一种基于漏洞威胁模型的安全分析技术

维普资讯 http://www.cqvip.com 总第２２４期　计算机与数字工程　Ｖｏ１＿３６　Ｎｏ．６　２００８年第６期　Ｃｏｍｐｕｔｅｒ＆Ｄｉｇｉｔａｌ　Ｅｎｇｉｎｅｅｒｉｎｇ　１２０　一种基于漏洞威胁模型的安全分析技术　张亮朱磊明王康　（解放军电子工程学院合肥２３００３７）　摘要如何全面、准确地分析网站面临的最大威胁成为专业信息安全公司和网站管理员的不可回避的难题。借鉴　攻击图的基本思想设计漏洞威胁测试模型（Ｖ．ｒｒＭ），并以ＳＱＬ注入漏洞为例对其进行建模，并利用两种算法分别计算网站　的最大威胁值及最优测试序列。　关键词渗透测试攻击图ＳＱＬ注入贪婪算法动态规戈４　中图分类号ＴＰ３９３．０８　Ａ　Ｔｅｃｈｎｏｌｏｇｙ　ｏｆ　Ａｎａｌｙｚｉｎｇ　Ｓｅｃｕｒｉｔｙ　Ｂ　ａｓｅｄ　ｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｔｈｒｅａｔｓ　Ｍｏｄｅｌ　Ｚｈａｎｇ　Ｌｉａｎｇ　Ｚｈｕ　Ｌｅｉｍｉｎｇ　Ｗａｎｇ　Ｋａｎｇ　（Ｅｌｅｃｔｒｏｎｉｃ　Ｅｎｇｉｎｅｅｒｉｎｇ　Ｉｎｓｔｉｔｕｔｅ，ＣＰＬＡ，Ｈｅｆｅｉ　２３００３７）　Ａｂｓｔｒａｃｔ　Ｉｔ’Ｓ　ｑｕｉｔｅ　ａ　ｄｉｆｆｉｃｕｌｔ　ｐｒｏｂｌｅｍ　ｆｏｒ　ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｔｙ　ｃｏｍｐａｎｉｅｓ　ａｎｄ　ｗｅｂ　ａｄｍｉｎｉｓｔｒａｔｏｒｓ　ｔｏ　ｆｉｎｄ　ａ　ｗａｙ　ｔｏ　ａｎａｌｙｚｅ　ｔｈｅ　ｂｉｇｇｅｓｔ　ｔｈｒｅａｔ　ｔＯ　ａ　ｗｅｂｓｉｔｅ　ｅｎｔｉｒｅｌｙ　ａｎｄ　ａｃｃｕｒａｔｅｌｙ．Ｈａｖｉｎｇ　ｄｅｓｉｇｎｅｄ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｔｈｒｅａｔｓ　Ｔｅｓｔｉｎｇ　Ｍｏｄｅｌ（ＶＴＴＭ）ｗｈｉｃｈ　ｉｓ　ｂａｓｅｄ　ｏｎ　ｔｈｅ　ｂａｓｉｓ　ｏｆ　ａ￣ａｃｋ　ｇｒａｐｈ，ｔａｋｉｎｇ　ＳＱＬ　ｉ￣ｅｃｔｉｏｎ　ｆｏｒ　ｅｘａｍｐｌｅ　ｔＯ　ｃｏｎｓｔｒｕｃｔ　ｉｔｓ　ｍｏｄｅｌ　ａｎｄ　ｉｎｔｒｏｄｕｃｉｎｇ　ｔｗｏ　ａｌｇｏｒｉｓｍｓ　ｔＯ　ｃａｌ—　ｃｕｌａｔｅ　ｔｈｅ　ｂｉｇｇｅｓｔ　ｔｈｒｅａｔ　ｖａｌｕｅ　ａｎｄ　ｔｈｅ　ｂｅｓｔ　ｔｅｓｔｉｎｇ　ｓｅｑｕｅｎｃｅ　ｒｅｓｐｅｃｔｉｖｅｌｙ．　Ｋｅｙ　ｗｏｒｄｓ　ｐｅｎｅｔｒａｔｉｏｎ　ｔｅｓｔ，ａｔｔａｃｋ　ｇｒａｐｈ，ＳＱＬ　ｉｎｊｅｃｔｉｏｎ，ｇｒｅｅｄｙ　ａｌｇｏｒｉｓｍ，ｄｙｎａｍｉｃ　ｐｒｏｇｒａｍｍｉｎｇ　Ｃｌａｓｓ　Ｎｕｍｂｅｒ　ＴＰ３９３．０８　１　引言　透，不能充分模拟黑客攻击的流程，而一个漏洞可　能要具有一定前提条件才可能被发现，因此这种　网络的普及标志着信息时代的来临，形形色色的　“各自为政”的状态容易片面地估计漏洞威胁，从　网站使“足不出户，办天下事”成为可能。