• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于隨機(jī)森林的分層木馬檢測(cè)技術(shù)研究*

    2016-07-05 07:41:48吳金龍石曉飛
    通信技術(shù) 2016年4期
    關(guān)鍵詞:隨機(jī)森林

    吳金龍,石曉飛,許 佳,史 軍

    (江南計(jì)算技術(shù)研究所,江蘇 無錫 214083)

    ?

    基于隨機(jī)森林的分層木馬檢測(cè)技術(shù)研究*

    吳金龍,石曉飛,許佳,史軍

    (江南計(jì)算技術(shù)研究所,江蘇 無錫 214083)

    摘要:為了應(yīng)對(duì)以未知木馬為核心的APT類攻擊帶來的威脅,對(duì)基于數(shù)據(jù)流的木馬檢測(cè)技術(shù)進(jìn)行了研究。提出一種基于分層的多維通信特征的木馬檢測(cè)方法,檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中的木馬數(shù)據(jù)。在對(duì)已有分類檢測(cè)算法調(diào)研的基礎(chǔ)上,創(chuàng)新的將隨機(jī)森林算法應(yīng)用于訓(xùn)練集,以建立檢測(cè)模型,創(chuàng)新的建立了分層評(píng)分策略,為分析人員提供可信的檢測(cè)結(jié)果。通過實(shí)驗(yàn)將該方法與三種常用的機(jī)器學(xué)習(xí)算法對(duì)比,在數(shù)據(jù)流的檢測(cè)方面,該方法的準(zhǔn)確率至少提高了1.8%,誤報(bào)率最少降低了2.77%。

    關(guān)鍵詞:木馬檢測(cè); 隨機(jī)森林; 多維特征; APT攻擊;分層檢測(cè)

    0引言

    隨著網(wǎng)絡(luò)的普及和廣泛應(yīng)用,隨之而來的安全問題日益凸出。近年來,網(wǎng)民的上網(wǎng)呈現(xiàn)出網(wǎng)民規(guī)模化和上網(wǎng)方式多樣化的特點(diǎn),網(wǎng)民的上網(wǎng)環(huán)境異常復(fù)雜。據(jù)瑞星報(bào)告指出,2015 年,新增病毒樣本3,715萬余個(gè),其中木馬病毒占總體病毒的 61.79%,報(bào)告期內(nèi),共有 4.75 億人次網(wǎng)民被病毒感染,人均病毒感染次數(shù)為 35.65 次。(數(shù)據(jù)引自《瑞星 2015 年中國信息安全報(bào)告》[1])。面對(duì)如此規(guī)模的網(wǎng)民數(shù)和多樣的上網(wǎng)方式,保護(hù)用戶隱私數(shù)據(jù),降低上網(wǎng)風(fēng)險(xiǎn)的問題尤為凸出。

    除個(gè)人終端外,企業(yè)用戶終端也常成為木馬的受害者。據(jù)FireEye的調(diào)查報(bào)告指出[2]。在企業(yè)網(wǎng)絡(luò)中,有95%以上的主機(jī)曾被木馬植入。然而,在這些被植入的主機(jī)中,僅不到10%的木馬樣本被安全軟件和防護(hù)設(shè)備檢測(cè)。未知木馬由于較難及時(shí)捕獲,因而是控制和實(shí)施APT等高危攻擊的核心環(huán)節(jié)。因此,傳統(tǒng)的木馬檢測(cè)方法都很難發(fā)揮有效的作用。

    本文旨在提出一種基于隨機(jī)森林的木馬檢測(cè)方法,通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的分類,提前檢測(cè)出木馬行為,及時(shí)為用戶預(yù)警,以降低用戶上網(wǎng)的風(fēng)險(xiǎn),加強(qiáng)用戶網(wǎng)絡(luò)環(huán)境的安全性。

    1研究現(xiàn)狀

    1.1現(xiàn)有的木馬檢測(cè)技術(shù)

    目前木馬檢測(cè)技術(shù)主要分為以下兩類[3]。

    1.1.1基于主機(jī)端

    根據(jù)上一節(jié)介紹,目前上網(wǎng)主機(jī)平臺(tái)多樣,且操作系統(tǒng)種類和版本繁雜,其復(fù)雜性和多樣性導(dǎo)致了檢測(cè)存在較大的實(shí)現(xiàn)難度,且基于主機(jī)系統(tǒng)行為的檢測(cè)方法要求對(duì)主機(jī)系統(tǒng)平臺(tái)有非常深入的了解。因此,在現(xiàn)有的技術(shù)條件下,單靠主機(jī)端的防護(hù)軟件尚無法實(shí)現(xiàn)對(duì)木馬進(jìn)行有效檢測(cè)。

