一，IDS

1. 什么是IDS？

IDS intrusion detection system
对系统的运行状态进行监视，发现各种攻击企图、过程、结果，来保证系统资源的安全（完整性、机密 性、可用性）。是一个软件与硬件的组合系统。
异常检测：当某个事件与一个 已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常
主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警。 特征检测：IDS核心是特征库（签名）。

2. IDS和防火墙有什么不同？

防火墙是针对黑客攻击的一种被动的防御旨在保护，IDS 则是主动出击寻找潜在的攻击者发现入侵行为；

防火墙是在本地网络和外部网络也就是互联网之间的一道防御屏障，IDS 是对攻击作出反击的技术；

防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，IDS 则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补；

防火墙可以允许内部的一些主机被外部访问，IDS 则没有这些功能，只是监视和分析用户和系统活动。

3. IDS工作原理？

4. IDS的主要检测方法有哪些详细说明？

异常检测：当某个事件与一个 已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常 主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警。特征检测：IDS核心是特征库（签名）。 签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为。异常检测模型**（Anomaly Detection） 首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是 入侵。误用检测模型**（Misuse Detection） 收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系 统就认为这种行为是入侵，误用检测模型也称为特征检测（Signature-based detection）

5. IDS的部署方式有哪些？

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

6.1 IDS的签名： 入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时，设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

6.2 签名过滤器作用： 由于设备升级签名库后会存在大量签名，而这些签名没有进行分类，且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，并过滤掉。

6.3例外签名配置作用： 就是为了就是用于更细致化的进行IPS流量的放行。

阻断：丢弃命中签名的报文，并记录日志。

告警：对命中签名的报文放行，但记录日志。

二，恶意软件和反病毒

1. 什么是恶意软件？

恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。腾讯移动安全实验室发布的数据显示，恶意软件由多种威胁组成，会不断弹出，所以需要采取多种方法和技术来进行反病毒保护。恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。恶意软件其本身可能是一种病毒，蠕虫，后门或漏洞攻击脚本，它通过动态地改变攻击代码可以逃避入侵检测系统的特征检测。

2. 恶意软件有哪些特征？

2.1下载特征
很多木马、后门程序间谍软件会自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种。2.2后门特征
后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控；某些情况下，病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。2.3信息收集特性
QQ密码和聊天记录；网络游戏帐号密码；网上银行帐号密码；用户网页浏览记录和上网习惯；2.4自身隐藏特性
多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”，更有一些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。2.5文件感染特性
病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体；有的文件型病毒会感染系统中其他类型的文件。Wannacry就是一种典型的文件型病毒，它分为两部分，一部分是蠕虫部分，利用windows的“永恒之蓝”漏洞进行网络传播。一部分是勒索病毒部分，当计算机感染wannacry之后，勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。2.6网络攻击特性
木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络；木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒，将自己伪装成一封情书，邮件主题设置为“I LOVE YOU”，诱使受害者打开，由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快，致使大量电子邮件充斥了整个网络，不仅会导致邮件服务器崩溃，也会让网络受影响变慢。从而达到攻击网络的目的。病毒威胁场景

3. 恶意软件的可分为那几类？

3.1按照传播方式分类
3.1.1病毒 病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。主要传播方式∶感染文件传播

3.1.2蠕虫 蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。

原理：

传播方式∶通过网络发送攻击数据包

3.1.3木马 木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。

原理：

传播过程：

黑客利用木马配置工具生成一个木马的服务端；通过各种手段如Spam、Phish、Worm等安装到用户终端；利用社会工程学,或者其它技术手段使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑客控制用户终端。

传播方式∶捆绑、利用网页挂马代码的功能是在网页打开的时候，同时打开另外一个网页，当然这个网页可能包含大量的木马，也可能仅仅是为了骗取流量。

3.2按照功能分类
3.2.1后门 具有感染设备全部操作权限的恶意代码。

3.2.2勒索 通过加密文件，敲诈用户缴纳赎金。加密特点∶ 主要采用非对称加密方式

对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密

3.2.3挖矿 攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。特点∶ 不会对感染设备的数据和系统造成破坏。 由于大量消耗设备资源，可能会对设备硬件造成损害

4. 恶意软件的免杀技术有哪些？

恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向攻击者提供有用的信息。

免杀技术又称为免杀毒（Anti Anti- Virus）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免

杀技术如下∶

修改文件特征码

修改内存特征码

行为免查杀技术

5. 反病毒技术有哪些？

5.1单机反病毒
单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。常见的病毒检测工具包括：TCP ViewRegmonFilemonProcess ExplorerIceSwordProcess MonitorWsyscheckSREngWtoolMalware DefenderProcess Explorer是一款增强型任务管理器。可以查看进程的完整路径，识别进程，查看进程的完整信 息，关闭进程等。杀毒软件杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术：特征码技术杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为该被扫描信息为病毒。行为查杀技术病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。5.2网关反病毒
在以下场合中，通常利用反病毒特性来保证网络安全：内网用户可以访问外网，且经常需要从外网下载文件。内网部署的服务器经常接收外网用户上传的文件。FW作为网关设备隔离内、外网，内网包括用户PC和服务器。内网用户可以从外网下载文件，外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW上配置反病毒功能。在FW上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采取阻断或告警等手段进行干预。

