本书对网络空间拒绝与欺骗防御工具、网络空间欺骗工具和技术、攻击者身份识别与检测、网络空间欺骗操作量化、无线网络欺骗策略、蜜罐部署、人为因素、匿名和属性问题进行了严谨的分析。此外，不仅对网络空间欺骗的不同方面进行抽样检测，同时更突出了可用于研究此类问题的科学技术。

　　在网络空间对抗中，攻击者是“有智慧”的人，因此能够熟练应用各种欺骗之术进行无孔不入的渗透攻击；而防御方为机器系统，被动进行检测和拦截，长期处于被动地位。本书首次从防御的角度，阐述了用欺骗技术进行防御的科学原理。
　　本书的几位作者是全球首*的《动态目标防御》图书的作者，而“欺骗”是动态目标防御的核心，也是更高层次上的机器防御智能化的核心。因此本书是《动态目标防御》的进阶读本，是*一本站在《欺骗的艺术》对立的角度进行阐述的书籍。
　　为了改变攻防不对称的局面，首先要提升防御系统的“智商”，本书的主题正是阐述防御中采用的诱惑攻击者、迷惑攻击者的欺骗技术。

　　Foreword推荐序一
　　21世纪的信息化进程，正以“彻头彻尾彻里彻外”的形式，以前所未有的速度、深度和广度，走向人类社会（人）、信息网络（机）与物理世界（物）的深度融合。人的社会属性已延伸到网络世界，同时网络社会的安全事件也深刻影响着人类社会及其社会生产活动。因此，如何保障网络空间安全是当前信息安全研究面临的重要挑战。当防御者在利用云计算IaaS、PaaS、SaaS架构来探索构建“海、网、云”协同防御体系时，黑客已经公然推出了HaaS（HackerasaService，黑客即服务）的创新模式，悄悄踏上了攻击服务化的快车道。在现实的安全实践中，网络空间“人、机、物”的防御天平严重倾斜，“人”作为网络空间中的一部分，其交互行为对网络系统产生的安全影响鲜有讨论。所谓的“舆情分析”“行为分析”和“社会感知”等基于分析的安全技术，效果差强人意。正如美国陆军研究实验室计算机应急响应团队负责人安吉洛·本基文加所说：“那些如痴如醉仰望星空意欲预测未来的人们，他们以为眼中观察的星星都是当下之物，殊不知那可能是亿万年前已经消失的星球留下的残余光影。与此类似的，一些计算机安全‘专家’也在醉心于分析、挖掘网络中的海量异常事件，却拒绝承认这是‘马后炮’的做法。攻击已经发生、损失已经造成、黑客已经离场、事件未必再次重演，因此等到事后再穷追不舍地研究，于事无补。这些‘专家’的安全防御思想完全是错误的。”用所谓的事后分析方法去研究网络空间的“人”，何尝不是类似的徒劳无功。
　　为了抵御网络空间中的“人”，最核心的是在防御体系中融入“交互”这个关键要素。在实时场景的交互过程中，人可以倾其所能与对手博弈。古有诸葛亮用兵如神，一场以小博大、以弱胜强的“空城计”，令世人叹为观止，成为欺骗防御的千古经典。如果没有空城之上军师独自抚琴与城下千军万马形成的瞬间情景交互，空城很可能成为铁蹄下的烂城。本书同样按照交互程度对欺骗能力进行评估，所以才有了“低交互蜜罐/高交互蜜罐”“独立蜜罐/嵌入式蜜罐”等分类。
　　欺骗之法如兵法：“运用之妙，存乎一心。”如要透过玄妙的欺骗之术建立严谨的理论体系，不是一件容易的事情。
　　数学是科学的基础，一切科学问题最终都要归结为数学问题。信息安全领域中，通常将安全性等价映射为数学难题。本书最基本的贡献在于将看似纷繁复杂而又极为具体的欺骗实例，抽象为更加严谨的数学问题，用数据工具来阐述其科学原理。一个欺骗防御系统设计的好不好，一个欺骗策略是不是有效，并不是定性地解释为欺骗故事编撰得多么生动、多么以假乱真，而是应该将其用数学理论来定量评估。一个欺骗系统不能保证所有敏感信息都不泄露，但是只要攻击者成功辨别信息真假的概率等价于胡乱猜测其真假的概率，欺骗防御系统的安全性就有了概率论这个理论依据，这也是采用数学工具指导欺骗防御系统设计的科学基础。