    1.1.1基于網(wǎng)絡(luò)端

    目前,基于網(wǎng)絡(luò)端的數(shù)據(jù)流木馬檢測(cè)主要分為三種。

    一是基于特征匹配及信譽(yù)值的檢測(cè)技術(shù),該類檢測(cè)基于已有樣本的特征和信譽(yù)值判定未知數(shù)據(jù)的屬性。二是基于協(xié)議分析的檢測(cè)技術(shù),以數(shù)據(jù)流中采用的協(xié)議與已知協(xié)議對(duì)比,如有不同則認(rèn)為異常。這兩類的檢測(cè)方法的缺陷在于對(duì)偽裝和變形的木馬數(shù)據(jù)檢測(cè)效果較差,如隧道加密或采用代理方式通信,此類技術(shù)提高了各木馬程序的隱蔽性和生存周期,隱藏了木馬的特征[4]。三是基于通信行為分析的檢測(cè)技術(shù)。該檢測(cè)技術(shù)是基于木馬通信的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行檢測(cè)分類,具有較強(qiáng)的通用性。該技術(shù)被認(rèn)為是最有前景的木馬檢測(cè)方法,代表著該領(lǐng)域未來的發(fā)展趨勢(shì)。文獻(xiàn)[5]是基于此類檢測(cè)技術(shù)。本文的研究也是基于此類檢測(cè)技術(shù)。

    1.2隨機(jī)森林用于檢測(cè)分類現(xiàn)狀

    隨機(jī)森林分類器是在決策樹這種單一分類器基礎(chǔ)上的一種組合分類器。隨機(jī)森林分類器有以下優(yōu)點(diǎn):

    (1)其性能和檢測(cè)率方面,優(yōu)于單一的分類器。

    (2)對(duì)異常值和噪聲的容忍度好。

    (3)不易出現(xiàn)過度擬合[6-9]。

    故而,隨機(jī)森林提出至今,已廣泛應(yīng)用于文本和語言的驗(yàn)證處理、醫(yī)療和臉部識(shí)別等諸多領(lǐng)域。同時(shí),隨機(jī)森林的分類方法也較好的應(yīng)用于郵件過濾、入侵檢測(cè)等安全領(lǐng)域。然而,目前尚未發(fā)現(xiàn)將隨機(jī)森林的分類方法單純用于檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中的木馬數(shù)據(jù)。

    1.3基本思路

    不難發(fā)現(xiàn)隨機(jī)森林在入侵檢測(cè)領(lǐng)域已得到較好的應(yīng)用,且目前的木馬檢測(cè)領(lǐng)域中,尚未使用隨機(jī)森林進(jìn)行數(shù)據(jù)的分類檢測(cè)。木馬雖是一種廣義上的病毒,屬于一種特殊的入侵行為,但木馬與病毒、蠕蟲等其他惡意程序的行為特征有較大的區(qū)別。通常病毒、蠕蟲等惡意程序會(huì)對(duì)用戶終端系統(tǒng)造成明顯的破壞,然而木馬行為特點(diǎn)主要是潛伏在用戶電腦,監(jiān)視用戶操作,竊取用戶文件,收集系統(tǒng)信息。基于木馬與普通病毒、蠕蟲等其他病毒行為特征的不同,其檢測(cè)技術(shù)不能一概而論,否則,在檢測(cè)木馬數(shù)據(jù)時(shí),會(huì)有較高的誤報(bào)率和漏報(bào)率,無法完成細(xì)粒度的木馬檢測(cè)。故,隨機(jī)森林的方法應(yīng)用于木馬檢測(cè)領(lǐng)域與應(yīng)用于入侵檢測(cè)、異常檢測(cè)等安全領(lǐng)域是不同的。本文將側(cè)重關(guān)注隨機(jī)森林應(yīng)用于木馬檢測(cè)領(lǐng)域。

