(quán)限個(gè)體的數(shù)量之比增加或減少，其中還需要減去感染節(jié)點(diǎn)和免疫節(jié)點(diǎn)個(gè)體的數(shù)量。式(3)、(4)表達(dá)了一個(gè)簡單的線性關(guān)系。式(5)說明整個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)個(gè)數(shù)保持恒定，與每個(gè)狀態(tài)的數(shù)量無關(guān)。

3.2 面向APT攻擊的系統(tǒng)動(dòng)力學(xué)流圖

本文在分析前述構(gòu)建的網(wǎng)絡(luò)安全防護(hù)體系框架的基礎(chǔ)上，選取影響網(wǎng)絡(luò)安全防護(hù)體系能力的重要因素，把體系中E(t)、I(t)和R(t)作為水平變量，建立面向APT攻擊的系統(tǒng)動(dòng)力學(xué)流程如圖10所示。

圖10 面向APT攻擊的系統(tǒng)動(dòng)力學(xué)流圖

其中主要參數(shù)方程：

γ=E*S*入侵強(qiáng)度/信息防護(hù)能力/情報(bào)準(zhǔn)確性/管理控制能力/節(jié)點(diǎn)重要性；

E=INTEG(γ-ε-μ,10);

ε=DELAY FIXED(攻擊率,ω1,0);

I=INTEG(ε-λ,0);

λ=DELAY FIXED(病毒木馬清除能力,ω2,0);

ω1=ω2；

R=INTEG(λ+μ,0);

μ=攻擊識別率。

4 模型仿真分析

為了分析各變量在網(wǎng)絡(luò)安全防護(hù)體系中的作用和地位，針對面向APT攻擊的系統(tǒng)動(dòng)力學(xué)流圖，對各變量賦初值，并通過調(diào)整關(guān)鍵變量的取值，看E(t)、I(t)和R(t)的變化曲線，剖析結(jié)果。

假設(shè)網(wǎng)絡(luò)安全防護(hù)體系運(yùn)行過程中，設(shè)置INITIAL TIME=0，F(xiàn)INAL TIME=50，TIME STEP=0，Units for time單位為天，初始節(jié)點(diǎn)N=100，E(t)的初始值為10，運(yùn)行Vensim軟件模擬，可得各個(gè)變量的仿真結(jié)果，分析相關(guān)變量對仿真結(jié)果造成的影響。

圖11所示為各變量取初值時(shí)，網(wǎng)絡(luò)安全防護(hù)體系內(nèi)節(jié)點(diǎn)的變化曲線。在網(wǎng)絡(luò)防護(hù)過程中，γ隨著時(shí)間的變化，增加會(huì)慢慢變緩，同時(shí)E(t)受其影響，開始增加較快，之后也會(huì)隨著時(shí)間增加慢慢變緩。觀察所構(gòu)建模型的仿真結(jié)果，可以發(fā)現(xiàn)網(wǎng)絡(luò)安全防護(hù)體系系統(tǒng)動(dòng)力學(xué)模型和實(shí)際防護(hù)過程效果基本一致，隨著時(shí)間增長，節(jié)點(diǎn)中存在漏洞的個(gè)數(shù)會(huì)越來越少，體系內(nèi)被植入后門的節(jié)點(diǎn)都是先增加后減少，最后在體系整體作用下，植入后門的節(jié)點(diǎn)趨于零；I(t)在延時(shí)函數(shù)的作用下，過了病毒的潛伏期或者由于攻擊者直接控制，受感染的節(jié)點(diǎn)會(huì)逐漸增加。R(t)受攻擊識別率和病毒木馬清除能力的影響，也會(huì)慢慢增加，但受限于μ和λ的影響。

圖11 γ、E(t)、I(t)和R(t)的變化趨勢

圖12所示為調(diào)整安全策略能力、情報(bào)預(yù)警能力、安全防護(hù)能力、信息防護(hù)能力和響應(yīng)恢復(fù)能力后，使γ值變小后E(t)、I(t)和R(t)變化趨勢。通過增強(qiáng)安全策略能力，提升情報(bào)預(yù)警能力或者加強(qiáng)安全防護(hù)能力，使得γ變小，說明以上措施能夠有效減少S(t)被植入后門的速率，使 E(t)增加的速率變慢。

圖12 γ值變小后的變化趨勢

分析模型的仿真結(jié)果，可以得出以下結(jié)論：

1) 面向APT攻擊的網(wǎng)絡(luò)安全防護(hù)體系依賴于各個(gè)系統(tǒng)能力的合成。從仿真結(jié)果可知，在面向APT攻擊初始，系統(tǒng)處于被動(dòng)狀態(tài)，體系內(nèi)被植入后門以及受感染的節(jié)點(diǎn)處于增加的狀態(tài)，隨著時(shí)間的增加，各系統(tǒng)發(fā)揮各自作用，使系統(tǒng)逐漸恢復(fù)，被植入后門的節(jié)點(diǎn)和被感染節(jié)點(diǎn)數(shù)目減少，轉(zhuǎn)變成免疫節(jié)點(diǎn)。