　　“求安全理论之真，务信息保障之实”是新时期信息安全国家重点实验室的指导方针。当前，网络空间安全新思想、新工具、新技术方兴未艾，特别是欺骗性防御技术才刚刚起步，构建欺骗防御的科学基础更是任重道远。译者在信息安全国家重点实验室从事移动目标防御（MTD）、网络空间欺骗等新兴防御技术研究。力求通过翻译、推荐本书，能使国内的更多学者参与其中，共同夯实欺骗防御的理论体系，促使其在网络空间安全保障中发挥更大的作用。
　　林东岱研究员
　　信息安全国家重点实验室主任
　　2017年7月
　　Foreword推荐序二
　　当前，信息技术的普及和深度应用已成浩荡之势。我国作为拥有超过7亿网民的网络大国，如何利用信息与网络技术的发展大潮借势而起、乘势而发，已成为建设网络强国的关键。随着“震网”“斯诺登”事件的不断曝光，网络攻击复杂化、智能化、自动化的特点可见一斑，网络安全问题日益严峻。习近平在网络安全和信息化工作座谈会上深刻指出：“网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。”他特别强调：“网络安全的本质在对抗，对抗的本质在攻防两端能力的较量。要以技术对技术，以技术管技术，做到魔高一尺、道高一丈。”网络空间防御作为保证网络安全的关键，无论在方法理论、体系构建，还是技术实施等方面都在不断推陈出新。不同于以往“封门堵漏”的被动防御思想，网络空间防御正朝着主动防御的思想策略发展演变。无论是通过增加内生安全实施主动免疫的可信计算理论，亦或是通过增加网络系统不确定性以提高攻击成本的拟态防御技术，它们都是对主动防御思想策略的不同诠释，网络空间欺骗防御正是在这种探索下提出的。网络空间欺骗防御不同于以往追求构建完美无瑕的系统以抵御攻击的思路，而是一种通过不断变换系统特性、限制脆弱性暴露、欺骗攻击视图、增加攻击成本等方法，以提升防御有效性的主动防御新技术。正如《孙子兵法》中所述：“兵者，诡道也。故能而示之不能，用而示之不用，近而示之远，远而示之近。”
　　本书是IEEE院士SushilJajodia和AAAI院士V.S.Subrahmanian等人，继《MovingTargetDefense》出版后的又一力作。作者在网络空间防御研究方面极具前瞻性和很高的专业水准，是网络空间欺骗防御的开拓者和实践者。本书对网络空间欺骗科学问题进行了一系列重要探索，从网络空间欺骗防御的架构、欺骗防御的工具、欺骗防御的部署实施、欺骗防御的人为因素，以及欺骗防御效果的度量评估等方面系统地介绍了网络空间欺骗防御的理论体系与技术，反映了当今国际网络空间欺骗防御领域顶尖研究团队的最新研究进展和成果。
　　本书译者作为我国网络空间安全防御的后起之秀，敏锐地洞察到了网络空间欺骗防御的前沿思想和优秀实践，依据对网络空间欺骗防御思想的深刻理解，结合自身在网络空间欺骗防御实践方面的技术积累和切身体会，深入浅出地阐释了网络空间欺骗防御的深奥理论和技术细节。在网络空间欺骗防御思想不断发展、欺骗防御技术逐步成熟之际，翻译了这样一本系统、权威的网络欺骗防御书籍，不仅有助于网络空间安全领域从业人员加深对网络空间欺骗防御理论和技术的理解，更为网络空间安全学科专业建设与人才培养增添了浓墨重彩的一笔，应该说恰逢其时，很有意义。
　　张红旗教授
　　解放军信息工程大学密码工程学院副院长
　　2017年7月于郑州
　　Foreword推荐序三
　　欺骗是人类天性的一部分，也是人类作为高智商生灵的独特表征。欺骗一直存在于人类活动的各个方面，如战争、体育、游戏、爱情等，从古绵延至今五千年。欺骗本身是中立的和中性的，是善是恶，取决于使用这项技能的目的。不过在网络空间的信息对抗中，欺骗技术长期为恶意攻击者利用，而往往被忠厚的防御者所忽视。
　　网络空间威胁两极分化严重：一方面，伴随互联网的发展和黑客论坛的繁荣，攻击知识和渗透工具广泛传播，攻击门槛越来越低，脚本小子级别的黑客攻击泛滥；另一方面，“道高一尺魔高一丈”，长期的防攻对抗也迫使网络攻击向着专业化水平发展，甚至国家队级别的APT攻击也多次粉墨登场。洋葱路由（Tor）、暗网（Darknet）等利器日臻完善，震网病毒（Stuxnet）、魔窟勒索软件等0day漏洞利用层出不穷，混淆、隐匿、伪造、钓鱼等欺骗手法更是愈加绝妙。