    通過加密、變形等技術(shù)實(shí)現(xiàn)自身隱藏,躲避查殺是木馬程序存活的重要特征,然而此類特征是經(jīng)常變換,不易作為檢測(cè)依據(jù)。然而,木馬要實(shí)現(xiàn)其完整功能,必有一些可以從端到端的數(shù)據(jù)流中提取的固定不變的特征。如:基于流量的上傳下載特征、基于連接的 “心跳”特征、基于時(shí)間的通聯(lián)時(shí)間特征等。因此從數(shù)據(jù)流的角度進(jìn)行檢測(cè),可以有效解決木馬免殺和未知木馬檢測(cè)的問題,也為APT攻擊檢測(cè)提供新的思路。木馬在運(yùn)行中,服務(wù)端與客戶端的交互更多的是人工的控制和干預(yù)。故,基于網(wǎng)絡(luò)流木馬的檢測(cè)的核心是區(qū)分正常通信行為(自動(dòng)行為)與木馬通信行為(人工干預(yù)行為)。

    本文提出一種快速的基于通信行為多維特征的木馬檢測(cè)方法。分層提取的木馬通信行為的多維特征,結(jié)合機(jī)器學(xué)習(xí)技術(shù)中的隨機(jī)森林分類算法,建立木馬數(shù)據(jù)流特征模型。創(chuàng)建可以區(qū)分木馬程序和正常應(yīng)用程序數(shù)據(jù)流特征的判定規(guī)則集。參照該模型實(shí)現(xiàn)的原型系統(tǒng)可通過網(wǎng)絡(luò)數(shù)據(jù)流特征判定規(guī)則集,有效檢測(cè)未知木馬,并可根據(jù)實(shí)際環(huán)境進(jìn)行自學(xué)習(xí)和調(diào)整優(yōu)化,使得該檢測(cè)方法具有較強(qiáng)的適應(yīng)能力。

    2木馬通信行為檢測(cè)模型

    木馬要實(shí)現(xiàn)自身功能,必然無法使自身通信行為與正常通信行為一致,例如,上傳/下載數(shù)據(jù)量的比例、客戶端與服務(wù)端之間的“Keep-Alive” 機(jī)制(也稱為?;顧C(jī)制)等造成了木馬與正常數(shù)據(jù)流的特征差異。木馬的功能及自身的特殊性讓基于通信行為分析的木馬檢測(cè)技術(shù)可行且有效。

    2.1分析木馬通信行為

    不同的木馬程序在功能上,針對(duì)不同操作系統(tǒng)、不同應(yīng)用平臺(tái),其采用的網(wǎng)絡(luò)通信協(xié)議方面存在很大差異,但它們?cè)谕ㄐ判袨樯嫌志哂幸欢ǖ南嗨菩?。通過對(duì)大量木馬樣本進(jìn)行分析發(fā)現(xiàn):木馬通信過程大致分為兩個(gè)階段,即連接保持階段和命令控制階段。

    連接保持階段不僅包括植入木馬后的上線通知,還包括了木馬上線之后保持通聯(lián)的“心跳”機(jī)制。攻擊者將木馬程序植入到目標(biāo)系統(tǒng)后,攻擊者需等待木馬植入成功的消息,然后進(jìn)行遠(yuǎn)程控制。所以,木馬程序植入的成功與否則需要一種通知機(jī)制,即上線通知。實(shí)際上,上線通知也是一種前期特殊的“心跳”行為,有些木馬在上線通知的數(shù)據(jù)包里包含了“心跳”包。

    2.2木馬通信行為描述

    定義1用D表示所有網(wǎng)絡(luò)通信數(shù)據(jù),C表示正常網(wǎng)絡(luò)通信數(shù)據(jù),T表示木馬通信數(shù)據(jù),對(duì)網(wǎng)絡(luò)通信行為特征向量F定義如下:

    F(D)=F1(D)×F2(D)×…×Fn(D);

    D=C∪T;

    其中,隨機(jī)變量Fi(i=1,2,…,n)表示網(wǎng)絡(luò)通信的單一行為特征屬性,并且是多項(xiàng)式時(shí)間可計(jì)算的。

    定義2定義函數(shù)SF為與F(D)一致的分類器,其中

    SF:F1×F2×…×Fn→{0,1};