便利的网络　而隐藏了漏洞的存在。　服务唾手可得，在吸引众多Ｉｎｔｅｍｅｔ用户同时也招来　常见的Ｗｅｂ漏洞存在于用户认证、用户授权、　了不怀好意的目光。越来越多的网络黑客将网站视　用户输入验证、Ｗｅｂ程序管理和客户端访问等环　为免费的蛋糕，网站安全受到严重威胁。　节上，具体形式有：利用Ｃｏｏｋｉｅｓ、会话ＩＤ欺骗或密　渗透测试（Ｐｅｎｅｔｒａｔｉｏｎ　Ｔｅｓｔ）的主要目的是对　码破解绕过用户验证或提权、利用ＳＱＬ注入攻击　网站进行安全评估，它可以使用专用漏洞扫描工具　技术入侵数据库服务器、利用跨站脚本漏洞威胁客　对网站的安全状态进行检查，也可以雇用具有丰富　户端、利用服务器提供的其他第三方服务进行入侵　网络攻击经验的专业技术人员扮演“黑客”的角　等。进行渗透测试时要涵盖这些纷繁复杂的环节，　色，从内网、外网以及不同网段对网站进行模拟攻　因此需要对各类型的Ｗｅｂ漏洞测试过程进行建模　击，以便能够模拟企业内部的违规操作和对企业内　以发现网站最大的威胁。　部状态一无所知的外部攻击。然而，这种安全测试　攻击图（Ａｔｔａｃｋ　Ｇｒａｐｈ）　ｌ　Ｊ作为表现攻击条件、　方式的效果过分依赖于工具和技术人员的能力，并　过程和结果的模型在渗透测试中具有不可替代的　且通常以离散状态分布在企业各处对网站进行渗　作用。为了降低工具和技术人员对渗透测试的影　收稿日期：２００８年１月９日，修回日期：２００８年２月９日　作者简介：张亮，男，硕士研究生，研究方向：计算机信息安全。朱磊明，男，硕士生导师，研究方向：计算机信息安全。　王康，男，硕士研究生，研究方向：计算机网络安全。　维普资讯 http://www.cqvip.com 第３６卷（２００８）第６期　计算机与数字工程　１２１　响，本论文将根据攻击图的基本思想设计漏洞威胁　测试模型（Ｖｕｌｎｅｒａｂｉｌｉｔｙ　ＴｈｒｅａｔＳ　Ｔｅｓｔｉｎｇ　Ｍｏｄｅｌ，　ｓ　表示测试条件，ｓ　表示测试结果。测试用例应该　具有原子性，即在测试环节中最小的测试单元，以　单一的手段获得单一的效果。在ＶＴＴＭ模型中　表现为有向边，可以对每条边赋予权值，这里，权值　使用二元组（Ｃ，Ｖ）表示，其中Ｃ表示执行测试用例　的代价，是执行周期、被ＩＤＳ或ＩＩｓ记录的可能性　ＶＴＴＭ），并通过求解模型，全面、准确地发现网站　的最大威胁。　２　ＶＴＴＭ的设计与建立　攻击图以有向图为表现形式，顶点代表网站的　和占用系统资源等因素的综合值；Ｖ表示执行测试　用例的价值。以上两个元素都根据测试者自身需　安全状态，有向边代表状态的转换，包含了各种转　换条件。本文将根据攻击图的基本思想对网站的　要和经验进行设置。以ＳＱＬ注入漏洞为例，其局　Ｗｅｂ漏洞测试过程建立ＶＴＴＭ模型，模型将使用　加权有向图来表示。　ＶＴＦＭ模型有五个基本要素：网站安全状态集合　Ｓ、初时状态集合Ｓ０、目标状态集合Ｓ　安全状态转换　集合　和价值代价比集合ｏｒ，详细描述见表１。　