计算机网络安全之木马攻防论文

计算机网络安全之木马攻防论文
----网络平安之木马攻防绪论
第一章计算机网络要挟
1.1计算机网络面临的主要要挟：①计算机网络实面子临要挟〔实体为网络中的关键设备〕
②计算机网络系统面临要挟〔典型平安要挟〕③恶意顺序的要挟〔如计算机病毒、网络蠕虫、特务软件、木马顺序〕④计算机网络要挟的潜在对手和动机〔恶意攻击/非恶意〕
1.2典型的网络平安要挟：①窃听②重传③伪造④窜改⑤非授权访问⑥拒绝效劳攻击⑦行为否认⑧旁路控制⑨电磁/射频截获⑩人员疏忽
1.2.1计算机网络的不平安主要要素：
〔1〕偶发要素：如电源缺点、设备的功用正常及软件开发进程中留下的破绽或逻辑错误等。

〔2〕自然灾祸：各种自然灾祸对计算机系统构成严重的要挟。

〔3〕人为要素：人为要素对计算机网络的破坏也称为人对计算机网络的攻击。

可分为几个方面：①主动攻击②自动攻击③临近攻击④外部人员攻击⑤分发攻击
1.2.2不平安的主要缘由：①互联网具有不平安性②操作系统存在的平安效果③数据的平安效果④传输线路平安效果⑤网络平安管理的效果
1.3计算机网络平安的基本概念：计算机网络平安是一门触及计算机迷信、网络技术、通讯技术、密码技术、信息平安技术、运用数学、数论和信息论等多学科的综合性学科。

1.3.1计算机网络平安的定义：计算机网络平安是指应用管理控制和技术措施，保证在一个网络环境里，信息数据的秘密性、完整性及可运用性遭到维护。

网络的平安效果包括两方面内容：一是网络的系统平安；二是网络的信息平安〔最终目的〕。

1.3.2计算机网络平安的目的：①保密性②完整性③可用性④不可否认性⑤可控性
1.3.3计算机网络平安的层次：①物理平安②逻辑平安③操作系统平安④联网平安
1.3.4网络平安包括三个重要局部：①先进的技术②严厉的管理③威严的法律
1.4计算机网络平安体系结构
1.4.1网络平安基本模型
1.4.2 OSI平安体系结构：①术语②平安效劳③平安机制
五大类平安效劳，也称平安防护措施：①鉴别效劳②数据秘密性效劳③访问控制效劳④数据完整性效劳⑤抗供认性效劳
1.4.3 PPDR模型包括四个主要局部：Policy(平安战略)、Protection(防护)、Detection(检测)和Response(照应)。

防护、检测和照应组成了一个完整的、静态的平安循环。

PPDR模型经过一些典型的数学公式来表达平安的要求：①Pt>Dt+Rt②Et=Dt+Rt，假设Pt ＝0
1.4.4网络平安的典型技术：①物理平安措施②数据传输平安技术③内外网隔离技术④入侵检测技术⑤访问控制技术⑥审计技术⑦平安性检测技术⑧防病毒技术⑨备份技术⑩终端平安技术
1.5 网络平安要挟的开展趋向：①与Internet愈加严密结合，应用一切可以应用的方式停止传达；②一切病毒都有混合型特征，破坏性大大增强；③分散极快，愈加注重诈骗性；④应
用系统破绽将成为病毒有力的传达方式；⑤无线网络技术的开展，使远程网络攻击的能够性加大；⑥各种境外情报、谍报人员将越来越多地经过信息网络渠道搜集状况和窃取资料；⑦各种病毒、蠕虫和后门技术越来越智能化，并出现整合趋向，构成混合性要挟；⑧各种攻击技术的隐秘性增强，惯例防范手腕难以识别；⑨散布式计算技术用于攻击的趋向增强，要挟高强度密码的平安性；⑩一些政府部门的超级计算机资源将成为攻击者应用的跳板；11〕网络管理平安效果日益突出。