　　反观信息对抗的防御方，以特征检测为核心的静态防御，逐渐力不从心。主要原因是信息不对称，攻击者对防御方的安全策略了如指掌，而防御规则无法洞察攻击者眼花缭乱的伎俩以及深藏不露的动机。虽然安全防御技术也在不断发展，例如，被人们寄予厚望的量子保密通信、后量子密码等，但是这些技术距离大规模应用仍有一段长路。
　　传统的信息对抗是计算和计算的对抗，寻找的是系统的弱点；欺骗防御则是人与人的对抗（防御者vs攻击者），寻找的是人性的弱点。正如本书所阐述的，一个欺骗防御是否能够成功，主要在于防御者能否利用攻击者的多种偏见：个人偏见、文化偏见、组织偏见、认知偏见等。而文化偏见又包含诸多内容，如权利距离指数（PDI）、个人主义与集体主义（IVC）、男权主义与女权主义（MVF）等。面临艰难抉择时，彪悍的民族热衷于决斗，而中庸的民族习惯于抓阄。以打折促销、免费中奖为幌子的诈骗手段在第三世界屡屡得手，在发达国家就未必具有诱惑力。如果敌手没有偏见，就不会失去理性，也就没有上当受骗的可能，欺骗就无从下手。
　　实践表明，欺骗防御是切实有效的，而且在未来的信息对抗中将扮演越来越重要的作用。即使人类进入量子计算时代，但凡人性的弱点还没有消失，欺骗和防御的故事还会不断上演。欺骗的挑战在于，一个经典的欺骗故事只能用一次，一旦完成了一次欺骗，敌手就会对这类欺骗刻骨铭心、倍加防范，想要实现帽子戏法基本不可能。这也是欺骗防御在网络对抗中的魅力所在。一个成功的欺骗，就可能力挽狂澜、扭转攻防局面，甚至因改变历史而会永垂史册。
　　如何将人的因素引入到信息安全的科学体系中，还需要不断的探索，本书是一个良好的开始。目前在高等院校网络空间安全学科的教学体系中，关于欺骗防御的教程基本是空白的。
　　欣而作序，推荐给网络空间安全专业和信息对抗领域师生和同行参阅。
　　李琼教授
　　哈尔滨工业大学计算机学院信息对抗技术研究所所长
　　2017年7月
　　TheTranslator’sWords?译者序
　　一直以来，网络安全不得不面对这样一个残酷的现实：防御者疲于应对不计其数的漏洞以求保障安全，而敌手只需要找到一个脆弱性即可实施攻击。网络攻防游戏的主动权掌握在攻击者手中。
　　某次于内华达LasVegas参加一个网络安全国际学术会议，同城还有另外两个安全相关盛会：全球黑客大会DEFCON和BlackHat。同样是安全会议，学术这边门可罗雀、冷冷清清；而一墙之隔的DEFCONCTF门庭若市、好不热闹。那次黑客大会使用一种大而醒目的参会胸牌。放眼望去，满大街都挤满了佩戴此胸牌的来自世界各地的参加DEFCON和BlackHat的人群，其中不乏带着小孩参会的家庭。整个赌城洋溢着一片欢乐的“黑色”节日气氛。这些不谙世事的孩子未必知道夺旗比赛的本质是什么，估计认为利用新漏洞攻击是一件很酷、很炫的事情。同样热衷于挖漏洞的不止是攻击者，即使在安全学术会议上，很多研究者也抛弃了加密、认证、隔离等正统防御方法的研究，转而去挖掘漏洞，以求快速地出成绩，酷炫地秀一把。漏洞成了备受攻防双方欢迎的“硬通货”。
　　漏洞是挖不完的，所以黑客威胁永远存在，这也决定了没有一劳永逸的防御方法，攻防竞赛永远存在。在写这段文字的时候，互联网世界正在被“永恒之蓝”漏洞利用勒索软件蹂躏。已经有大量的专业研究反病毒、数据恢复的同行夜以继日地进行救火，而那些被寄予厚望的所谓的威胁情报发现、各种SRC以及大数据分析系统因为被无视而略显尴尬。