表ｌ　Ｖ１ｖｒＭ模型要素　要素　描述　Ｓ　Ｓ是在测试过程中不断改变的网站安全状态，在　模型中处于顶点位置　Ｓ。　ｓ。　Ｓ。　Ｓ，是有向图中入度为０的顶点　Ｓ　ｓ　Ｓ　Ｓ，是有向图中出度为０的终点，以双圆　圈表示　中状态　表示从安全状态ｓ　向Ｓｊ的转换过程，　在有向图中处于边的位置，用序偶＜ｓ　，ｓｊ＞表示　其中ｉ　。如果转换后的状态ｓ　Ｓ　，表示漏洞　测试过程达到预期目标，结束状态转换过程。　０－　权值集合，　表示从安全状态Ｓ　向　的转换权　值，用二元组（Ｃｉｉ，Ｖｑ）表示　由此，ＶＴＴＭ模型可以用五元组（Ｓ。，Ｓ，Ｓｒ，　¨　ｒｏ）来表示，其基本思想是使用大量的测试用例对　每一个安全状态进行检测，满足转换条件后进行状　态迁移，如果最后能够达到目标状态，则表示网站　存在从Ｓ。到Ｓ　对应的漏洞。　５中的每一个状态包含以下元素：　・用户权限：当前用户等级标识，通常采用枚　举型进行表示，包括ｇｕｅｓｔ（ａｎｏｎｙｍｏｕｓ）、ＩＵＳＲ—ＸＸＸＸ　（互联网访问用户）、ｎｏｒｍａｌ（ｐｕｂｌｉｃ）、ａｄｍｉｎｉｓｔｒａｔｏｒ　等等。　・目标：指定需要进行测试的目标，可以是单　个和多个服务器。状态转换不涉及到目标迁移时　可以省略此元素。　・漏洞：通过状态转换后得到的可利用漏洞。　・能力：当前状态下能够对网站产生的危害或　能够进行的攻击行为，比如会话欺骗、窃听密码、植　入木马和ＳＱＬ注入等。　表示将测试用例作用于ｓ　后网站安全状态　转换到ｓＪ，这个转换过程用序偶＜ｓ　，Ｓｊ＞表示，其中　部状态转换图如图１所示。　图１　局部状态转换图示例　漏洞测试的过程可以看成是基于测试条件的　状态转换过程　（本文称之为测试路径），用线性　状态序列表示：　ＴＰ＝｛ＳｏＳｌ…Ｓ　…Ｓ￡Ｉ　Ｓ０∈Ｓ０，Ｓ　∈Ｓ，Ｓ　∈Ｓｒ，０≤ｉ　Ｉ　Ｓｌｌ　在ＶＴＴＭ中达到目标状态的关键因素是合理、　充分地设计测试用例，并能涵盖网站程序的各个功　能模块。　下面以ＳＱＬ注入漏洞为例，利用ＶＴＴＭ对其　进行建模，目标状态是获得网站的ＷｅｂＳｈｅｌｌ，模型　的五个要素如前文所述，对应的状态转换图如图２　所示，其中各个状态的内部元素描述见（省略“目　标”）　图２　ＳＱＬ注入漏洞威胁的状态转换图　模型建立以后对状态转换图进行遍历以获得　从初始状态到目标状态的所有测试路径。通常，对　图的遍历有深度优先遍历和宽度优先遍历。在　ＶＴＴＭ模型中使用深度优先遍历，遍历过程中获得　的从Ｓ。到Ｓ　的路径就是状态线性序列。然后根据　需要确定最优序列。按照最优序列进行漏洞发掘　将取得最大效益。最优的标准由测试者的需求决　维普资讯 http://www.cqvip.com