1.6网络平安主要适用技术的开展①物理隔离②逻辑隔离③进攻来自网络的攻击④进攻网络上的病毒⑤身份认证⑥加密通讯和虚拟公用网⑦入侵检测和自动防卫⑧网管、审计和取证
第二章网络平安技术防范与运用
2.1物理平安
物理平安主要包括：①机房环境平安②通讯线路平安③设备平安④电源平安
2.1.1机房的平安等级分为三个基本类别：
A类：对计算机机房的平安有严厉的要求，有完善的计算机机房平安措施。

B类：对计算机机房的平安有较严厉的要求，有较完善的计算机机房平安措施。

C类：对计算机机房的平安有基本的要求，有基本的计算机机房平安措施。

2.1.2机房平安要求和措施：
①机房的场地，选址防止接近公共区域，防止窗户直接邻街，机房规划应使任务区在内，生活辅佐区在外；机房不要在底层或顶层。

措施：保证一切进出计算机机房的人都必需在管理人员的监控之下，外来人员进入机房，要操持相关手续，并反省随身物品。

②机房的防盗要求，对重要的设备和存储媒体应采取严厉的防盗措施。

措施：早期采取添加质量和胶粘的防盗措施，后国外发明了一种经过光纤电缆维护重要设备的方法，一种更方便的措施相似于超市的防盗系统，视频监视系统是一种更为牢靠的防盗设备，能对计算机网络系统的中心环境、操作环境停止实时的全程监控。

③机房的三度要求〔温度〔18-22度〕、湿度〔40%-60%为宜〕、洁净度〔要求机房尘埃颗粒直径小于0.5μm〕〕为使机房内的三度到达规则的要求，空调系统、去湿机和除尘器是必不可少的设备。

④防静电措施：装修资料防止运用挂毯、地毯等易吸尘，易发生静电的资料，应采用乙烯资料，装置防静电地板并将设备接地。

⑤接地与防雷要求：1.地线种类：A维护地B直流地C屏蔽地D静电地E雷击地2.接地系统：A各自独立的接地系统B交、直流分开的接地系统C共线接地系统D 直流地、维护地共用地线系统E修建物内共地系统3、接地体：A地桩B水平栅网C金属接地板D修建物基础钢筋4.防雷措施，运用接闪器、引下线和接地装置吸引雷电流。

机器设备应有公用地线，机房自身有避雷设备和装置。

⑥机房的防火、防水措施：为防止火灾、水患，应采取的措施为：隔离、火灾报警系统、灭火设备〔灭火器，灭火工具及辅佐设备〕、管理措施
2.1.3 硬件设备的运用管理：①要依据硬件设备的详细配置状况，制定实在牢靠的硬件设备的操作运用规程，并严厉按操作规程停止操作；②树立设备运用状况日志，并严厉注销运用进程的状况；③树立硬件设备缺点状况注销表，详细记载缺点性质和修复状况；④坚持对设备停止例行维护和保养，并指定专人担任。

2.1.4电磁辐射防护的措施：一类是对传导发射的防护，主要采取对电源线和信号线加装功用良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，又分为两种：一种是采用各种电磁屏蔽措施，第二种是搅扰的防护措施。

为提高电子设备的抗搅扰才干，主要措施有①屏蔽②滤波③隔离④接地，其中屏蔽是运用最多的方法。

2.1.5.电源对电设备平安的潜在要挟：①脉动与噪声②电磁搅扰
2.1.6供电要求，供电方式分为三类：①一类供电：需树立不连续供电系统②二类供电：需树立带备用的供电系统③三类供电：按普通用户供电思索。