6. 反病毒网关的工作原理是什么？

6.1首包检测技术 通过提取PE（Portable Execute;Windows系统下可移植的执行体，包括exe、dll、“sys等文件类型）文件头部特征判断文件是否是病毒文件。提取PE文件头部数据，这些数据通常带有某些特殊操作，并且采用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

6.2启发式检测技术 启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文件不一致的行为达到一定的阀值，则认为该文件是病毒。

启发式依靠的是"自我学习的能力"，像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。

启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认情况下关闭该功能。

6.3启动病毒启发式检测功能∶heuristic-detect enable 。 文件信誉检测技术文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。文件信誉检测依赖沙箱联动或文件信誉库

7. 反病毒网关的工作过程是什么？

7.1 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类 型和文件传输的方向。

7.2 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

NGFW支持对使用以下协议传输的文件进行病毒检测。

FTP（File Transfer Protocol）：文件传输协议

HTTP（Hypertext Transfer Protocol）：超文本传输协议

POP3（Post Office Protocol - Version 3）：邮局协议的第3个版本

SMTP（Simple Mail Transfer Protocol）：简单邮件传输协议

IMAP（Internet Message Access Protocol）：因特网信息访问协议

NFS（Network File System）：网络文件系统

SMB（Server Message Block）：文件共享服务器

NGFW支持对不同传输方向上的文件进行病毒检测。

上传：指客户端向服务器发送文件。

下载：指服务器向客户端发送文件。

7.3 判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

白名单由白名单规则组成，管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个反病毒配置文件都拥有自己的白名单。

7.4 针对域名和URL，白名单规则有以下4种匹配方式：

前缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的前缀是“example”就命中白名单规则。后缀匹配：host-text或url-text配置为“example”的形式，即只要域名或URL的后缀是“example”就命中白名单规则。

关键字匹配：host-text或url-text配置为“example”的形式，即只要域名或URL中包含“example”就命中白名单规则。

精确匹配：域名或URL必须与host-text或url-text完全一致，才能命中白名单规则。

7.5 病毒检测：

智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给FW，FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应

动作进行处理。

病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上的病毒特征库需要不断地从安全中心平台（sec.huawei.com）进行升级。

7.6 当NGFW检测出传输文件为病毒文件时，需要进行如下处理：

判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。

病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当用户认为已检测到的某个病毒为误报时，可以将该对应的病毒ID添加到病毒例外，使该病毒规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外的响应动作（放行、告警和阻断）进行处理。

应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载多种应用。

由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：

如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。

如果协议和应用都配置了响应动作，则以应用的响应动作为准。

如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。

8. 反病毒网关的配置流程是什么？

三，APT

1. 什么是APT？

APT全称：Advanced Persistent Threat 高级可持续威胁攻击。指的是某组织对特定对象展开持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质，供应链和社会工程学等手段，实施先进的、持久的有效的威胁和攻击。APT攻击是一个集合了多种常见攻击方式的综合攻击，综合多种攻击途径来尝试突破网络防御，通常是通过web或者电子邮件传递，利用应用程序或者操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息。使得它的攻击更不容易被发现。

2. APT 的攻击过程？

①扫描探测：在APT攻击中，攻击者会花几个月甚至更长的时间对“目标”网络进行踩点，针对性地进行信息手机，目标网络环境探测，线上服务器的分布情况，应用程序的弱点分析，了解业务情况，员工信息等。

②攻击投送：在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或者单击一个经过伪造的恶意URL，希望利用常见软件的0day漏洞，投送其恶意代码，一旦到位，恶意软件可能会复制自己，用微妙的改变使得每个实例都看起来不一样，并且伪装自己，以躲避扫描，也会关闭防病毒扫描引擎，经过清理后重新安装，或者潜伏数天或数周，恶意代码也能被携带在笔记本电脑、USB设备里，或者基于云的文件共享来感染一台主机，并且连接到网络时横向传播。

③漏洞利用：利用漏洞，达到攻击的目的，攻击者通过投送恶意代码，并且利用目标企业使用的软件中的漏洞执行自身，而如果漏洞利用成功的话，你的系统将收到感染。普通用户系统忘记打补丁是很常见的，所以塔恩很容易受到已知和位置的漏洞利用攻击，一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。

④木马植入：随着漏洞利用成功，更多的恶意软件的可执行文件一一击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

⑤远程控制：一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的。其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令，这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

⑥横向渗透：攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器。因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

⑦目标行动：也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输的目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找“已知的”恶意地址和收到严格监管的数据。

3. 详细说明APT的防御技术

防御APT攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到该流量为恶意流量，则可以通知FW实施阻断。