ｌ２２　张亮等：一种基于漏洞威胁模型的安全分析技术　第３６卷　定，比如不考虑代价，只考虑价值，则最优函数为：　ｍａｘ￣ｖ　如果不考虑价值只考虑代价，最优函数　为：ｒａｉｎ∑Ｃ　如果两者兼顾，可以引入价值代价比　Ｐ　＝　／ｃ　则最优函数为：ｍａｘ∑ｐ　（此情况下ｃ　ｆ＞　０）。可以将模型中各个状态的转换条件视为约束　条件，主要体现在测试条件Ｓ　的内部元素“漏洞”　和“能力”匕。　表２状态节点元素　建立Ｗｅｂ漏洞的Ｖ　ｒＩ１．Ｉ１Ｍ模型时，需要考虑所　有类型的漏洞威胁，分别确定初始状态和和目标状　态，创建各自的子状态转换图，然后合并成全局状　态转换图。为减少计算最优测试序列的复杂度，必　须对全局状态转换图进行优化，优化遵循以下　原则：　・合并状态节点时，节点的各个元素必须一　致，否则不能合并。　・存在条件依存关系的状态节点，即能够用序　偶表示＜ｓ　，ｓ　＞的两个节点ｓ　，Ｓ　不能合并。　・根据网站实际情况检查每个状态的转换条　件是否成立，如果不成立，去掉该转换。　・在不同的子状态转换图之间补充必要的路　径，因为测试过程应该是全面、动态的过程，不会拘　泥于其中某个特定环节，测试人员可能通过Ｗｅｂ　程序的其他缺陷来发现产生此漏洞的条件，使安全　状态转换具备前提条件而发生转移。　・经过优化的状态转换图若存在环路，则环路　中的状态转换可能具有原子型，需要重新分析添加　新的状态节点避免产生环路。　一般地，建立Ｖ　ｒＩ１．Ｉ１Ｍ模型的步骤为：　建立状态转换图一合并一优化一确定最优函　数及约束条件。　３　量化威胁　建立Ｖ　ｒＩ１．Ｉ１Ｍ模型的目的是为了寻求网站的最　大威胁，因此，建立模型以后需要求解模型，即在约　束条件下求最优函数的解。本小节将以图２所示　的ＳＱＬ注入漏洞的Ｖ　ｒＩ＇．Ｉ＇Ｍ为例进行求解，假设该　状态转换图已经经过优化，最优函数为：　＝ｍａｘ　Ｅｐ　对状态转换图中，测试结果为Ｓ　的状态转换　的权值为０，其他权值如表３所示（以作者经验设　定）。　表３状态转换权值　‘　（１，２）　（３，８）　（３，ｘｏ）　（４，４）　（８，５）　Ｄ　２　２．６７　３．３３　１　０．６３　３／ｏ６　３／６７　＂Ｙ７８　３／８９　（２，３）　（３，３）　（２，３）　（１，２）　ｐ　１．５　１　１．５　２　下面介绍使用贪婪算法和动态规划的方法求　解模型。　１）贪婪算法（Ｇｒｅｅｄｙ　ａｌｇｏｒｉｓｍ）　贪婪算法的基本思想是：采用逐步构造最优解　的方法，在每个阶段都选择一个看上去最优的决　策。一旦作出决策就不可再更改。作出贪婪决策　的依据称为贪婪准则。　求解模型最优解的关键是寻找一条从初时状　态节点到目标状态节点的路径，使这条路径上的所　有价值代价比ｐ　成为最优函数的解。根据算法的　基本思想，设有集合４，包含每次根据贪婪准则所　选的状态节点；集合Ｂ，包含当前状态节点与新加　入４的节点之间的状态转换。初始情况下Ａ＝　｛Ｓ。｝，Ｂ＝　。假设当前新加入４的状态节点为Ｓ　，　且ｓ　Ｓ　，则向４加入下一个状态节点ｓ，的贪婪准　则为：ｓｊ未在，４中出现且使＜ｓ　，ｓｊ＞对应的Ｐ　最　大。由此，对于图２所示的状态转换图，其最优测　试路径为ＴＰ＝｛ＳｏＳ。Ｓ　Ｓ　Ｓ　｝，∑ｐ　＝４．９６。注意，贪　婪算法只是一种直觉倾向性的抉择，不保证∑ｐ　到　达最优，如图２所示例子中存在更优的测试路径　ＴＰ１＝｛ＳｏＳ６Ｓ７Ｓ８Ｓ９Ｓ　｝，∑ｐ　＝６，但通过贪婪算法获　得结果总是非常接近最优值。　２）动态规划（Ｄｙｎａｍｉｃ　ｐｒｏｇｒａｍｍｉｎｇ）　与贪婪算法类似，动态规划也将待求问题分解　成若干子问题，求解子问题后再从这些解中得到原　（下转第１３５页）　维普资讯 http://www.cqvip.com