2.2信息加密与PKI
信息加密技术是应用密码学的原理与方法对传输数据提供维护的手腕，它以数学计算为基础，信息论和复杂性实际是其两个重要组成局部。

2.2.1密码学的开展历程大致阅历了三个阶段：现代加密方法、古典密码和近代密码。

2.2.2密码学的基本概念：密码学作为数学的一个分支，是研讨信息系统平安保密的迷信，是密码编码学和密码剖析学的统称。

在密码学中，有一个五元组：明文，密文，密钥，加密算法，解密算法，对应的加密方案称为密码体制。

明文〔Plaintext〕：是作为加密输入的原始信息，即音讯的原始方式，通常用m或p表示。

一切能够明文的有限集称为明文空间，通常用M或P来表示。

密文〔Ciphertext〕:是明文经加密变换后的结果，即音讯被加密处置后的方式，通常用c表示。

一切能够密文的有限集称为密文空间，通常用C表示。

密钥〔Key〕：是参与密码变换的参数，通常用K表示。

一切能够的密钥构成的有限集称为密钥空间，通常用K表示。

加密算法：是将明文变换为密文的变换函数，相应的变换进程称为加密，即编码的进程，通常用E表示，即c=Ek〔p〕
解密算法：是将密文恢复为明文的变换函数，相应的变换进程称为解密，即解码的进程，通常用D表示，即p=Dk〔c〕
关于有实意图义的密码体制而言，总是要求它满足：p=Dk〔Ek〔p〕〕，即用加密算法失掉的密文总是能用一定的解密算法恢复出原始的明文。

2.2.3加密体制的分类：从原理上可分为两大类：即单钥或对称密码体制和双钥或非对称密码体制
单钥密码体制与双钥密码体制的区别：
单钥密码体制的实质特征是所用的加密密钥和解密密钥相反，或实质上同等，从一个可以推出另一个。

单钥密码的特点是无论加密还是解密都运用同一个密钥，因此，此密码体制的平安性就是密钥的平安。

假设密钥泄露，那么此密码系统便被攻破。

最有影响的单钥密码是1977年美国国度规范局公布的DES算法。

依照加密形式的差异，单钥密码体制有序列密码和分组密码两种方式，它不只可用于数据加密，还可用于音讯认证。

单钥密码的优点是：平安保密度高，加密解密速度快。

缺陷是：1〕密钥分发进程十分复杂，所花代价高；2〕多人通讯时密钥组合的数量会出现爆炸性收缩，使分发愈加复杂化；3〕通讯双方必需一致密钥，才干发送保密的信息；4〕数字签名困难。

双钥密码体制的原理是，加密密钥与解密密钥不同，而且从一个难以推出另一个。

两个密钥构成一个密钥对，其中一个密钥加密的结果，可以用另一个密钥来解密。

双钥密码是：1976年W.Diffie和M.E.Heilinan提出的一种新型密码体制。

优点：由于双钥密码体制的加密和解密不同，可以地下加密密钥，且仅需保密解密密钥，所以密钥管理效果比拟复杂。

双钥密码还有一个优点是可以拥有数字签名等新功用。

最有名的双钥密码体系是：1977年由Rivest，Shamir和Ad1eman人提出的RSA密码体制。

双钥密码的缺陷是：双钥密码算法普通比拟复杂，加解密速度慢。

加密算法就其开展而言，共阅历了古典密码、对称密钥密码〔单钥密码体制〕和地下密钥密码〔双钥密码体制〕三个开展阶段。

2.2.4古典密码算法：①复杂替代密码或单字母密码②多名或同音替代③多表替代④多字母或多码替代。

现代密码依照运用密钥方式不同，分为单钥密码体制和双钥密码体制两类。

2.2.5 DES、IDEA、RSA加密算法的基本原理；罕见的网络数据加密方式有：链路加密、节点加密和端到端加密。

2.2.6认证技术的分层模型认证技术可以分为三个层次：平安管理协议、认证体制和密码体制。

认证的三个目的：一是音讯完整性认证，即验证信息在传送或存储进程中能否被窜改；二是身份认证，即验证音讯的收发者能否持有正确的身份认证符；三是音讯的序号和操作时间等的认证，其目的是防止音讯重放或延迟等攻击。

认证体制应满足的条件〔要求〕：①意定的接纳者可以检验和证明音讯的合法性、真实性和完整性；②音讯的发送者对所发的音讯不能供认，有时也要求音讯的接纳者不能否认收到的音讯；③除了合法的音讯发送者外，其他人不能伪造发送音讯。

手写签名与数字签名的区别：一是手写签名是不变的，而数字签名对不同的音讯是不同的，即手写签名因人而异，数字签名因音讯而异；二是手写签名是易被模拟的，无论哪种文字的手写签名，伪造者都容易模拟，而数字签名是在密钥控制下发生的，在没有密钥的状况下，模拟者简直无法模拟出数字签名。