　　要想改变攻防对抗的不对称格局，只有改变防御的游戏规则。移动目标防御（MovingTargetDefense，MTD）正是这种变革思想的代表。与传统以封堵漏洞为核心的防御策略不同，MTD通过不断改变目标系统的属性来动态转换其攻击面，从而提高敌手攻击的成本和代价。在虚虚实实、真真假假的转换中，网络空间不再是静止的，而成了瞬息万变的。为了扩大攻击面的转换空间，“欺骗”成为MTD的重要技术手段和工具。蜜罐、蜜饵、蜜标、蜜词本、无底洞文件、面包屑等欺骗元素，加之精心设计的欺骗故事和精心构建的欺骗场景，巨大的信息熵让攻击者陷入难以判别方向的防御迷阵中。因此，“欺骗防御”的本意，并非戏弄攻击者或激怒攻击者，其最重要的价值在于为MTD系统提供增加攻击面转换空间的手段，提高MTD的防御熵。欺骗防御与MTD的连通就此建立。理解了“欺骗防御”与MTD一脉相承的关系，才能理解“欺骗防御”在整个网络空间安全中的位置和价值。本书的几位作者也是《MovingTargetDefenseI&II》图书的作者，而“欺骗”是MTD的重要组成部分，也是更高层次上的防御智能化的核心。
　　“欺骗”不是防御者的专利，相反，攻击者才是这项技能的始作俑者。世界顶级黑客凯文·米特尼克（KevinD.Mitmick）的代表作《欺骗的艺术》，数十年来在网络安全界广为传阅。书中将黑客攻击的手法汇编成册，深入剖析了网络攻击中采用的多种精湛的欺骗之术，谓之欺骗的艺术。该书已经成为学习和研究社会工程学的圣经之作。矛和盾从来都是对立统一的，欺骗也可以作防御之用。因此，需要说明的是，本书不是攻击工具，不是诈骗手册，不是黑客信手拈来的社会工程学，而是一本站在米特尼克《欺骗的艺术》的对立角度阐述欺骗防御技术的科学研究读本。
　　随着人工智能、博弈论等理论体系的完善，以及软件定义网络（SDN）、云计算、虚拟化等新技术的成熟，“欺骗防御”已经远远超越了蜜罐的概念。本书涵盖的内容新颖、前沿、体系完备，包括网络空间抵赖与欺骗、MTD、暗网、黑客论坛、网络匿名、嵌入式蜜罐、虚拟攻击面，甚至素有“黑客奥林匹克”之称的DEFCONCTF等。在这本书中还重点介绍了网络欺骗的复杂性和多面性，指出由于其复杂性而引出的新的科学问题，并提出解决这些问题的新方法。无论从学术思维还是从技术路线上，相信对网络安全研究者都有启发意义。
　　本译著的出版得益于Springer出版社和华章公司多位领导、同事的努力；几位信息安全领域备受尊敬的老师和学长的作序和鼓励，更增加了译者对MTD研究领域的信心。同时感谢中国科学院信息工程研究所信息安全国家重点实验室第五研究室领导和课题组老师、同事、研究生给予的帮助。译者水平有限，错漏之处在所难免，恳请批评指正。
　　更多建议和交流，欢迎莅临mtdlab.org。
　　译者
　　2017年7月于北京西山脚下
　　Preface前言
　　本书旨在为构建网络空间欺骗防御的科学基础迈出探索性的一步。在本书中，我们提出了一个最新的基础研究结果，收集了来自世界各地的顶尖研究团队关于网络空间欺骗防御的最新研究进展。本书对网络空间抵赖与欺骗防御工作、网络空间欺骗工具和技术、攻击者身份识别与检测、网络空间欺骗操作量化、无线网络欺骗策略、蜜罐部署、人为因素、匿名和溯源问题进行了严谨的分析。此外，我们不仅对网络空间欺骗的不同方面进行抽样检测，同时更突出了可用于研究此类问题的科学技术。
　　我们真诚地希望，本书可以激发网络安全的研究人员，基于我们现有的知识，进一步构建网络空间欺骗防御的科学基础，从而最终带来一个更加安全、可靠的网络空间环境。
　　Fairfax,VA,USASushilJajodia
　　CollegePark,MD,USAV.S.Subrahmanian
　　McLean,VA,USAVipinSwarup
　　TrianglePark,NC,USACliffWang
　　致谢Acknowledgements
　　我们诚挚地感谢为本书做出贡献的众多研究者，特别要说的是，能够得到如此多研究者的帮助是我们的荣幸。特别感谢Springer的高级编辑SusanLagerstrom-Fife对此项目的鼎力支持。同时还要感谢美国陆军研究办公室所授权的W911-NF-14-1-0116、W911NF-15-1-0576、W911NF-13-1-0421项目的资助。