第３６卷（２００８）第６期　计算机与数字工程　１３５　户端发送自己的数字证书。　５）客户端通过数字证书验证服务器是否合法。　５　结语　６）验证合法后，客户端把自己的数字证书发　本文探讨了无线局域网的安全性问题，并提出　送给服务器，请求再次验证。　了解决方案。由于无线局域网的安全性是一个非　７）ＲＡＤＩＵＳ服务器通过数字证书验证客户端　常复杂的问题，需要大家一起更深人地去研究。　是否合法，这样就完成了双向的认证过程。　参考文献　ＩＥＥＥＳ０２．１ｘ身份认证的主要优点是采用了双　［１］杨兵．ＷＬＡＮ无线局域网安全性分析与研究［Ｄ］．　向的认证过程，提高了无线局域网的安全性。　昆明理工大学，２００４　４．２　数据加密　［２］张丰翼．无线局域网安全机制研究［Ｄ］．西安电子　采用了ＡＳＥ中的Ｒｉｊｄａｅｌ加密算法，而不是　科技大学，２００４　ＲＣ４加密算法。Ｒｉｊｎｄａｅｌ算法具有成熟的数学理　［３］肖衍，蒋外文，龙娟．基于无线网络的入侵检测系　论基础，Ｒｉｊｎｄａｅｌ算法式一种基于有限域一有限环　统研究与设计［Ｊ］．微计算机信息，２００７，２３（９—３）　［４］王先培，张爱菊，熊平．新一代数据加密标准一　的算法，有限域一有限环的性质为加密特别是解密　ＡＥＳ［Ｊ］．计算机工程，２００３，２９（３）　提供了良好的理论基础，使算法设计者既能高强度　［５］Ｎｉｋｉｔａ　Ｂｏｒｉｓｏｖ，Ｉａｎ　Ｇｏｌｄｂｅｒｇ，Ｄａｖｉｄ　Ｗａｇｎｅｒ．（Ｉｎ）ｓｅ—　的隐藏信息，又同时保证了算法可逆。所以Ｒｉｊｄａ—　ｃｕｒｉｔｙ　ｏｆｔｈｅ　ＷＥＰ　ａｌｇｏｒｉｔｈｍ［Ｊ］．Ｉｎｔｅｍｅｔ　Ｄｒａｆｔ，２００１，（６）　ｅ１加密算法可以很大程度上提高无线局域网的安　［６］谢荣清．无线局域网安全机制分析［Ｄ］．电子科技　全性。　大学，２００６　（上接第１２２页）　测试路径ＴＰ。ｍ＝｛ＳＯｓ６ｓ７ｓ８ｓ９ｓ　｝　问题的解。不同的是动态规划的子问题往往不是相　互独立的，某个子问题的解可能会影响到另一子问题　４　结语　的解。动态规划具有两个基本要素：最优子结构、重叠　将ＶＴＴＭ模型应用于Ｗｅｂ网站漏洞测试过程　子问题。前者表示原问题的最优解包含了其子问题　可以帮助测试人员高效准确地确定网站的最大威　的最优解；后者要求避免重复求解相同子问题。　胁及最优的测试步骤，减少测试成本。本文根据攻　以图２为例，相关参数不变。令ｄ（ｉ，　，　）表示　击图的基本思想，以ＳＱＬ注人攻击为例建立了　从节点ｓ　到节点ｓｊ的路径对应的ｍａｘＥｐ　且该路　ＶｒＩ＇ｒＩ、Ｍ模型，并使用贪婪算法和动态规划两种方法　径经过最大节点为ｓ　，由此定义：　对此模型进行了求解，向读者展示了ＶＴＴＭ模型优　０，　ｉ＝　，　＝０　点。