2) 體系內(nèi)各系統(tǒng)能力的增加能夠提升體系整體防御能力。各系統(tǒng)能力增加，都能使得體系防御能力增加，但也不是無止盡地增加，同時(shí)還需要各系統(tǒng)的配合。如單純增加信息防護(hù)能力，會(huì)使系統(tǒng)內(nèi)網(wǎng)絡(luò)變得更復(fù)雜，同時(shí)人員增多使得管理控制能力下降，對于體系維護(hù)造成困難，維護(hù)成本也相應(yīng)提高。

3) 體系內(nèi)模擬數(shù)值與真實(shí)網(wǎng)絡(luò)環(huán)境有一定差距。網(wǎng)絡(luò)安全防護(hù)體系內(nèi)各系統(tǒng)能力量化受主觀影響較大，且攻擊者發(fā)動(dòng)攻擊的延遲無法與真實(shí)情況相符，只能取出平均值，這在網(wǎng)絡(luò)安全防護(hù)中是至關(guān)重要的，數(shù)據(jù)的竊取破壞往往持續(xù)時(shí)間較短。

5 結(jié)束語

本文運(yùn)用系統(tǒng)動(dòng)力學(xué)的方法對面向APT攻擊的網(wǎng)絡(luò)安全防護(hù)體系能力進(jìn)行了分析，通過研究，對建設(shè)和提高體系防護(hù)能力有一定的積極意義，但如何合理配置體系資源，以及各種力量手段的應(yīng)用，還需要進(jìn)一步的研究。

[1] 陳劍峰,王強(qiáng),伍淼.網(wǎng)絡(luò)APT攻擊及防范策略[J].信息安全與通信保密,2012(7)：24-27.

[2] 李鳳海,李爽,張佰龍.高等級安全網(wǎng)絡(luò)抗APT攻擊方案研究[J].信息網(wǎng)絡(luò)安全，2014(8)：109-114.

[3] 杜躍進(jìn),翟立東,李躍.一種應(yīng)對APT攻擊的安全架構(gòu)：異常發(fā)現(xiàn)[J].計(jì)算機(jī)研究與發(fā)展,2014(7)：1633-1645.

[4] 許婷.一種有效防范APT攻擊的網(wǎng)絡(luò)安全架構(gòu)[J].信息安全與通信保密,2013(6)：65-67.

[5] 高赟,周薇,韓翼中.一種基于文法壓縮的日志異常檢測算法[J].計(jì)算機(jī)學(xué)報(bào),2014(1)：73-86.

[6] 周濤.大數(shù)據(jù)與APT攻擊檢測[J].信息安全與通信保密,2012(7)：29.

[7] 鐘永光,賈曉菁,李旭.系統(tǒng)動(dòng)力學(xué)[M].北京：科學(xué)出版社,2009.

[8] 付鈺,李洪成,吳曉平,等.基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述[J].通信學(xué)報(bào),2015(11)23-26.

[9] 王永光.基于petri網(wǎng)的網(wǎng)絡(luò)安全防御體系評估模型的研究[D].長沙：湖南大學(xué),2014.

[10]胡向東，劉竹林． 網(wǎng)絡(luò)化測控系統(tǒng)的信息安全方法研究[J].重慶理工大學(xué)學(xué)報(bào)(自然科學(xué))，2016(5)：81-87.

[11]TED G.Lewis/NETWORK SCIENCE Theory and Applications[M].北京：機(jī)械工業(yè)出版社,2011.

(責(zé)任編輯 楊繼森)

Ability Analysis of Network Security Protection System for APT Attack

NI Zhen-hua, LIU Jing-xu, WANG Ze-jun, LIU Peng

(The PLA Information Engineering University, Zhengzhou 450001, China)

The technology of Advanced Persistent Threat (APT) attack and the process of attack were analyzed. Based on PPDR network security protection model, the network security protection system for APT attack was constructed. Based on the system dynamics method, the system capability model was established for the APT attack process, and the simulation analysis was carried out to provide the decision-making for further improving the network security protection capability.

APT attack; system dynamics; simulation analysis

2016-11-02；

2016-12-22

全軍軍事類研究生資助課題(2015JY129) 作者簡介：倪振華 (1986—)，男，碩士研究生，主要從事軍事管理評估與決策研究。

10.11809/scbgxb2017.04.028

倪振華，劉靖旭，王澤軍，等.面向APT攻擊的網(wǎng)絡(luò)安全防護(hù)體系能力分析[J].兵器裝備工程學(xué)報(bào)，2017(4):127-131.

format:NI Zhen-hua, LIU Jing-xu, WANG Ze-jun, et al.Ability Analysis of Network Security Protection System for APT Attack[J].Journal of Ordnance Equipment Engineering,2017(4):127-131.

TP451

A

2096-2304(2017)04-0127-05