　　SushilJajodia，BDM国际专家，乔治梅森大学Volgenau工程学院安全信息系统中心的创办人，他也是IEEE会员，获得过2016IEEE计算机学会技术成就奖等多个奖项。研究方向为安全、隐私、数据库、分布式系统等。著有《动态目标防御》一书。
　　V.S.Subrahmanian，马里兰大学的计算机科学教授，他在根据不同类型的数据源，将理论和实践、数据驱动逻辑、概率论、统计学方法等运用进预测模型方面是世界级的领路者。
　　VipinSwarup，MITRE的网络空间安全技术中心的首席科学家。
　　CliffWang，美国陆军研究所的项目主任，也是北卡罗莱纳州立大学的客座教授，还是IEEE会员。
　　译者，马多贺，博士毕业于中国科学院信息工程研究所信息安全国家重点实验室，硕士毕业于哈尔滨工业大学信息对抗技术研究所。长期从事网络安全科研和研发工作，曾获得“北京市科技进步一等奖”。目前研究兴趣在移动目标防御（MTD）、拟态安全以及智能安全等。个人主页：www.maduohe.name。
雷程: 解放军信息工程大学博士研究生，中国科学院信息工程研究所客座博士生，主要研究方向为网络信息安全、数据安全交换、网络流指纹和移动目标防御，在国际学术会议发表多篇移动目标防御相关SCI/EI论文。

Contents?目　　录
推荐序一
推荐序二
推荐序三
译者序
前言
致谢
第1章　网络空间抵赖与欺骗原理  1
1.1　主动网络空间防御中网络空间抵赖与欺骗的视图  3
1.2　在恶意敌手模型中集成网络空间抵赖与欺骗的关键因素  5
1.3　恶意策略、技术和常识  6
1.4　网络空间抵赖与欺骗的类型和策略  9
1.5　网络空间欺骗链  10
1.6　网络空间欺骗链与网络空间杀伤链  14
1.6.1　目的：合法与被控制的凭证  15
1.6.2　信息收集：合法凭证的策略和技术说明  15
1.6.3　设计封面故事：抵赖与欺骗方法矩阵  16
1.6.4　策划：合法凭证的检测与缓解  16
1.7　总结  17
第2章　网络空间安全欺骗  19
2.1　简介  19
2.2　发展历史简述  20
2.2.1　基于Honey的工具  21
2.2.2　独立使用欺骗的局限性  22
2.3　欺骗型安全技术  23
2.3.1　在计算机防御中使用欺骗的优势  25
2.3.2　网络空间杀伤链的欺骗  26
2.3.3　欺骗和隐藏  27
2.3.4　进攻性的欺骗  28
2.4　集成化网络空间欺骗与计算机防御框架  28
2.4.1　偏见的角色  28
2.4.2　策划欺骗  31
2.4.3　实施和集成欺骗  36
2.4.4　监控与评估欺骗的使用  37
参考文献  37
第3章　量化欺骗性网络空间操作的隐蔽性  41
3.1　简介  41
3.2　防御模型  43
3.3　恶意软件模型  46
3.3.1　恶意样本收集  46
3.3.2　粗略分析与筛选  47
3.3.3　现场分析  47
3.3.4　识别和量化恶意软件的指标  48
3.4　隐蔽微积分  49
3.5　总结  52
致谢  52
参考文献  53
第4章　设计网络空间欺骗系统的要素  55
4.1　简介  55
4.1.1　分类  56
4.1.2　欺骗目标  58
4.2　能力要求  59
4.2.1　总体考量  59
4.2.2　命令与控制  60
4.2.3　欺骗设计流程  62
4.2.4　其他设计考量  64
4.3　从欺骗场景中分析欺骗因素  66
4.3.1　什么是可信性  66
4.3.2　推断欺骗中的确定性与不确定性  67
4.3.3　显性的欺骗是否有用  67
4.3.4　静态欺骗vs动态欺骗  68