但建模的好坏必须依赖于建模人员对网络安　一∞，　＜ｓ　，ｓ　＞硭ｙ　全知识的熟悉和经验积累的程度，对使用ＶｒＩ＇ｒＩ、Ｍ模　ｍａｘ｛ｄ（ｉ，　，　一１），ｄ（ｉ，　，　一１）　型的测试人员提出了更高的要求。　＋ｄ（　，　，　一１）｝，＜ｓ　，ｓｊ＞∈　，　≥０　参考文献　（１）　［１］Ｌａｕｒａ　Ｐａｉｎｔｏｎ　Ｓｗｉｌｅｒ，Ｃｙｎｔｈｉａ　Ｐｈｉｌｌｉｐｓ，Ｔｉｍｏｔｈｙ　Ｇａｙ—　求解原问题变为求ｄ（０，ｔ，ｔ），为方便计算，令ｔ　ｌｏｒ．Ａ　Ｇｒａｐｈ—Ｂａｓｅｄ　Ｎｅｔｗｏｒｋ—Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ａｎａｌｙｓｉｓ　Ｓｙｓｔｅｍ　＝ＩＳＩ一１：１０。易知ｄ（ｉ，　，　）＝ｄ（ｉ，　，　一１），ｄ（ｉ，　［Ｒ］．Ｓａｎｄｉａ　Ｎａｔｉｏｎａｌ　Ｌａｂｏｒａｔｏｒｉｅｓ，１９９８：８～１３　，ｉ）＝ｄ（ｉ，　，ｉ一１），根据（１），有：　［２］Ｊｏｅｌ　Ｓｃａｍｂｒａｙ，Ｍｉｋｅ　Ｓｈｅｍａ，Ｃａｌｅｂ　Ｓｉｍａ．Ｈａｃｋｉｎｇ　Ｅｘ—　ｄ（０，１０，１０）＝ｄ（０，１０，９）＝ｍ。　｛ｄ（０，１０，８），　ｐｏｓｅｄ　Ｗｅｂ　Ａｐｐｌｉｃａｔｉｏｎｓ，Ｓｅｃｏｎｄ　Ｅｄｉｔｉｏｎ［Ｍ］．２００６　［３］Ｗｉｌｌｉａｍ　Ｇ．Ｊ．Ｈａｌｆｏｎｄ，Ｊｅｒｅｍｙ　Ｖｉｅｇａｓ，Ａｌｅｓｓａｎｄｒｏ　ｄ（０，９，８）＋ｄ（９，１０，８）｝　（２）　Ｏｒｓｏ．Ａ　Ｃｌａｓｓｉｆｉｃａｔｉｏｎ　ｏｆ　ＳＱＬ　Ｉｎｊｅｃｔｉｏｎ　Ａｔｔａｃｋｓａｎｄ　Ｃｏｕｎｔｅｒ－　其中ｄ（０，９，８）＋ｄ（９，１０，８）＝６＋０＝６，　ｍｅａｓｕｒｅｓ［Ｊ］．Ｃｏｌｌｅｇｅ　ｏｆ　Ｃｏｍｐｕｔｉｎｇ　Ｇｅｏｒｇｉａ　Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ｔｅｃｈ—　ｄ（０，１０，８）＝ｍａｘ｛ｄ（０，１０，７），ｄ（０，８，７）＋ｄ　ｎｏｌｏｇｙ，２００６　（８，ｌ０，７）｝　［４］Ｃｈｒｉｓ　Ａｎｌｅｙ．Ａｄｖａｎｃｅｄ　ＳＱＬ　Ｉｎｊｅｃｔｉｏｎ　Ｉｎ　ＳＱＬ　Ｓｍｗｅｒ　坚ｄ（０Ａｐｐｌｉｃａｔｉｏｎｓ［Ｊ］．ＮＧＳＳｏｆｌｗａｒｅ　Ｉｎｓｉｇｈｔ　Ｓｅｃｕ６ｔｙ　Ｒｅｓｅａｒｃｈ，２００２　，１０，７）　以此类推，得：　［５］ＳＱＬ　Ｉｎｊｅｃｔｉｏｎ，Ａｒｅ　Ｙｏｕｒ　Ｗｅｂ　Ａｐｐｌｉｃａｔｉｏｎｓ　Ｖｕｌｎｅｒａ—　ｂｌｅ，ＳＰＩ　Ｄｙｎａｍｉｃｓ［ＤＢ／ＯＬ］．ｈｔｔｐ：∥ｗｗｗ．ｓｅｃｕｒｉｔｙｄｏｃｓ．ｃｏｒｎ／　ｄ（０，１０，７）＝ｄ（０，１０，６）＝ｄ（０，１０，５）＝４．９６，　ｌｉｂｒａｒｙ／２６５６　带人（２），最后得出：　［６］许治昆，王伟，郭添森等．网络渗透技术［Ｍ］．电子　ｄ（０，１０，１０）＝ｍａｘ｛４．９６，６｝＝６，对应最优的　工业出版社，２００６：６５０～６５２