2.2.7数字签名与音讯认证的区别：音讯认证可以协助接纳方验证音讯发送者的身份及音讯能否被窜改。

当收发者之间没有利害抵触时，这种方式对防止第三者破坏是有效的，但当存在利害抵触时，单纯采用音讯认证技术就无法处置纠纷，这时就需求借助于数字签名技术来辅佐停止更有效的音讯认证。

2.2.8 PKI的基本概念：PKI是一个用公钥密码算法原理和技术来提供平安效劳的通用型基础平台，用户可应用PKI平台提供的平安效劳停止平安通讯。

PKI采用规范的密钥管理规那么，可以为一切运用透明地提供采用加密和数字签名等密码效劳所需求的密钥和证书管理。

特点：①节省费用②互操作性③开放性④分歧的处置方案⑤可验证性⑥可选择性
2.2.9 PKI认证技术的组成：主要有认证机构CA、证书库、密钥备份、证书作废处置系统和PKI运用接口系统等。

①认证机构CA②证书库③证书撤销④密钥备份和恢复⑤自动更新密钥⑥密钥历史档案⑦交叉认证⑧不可否认性⑨时间戳⑩客户端软件PGP和GnuPG是两个常用的公钥加密软件，PGP软件由于采用了专利算法遭到美国政府的软件出口限制，GnuPG 作为PGP的替代软件，属于开源收费软件，可以自在运用。

2.3 防火墙技术
2.3.1防火墙的基本概念：是位于被维护网络和外部网络之间执行访问控制战略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发作对被维护网络的不可预测的、潜在
破坏性的侵扰。

2.3.2防火墙的主要功用：①过滤进、出网络的数据②管理进、出网络的访问行为③封堵某些制止的业务④记载经过防火墙的信息和内容⑤对网络攻击检测和告警
2.3.3防火墙的局限性：①网络的平安性通常是以网络效劳的开放性和灵敏性为代价②防火墙只是整个网络平安防护体系的一局部，而且防火墙并非万无一失。

防火墙的体系结构：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。

防火墙可以分为网络层防火墙和运用层防火墙，这两类防火墙的详细完成技术主要有骗子滤技术、代理效劳技术、形状检测技术和NAT技术等。

2.3.4 骗子滤技术的任务原理：任务在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口停止过滤。

骗子滤技术是在网络层对数据包停止选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。

经过反省数据流中每个数据包的源地址、目的地址、所用的端口号和协议形状等要素或它们的组合，来确定能否允许该数据包经过。

2.3.5骗子滤技术的缺陷：①不能彻底防止地址诈骗②无法执行某些平安战略③平安性较差
④一些运用协议不适宜于数据骗子滤⑤管理功用弱代理效劳技术是一种较新型的防火墙技术，它分为运用层网关和电路层网关。

代理效劳技术的任务原理：所谓代理效劳器，是指代表客户处置衔接央求的顺序。

当代理效劳器失掉一个客户的衔接意图时，它将核实客户央求，并用特定的平安化的proxy运用顺序来处置衔接央求，将处置后的央求传递到真实的效劳器上，然后接受效劳器应对，并停止下一步处置后，将答绝交给收回央求的最终客户。

代理效劳器在外部网络向外部网络央求效劳时发扬了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。

代理防火墙任务于运用层，且针对特定的运用层协议。

2.3.6代理技术的优点：①代理易于配置②代理能生成各项记载③代理能灵敏、完全地控制进出流量、内容④代理能过滤数据内容⑤代理能为用户提供透明的加密机制⑥代理可以方便地与其它平安手腕集成。

2.3.7代理技术的缺陷：①代理速度较路由器慢②代理对用户不透明③对每项效劳代理能够要求不同的效劳器④代理效劳不能保证免受一切协议弱点的限制⑤代理不能改良底层协议的平安性。

2.3.8形状检测技术的任务原理：也称为静态骗子滤防火墙。

基于形状检测技术的防火墙经过一个在网关处执行网络平安战略的检测引擎而取得十分好的平安特性，检测引擎在不影响网络正常运转的前提下，采用抽取有关数据的方法对网络通讯的各层实施检测，并将抽取的形状信息静态地保管起来作为以后执行平安战略的参考。