4.3.5　主动欺骗vs被动欺骗  68
4.3.6　欺骗触发和误报缓解  68
4.3.7　软件定义网络vs独立应用  68
4.3.8　让攻击者参与其中  69
4.3.9　APT网络空间杀伤链和任务欺骗的焦点  70
4.4　网络空间欺骗防御面临的挑战  71
4.4.1　最小化对任务操作的影响  71
4.4.2　欺骗控件可能作为潜在攻击的目标  72
4.4.3　攻击者的工作因素评估  72
4.4.4　欺骗域特定语言  73
4.5　总结  73
参考文献  73
第5章　从主动欺骗的角度论无线网络中的角色检测和隐藏  75
5.1　简介  75
5.2　模型构建与问题引述  76
5.2.1　网络模型  76
5.2.2　节点和角色模型  77
5.2.3　恶意敌手模型  77
5.2.4　问题阐述  77
5.3　角色检测  78
5.3.1　网络流分析背景  78
5.3.2　检测方法设计  79
5.3.3　性能评估  80
5.4　角色隐藏  82
5.4.1　设计方法  82
5.4.2　模拟测试  84
5.4.3　讨论  86
5.5　总结  86
参考文献  86
第6章　有效的网络空间欺骗防御  88
6.1　简介  88
6.2　相关工作综述  89
6.3　主动欺骗  92
6.4　攻击者模型  95
6.5　攻击者博弈  97
6.6　攻击者行动  98
6.7　威胁  98
6.8　漏洞利用和度量  98
6.9　攻击者模型中的状态转换概率  101
6.10　攻击者模型中的评分  102
6.11　攻击者模型的最优解  102
6.12　防御者模型  103
6.13　欺骗模型与行动   103
6.14　防御者模型中的状态转换概率  106
6.15　防御者模型中的评分  106
6.16　欺骗博弈  106
6.17　观察  107
6.18　被动欺骗  107
6.19　总结  110
致谢  110
参考文献  110
第7章　夺旗比赛中的网络空间欺骗和攻击溯源  112
7.1　简介  112
7.2　相关工作  113
7.3　数据集  113
7.3.1　DEFCON CTF  113
7.3.2　DEFCON CTF数据   114
7.3.3　分析  115
7.4　基线方法  118
7.4.1　实验结果  118
7.4.2　错误分类样本  119
7.5　修剪  120
7.5.1　讨论  122
7.5.2　集成分类器  122
7.6　总结  123
7.7　下一步工作  123
致谢  124
参考文献  124
第8章　基于虚拟攻击面的欺骗防御  125
8.1　简介  125
8.2　相关工作  127
8.3　威胁模型  128
8.4　启发性实例  129
8.5　设计方法  130
8.5.1　视图模型  130
8.5.2　问题陈述  132
8.5.3　算法  132
8.6　指纹识别  135
8.6.1　SinFP3  136
8.6.2　p0f  137
8.6.3　Nessus  138
8.6.4　方案设计  138
8.6.5　实现  140
8.7　实验评估  142
8.7.1　TopKDistance的评估  142
8.7.2　TopKBudget的评估  144
8.7.3　合法用户视角  146
8.7.4　攻击者视角  147
8.7.5　缺陷  149
8.8　总结  150
致谢  150
参考文献  150
第9章　嵌入式蜜罐  152
9.1　软件网络空间欺骗简介  152
9.2　蜜罐补丁：一种新型软件网络空间欺骗技术  154
9.2.1　蜜罐补丁的设计原则  156
9.2.2　结构  157
9.3　进程映像的秘密编辑  162
9.3.1　追溯和跟踪秘密  162
9.3.2　形式化语义  1