针对APT攻击的防御过程如下：

黑客（攻击者）向企业内网发出APT攻击，FW从网络流量中是被并提取需要进行APT检测的文件类型。

FW将攻击流量还原成文件送入沙箱进行威胁分析。

沙箱通过对文件进行威胁检测，然后将检测结果返回给FW。

FW获取检测结果后，实施相应的动作，如果沙箱分析出该文件是一种恶意攻击文件，FW则可以实施阻断操作，防止该文件进入企业内网，保护企业内网免遭攻击。

APT防御与反病毒的差异：

反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性，就是只能针对已知病毒进行防御，而无法是被未知攻击。

APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看作是一个模拟真实网络建造的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配，最后给出该程序是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的的病毒、漏洞、威胁特征，提炼出各种恶意行为的规律和模式，并形成一套判断规则，因此能提供准确的检测结果。

总体来看，反病毒系统是以被检测对象的特征来是被攻击对象，APT防御系统是以被检测对象的行为来识别攻击对象。

沙箱处理流程：

4. 什么是对称加密？

对称加密指的就是加密和解密使用同一个秘钥，所以叫对称加密。对称加密只有一个秘钥，作为私钥。

加密过程：

加密: 原文+密钥 = 密文

解密：密文-密钥 = 原文

常见的对称加密算法： DES, AES, 3DES等

特点：

优点 - 算法简单，加解密容易，效率高，执行快。

缺点 - 相对来说不安全，只有一把钥匙，密文如果被拦截，且密钥被劫持，那么信息很容易被破译

5. 什么是非对称加密？

非对称加密指的是：加密和解密使用不同的秘钥，一把作为公开的公钥，另一把作为私钥。公钥加密的信息，只有私钥才能解密。

私钥加密的信息，只有公钥才能解密。

常见的给对称加密: RSA,ECC

区别：

对称加密算法，加解密的效率要高很多。但是缺陷在于对秘钥的管理上，以及在非安全信道中通讯时，密钥交换的安全性不能保障。所以在实际的网络环境中，会将两者混合使用。

特点：

优点- 安全，即使密文和公钥被拦截，但是由于无法获取到私钥，也就无法破译到密文。

缺点- 加密算法复杂，安全性依赖算法和密钥， 且加密和解密效率很低

6. 私密性的密码学应用？

身份认证技术的应用：

身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。

身份认证技术：在网络中确认操作者身份的过程而产生的有效解决方法。

如何确认信息的发送者一定是本人？

发送者是alice，使用非对称算法，生成私钥A，公钥B。

1. alice把公钥给bob

2. alice发送信息hello，world！

3. alice把发送的信息用对称加密算法加密到加密信息C。

4. alice把发送的hello，world！先用hash算法计算得到hash值D。

5. alice把hash值D用非对称加密计算得到E。E值就是用于身份验证的。

6. alice把C，E一起发给bob。

7. bob收到C,E值，先用非对称的公钥对E进行解密，如果能正常解开则证明C值是alice的。

在上述1中如果黑客换了Alice的公钥，那么就会出现身份认证漏洞。

解决的办法：

Alice把公钥给bob的环节能确保是安全的，一定是Alice给的。

想办法证明Alice的公钥一定是Alice的。

7. 非对称加密如何解决身份认证问题？

使用公钥加密进行身份验证，其中使用发件人的私钥对消息进行签名，并且可以由有权访问发件人公钥的任何人验证。

发件人可以将消息与私钥结合起来，在消息上创建一个简短的数字签名。任何拥有发件人相应公钥的人都可以通过公钥解密后，将该消息与数字签名进行比较；如果签名与消息匹配，则验证消息的来源

8. 如何解决公钥身份认证问题？

公钥身份认证问题的方法
通过公钥的“身份证”-----数字证书来认证

数字证书包含：

用户身份信息

用户公钥信息

身份验证机构的信息及签名数据

数字证书分类：

签名证书----身份验证，不可抵赖性。

加密证书----加密，完整性与机密性。

利用公钥技术简历的提供安全服务的基础设施。通过第三方的可信机构，CA认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户身份。

9. 简述SSL工作过程

1，客户端浏览器发送一个消息，表示要和网站简历安全SSL连接

2，网站服务器响应客户端请求，发给客户端两样东西：网站服务器自己的证书（内含网站的公钥）、一个随机值

3，客户端浏览器验证网站服务证书是否可信

4，客户端利用网站服务其发的随机值生成会话密钥

5，客户端浏览器和网站服务器开始协商加密算法和密钥长度

6，协商成功后，客户端浏览器利用网站的公钥将生成的会话密钥加密，然后传送给网站服务器。

7，网站服务器收到客户端发送的利用网站服务器自己公钥加密的会话密钥，然后用自己的私钥解密出会话密钥，由此得到了安全的会话密钥

8，网站服务器再随机生成一个信息，用解密后的会话密钥加密该随机信息后发送给客户端浏览器（目的是让客户端认证服务器）

9，浏览器收到随机信息后，用会话密钥解密出信息（自然就认证了服务器），接着浏览器用自己的私钥对此信息做数字签名，连带客户端自己的证书（内含公钥），一起发送给网站服务器（目的是服务器认证客户端）

10，无客户端认证的握手过程