形状检测防火墙监视和跟踪每一个有效衔接的形状，并依据这些信息决议能否允许网络数据包经过防火墙。

形状检测技术的特点：①高平安性②高效性③可伸缩性和易扩展性④运用范围广NAT 技术的任务原理：网络地址转换，是一个internet工程义务组的规范，允许一个全体机构以一个公用IP地址出如今互联网上。

即是一种把外部私有IP地址翻译成合法网络IP地址的技术。

NAT有三种类型：静态NAT、静态NA T和网络地址端口转换NAPT。

2.3.9团体防火墙的主要功用：①IP数据骗子滤功用②平安规那么的修订功用③对特定网络攻击数据包的阻拦功用④运用顺序网络访问控制功用⑤网络快速切断、恢复功用⑥日志记载功用⑦网络攻击的报警功用⑧产品自身平安功用团体防火墙的特点：优点：①添加了维护级别，不需求额外的硬件资源；②除了可以抵御外来攻击的同时，还可以抵御外部的攻击；③是对公共网络中的单位系统提供了维护，可以为用户陷隐蔽暴露在网络上的信息，比如IP 地址之类的信息等。

缺陷：①对公共网络只要一个物理接口，招致团体防火墙自身容易遭到要挟；②在运转时需求打败团体计算机的内存、CPU时间等资源；③只能对单机提供维护，不能维护网络系统。

防火墙的开展趋向：①优秀的功用②可扩展的结构和功用③简化的装置与管理④自动过滤⑤防病毒与防黑客⑥开展联动技术
2.4 入侵检测技术
2.4.1入侵检测的原理：经过监视受维护系统的形状和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手腕。

2.4.2入侵检测的系统结构组成：从系统构成上看，入侵检测系统应包括数据提取、入侵剖析、照应处置和远程管理四大局部。

2.4.3入侵检测系统的分类：①基于数据源的分类：按数据源所处的位置，把入侵检测系统分为五类：即基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性反省系统；②基于检测实际分类，可分为异常检测和误用检测；③基于检测时效的分类，可分为离线检测方式〔采取批处置方式〕和在线检测方式〔实时检测〕。

2.4.4入侵检测剖析模型：剖析是入侵检测的中心功用，普通的，入侵检测剖析处置进程可分为三个阶段：构建剖析器，对实践现场数据停止剖析，反应和提炼进程。

其中，前两个阶段都包括三个功用，即数据处置、数据分类〔数据可分为入侵指示、非入侵指示或不确定〕和后处置。

2.4.5 误用检测：误用检测是依照预定形式搜索事情数据的，最适用于对形式的牢靠检测。

执行误用检测，主要依赖于牢靠的用户活动记载和剖析事情的方法。

分为①条件概率预测法②发生式/专家系统③形状转换方法④用于批形式剖析的信息检索技术⑤Keystroke Monitor 和基于模型的方法。

2.4.6异常检测：异常检测基于一个假定：用户的行为是可预测的、遵照分歧性形式的，且随着用户事情的添加，异常检测会顺运用户行为的变化。

用户行为的特征轮廓在异常检测中是由试题集来描画的。

分为①Denning的原始模型②量化剖析③统计度量④非参数统计度量
⑤基于规那么的方法
2.4.7散布式入侵检测的优势：散布式入侵检测由于采用了非集中的系统结构和处置方式，相关于传统的单机IDS具有一些清楚的优势：①检测大范围的攻击行为②提高检测的准确度③提高检测效率④协调照应措施散布式入侵检测的技术难点：①事情发生及存储②形状空间管理及规那么复杂度③知识库管理④推理技术
2.4.8 入侵检测系统的规范：①IETF/IDWG。

IDWG定义了用于入侵检测与照应系统之间或与需求交互的管理系统之间的信息共享所需求的数据格式和交流规程。

IDWG提出了三项建议草案：入侵检测音讯交流格式〔IDMEF〕、入侵检测交流协议〔IDXP〕及隧道轮廓〔Tunnel Profile〕②CIDF。

CIDF的任务集中表达在四个方面：IDS的体系结构、通讯机制、描画言语和运用编程接口API。

2.4.9 CIDF的体系结构组成：分为四个基本组件：事情发生器、事情剖析器、照应单元和事情数据库。

事情发生器、事情剖析器、照应单元通常以运用顺序的方式出现，而事情数据库那么是以文件或数据流的方式。

2.5 网络平安检测技术
2.5.1平安要挟的概念：平安要挟是指一切可以对计算机网络信息系统的网络效劳和网络信
息的秘密性、可用笥和完整性发生阻碍、破坏或中缀的各种要素。

可分为人为平安要挟和非人为平安要挟两大类。

2.5.2网络平安破绽要挟等级的划分方法：可按风险等级停止归类。

2.5.3网络平安破绽的分类：破绽的分类方法主要有按破绽能够对系统形成的直接要挟分类和按破绽的成因分类两大类。

2.5.4破绽的概念：破绽是在硬件、软件和协议的详细完成或系统平安战略上存在的缺陷，从而可以使攻击者可以在未授权的状况下访问或破坏系统。

2.5.5端口扫描的基本原理：端口扫描的原理是向目的主机的TCP/IP端口发送探测数据包，并记载目的主机的照应。

经过火析照应来判别端口是翻开还是封锁等形状信息。

依据所运用通讯协议的不同，网络通讯端口可以分为TCP端口UDP端口两大类，因此端口扫描技术也可相应地分为TCP端口扫描技术和UDP端口扫描技术。

2.5.6操作系统类型探测的主要方法：操作系统探测技术主要包括：获取标识信息探测技术、基于TCP/IP协议栈的操作系统指纹探测技术和ICMP照应剖析探测技术。

2.5.7信息型破绽探测和攻击型破绽探测技术的原理。

信息型破绽探测的原理：大局部的网络平安破绽都与特定的目的形状直接相关，因此只需对目的的此类信息停止准确探测就可以在很大水平上确定目的存在的平安破绽。

攻击型破绽探测的原理：模拟攻击是最直接的破绽探测技术，其探测结果的准确率也是最高的。

该探测技术的主要思想是模拟网络入侵的普经进程，对目的系统停止无恶意攻击尝试，假定攻击成功那么说明相应平安破绽肯定存在。

2.6 计算机病毒与恶意代码防范技术
2.6.1计算机病毒的定义：计算机病毒是指编制或许在计算机顺序中拔出的破坏计算机功用或许破坏数据，影响计算机运用，并能自我复制的一组计算机指令或许顺序代码。

2.6.2 计算机病毒的特征：①非授权可执行性②隐蔽性③传染性④潜伏性⑤破坏性⑥触发性
2.6.3计算机病毒的主要危害：①直接破坏计算机数据信息②占用磁盘空间和对信息的破坏
③抢占系统资源④影响计算机运转速度⑤计算机病毒错误与不可预见的危害⑥计算机病毒的兼容性对系统运转的影响⑦给用户形成严重的心思压力
2.6.4 计算机病毒的分类：按病毒攻击的系统分类：①攻击DOS系统的病毒②攻击windows 系统的病毒③攻击UNIX系统的病毒④攻击OS/2系统的病毒。

按病毒的攻击机型分类：①攻击微型计算机的病毒②攻击小型机的计算机病毒③攻击任务部的计算机病毒。

按病毒的链接方式分类：①源码型病毒②嵌入型病毒③外壳型病毒④操作系统型病毒。

按病毒的破坏状况分类：①良性计算机病毒②恶性计算机病毒。

按病毒的寄生方式分类：①引导型病毒②文件型病毒③复合型病毒。

按病毒的传达媒介分类：①单机病毒②网络病毒。

2.6.5常用计算机病毒检测手腕的基本原理①特征代码法②校验和法③行为监测法④软件模拟法
2.6.6 计算机病毒的防范手腕：防范计算机病毒主要从管理和技术两方面着手：①严厉的管理。

制定相应的管理制度，防止蓄意制造、传达病毒的事情发作。

②有效的技术。

1〕将少量的消毒/杀毒软件聚集一体，反省能否存在病毒。

2〕检测一些病毒经常要改动的系统信息，以确定能否存在病毒行为；3〕监测写盘操作，对引导区或主引导区的写操作报警。

4〕对计算机系统中的文件构成一个密码检验码和完成对顺序完整性的验证，在顺序执行前或活期对。