    其中,SF是多項(xiàng)式時(shí)間可計(jì)算的, 0是正常通信,1是木馬通信,(F,SF)稱為木馬通信行為檢測(cè)模型。因此,網(wǎng)絡(luò)通信行為特征屬性提取和分類器設(shè)計(jì)是實(shí)現(xiàn)木馬檢測(cè)的關(guān)鍵。

    分析木馬通信行為,將木馬的通信全過程劃分為:連接保持和命令控制這兩個(gè)階段。故,檢測(cè)木馬通信行為按照這兩個(gè)階段分別定義并檢測(cè)。相關(guān)定義和檢測(cè)過程如下:

    首先,根據(jù)木馬通信行為分析分階段提取木馬通信行為特征屬性Fki和Foi。其中,F(xiàn)ki(i=1,2,…,n)表示木馬連接保持階段的網(wǎng)絡(luò)通信的行為特征屬性,F(xiàn)oi(i=1,2,…,n)表示木馬命令控制階段的網(wǎng)絡(luò)通信行為特征屬性。

    然后,根據(jù)行為特征屬性Fki和Foi的數(shù)據(jù)類型特點(diǎn)和實(shí)際檢測(cè)要求,選擇分類算法構(gòu)造分類器SFk和SFo,其中,SFk表示木馬連接保持階段的分類器,SFo表示木馬命令控制階段的分類器。

    其中,這里0表示正常網(wǎng)絡(luò)通信,1表示木馬通信。

    最后,判斷分類器的輸出結(jié)果SFk∪SFo,檢測(cè)到任意階段產(chǎn)生報(bào)警,就認(rèn)為存在木馬通信行為。

    3隨機(jī)森林分層檢測(cè)木馬

    根據(jù)定義的木馬通信行為,本節(jié)將介紹構(gòu)建隨機(jī)森林的步驟及基于分層思路的多維特征的選取。

    3.1C4.5決策樹的局限性

    C4.5決策樹是一種典型的單分類器,使用單分類器檢測(cè)木馬通信行為具有一些局限性,主要體現(xiàn)在:

    (1)C4.5決策樹分類器的精度在到達(dá)一定指標(biāo)后,難以繼續(xù)提高,其檢測(cè)精度存在不易突破的瓶頸。

    (2)一種給定的分類器,其檢測(cè)的準(zhǔn)確率較為依賴實(shí)際的檢測(cè)環(huán)境,同樣的算法和檢測(cè)模型在不同的環(huán)境,其檢測(cè)準(zhǔn)確率可能差別很大。

    (3)在有監(jiān)督的學(xué)習(xí)訓(xùn)練過程中,C4.5這類單分類器需要大量的訓(xùn)練數(shù)據(jù)。

    由機(jī)器學(xué)習(xí)領(lǐng)域的研究結(jié)論可知,就檢測(cè)分類效果而言,基于單一分類分類器弱于基于由多分類器組合集成的檢測(cè)分類器。隨機(jī)森林檢測(cè)方法是一種建立在統(tǒng)計(jì)分析理論上集成的組合檢測(cè)分類器。隨機(jī)森林由多顆決策樹組成,它通過組合多個(gè)弱分類器,集成一個(gè)強(qiáng)分類器的方法克服決策樹的局限性,多個(gè)分類器通過投票決定最終分類屬性,既起到了互補(bǔ)作用提高了檢測(cè)的穩(wěn)定性,又降低了個(gè)別分類器錯(cuò)誤所帶來的影響,進(jìn)而提高了檢測(cè)分類的準(zhǔn)確率。

    3.2構(gòu)建隨機(jī)森林

    本文提出將Random-SMOTE方法結(jié)合隨機(jī)森林算應(yīng)用于木馬通信行為檢測(cè)。采用Random-SMOTE方法的目的是對(duì)數(shù)據(jù)集抽樣預(yù)處理,將數(shù)量較少的木馬樣本進(jìn)行過抽樣,以提高稀有類數(shù)據(jù)所占的比重,降低大類數(shù)據(jù)的比例,提高稀有類數(shù)據(jù)中木馬行為的識(shí)別率。隨后用隨機(jī)森林的方法訓(xùn)練預(yù)處理后的數(shù)據(jù)集,生成檢測(cè)模型。

    定義T為原訓(xùn)練數(shù)據(jù)集中的木馬數(shù)據(jù)流樣本集,S為正常應(yīng)用數(shù)據(jù)流樣本集,隨機(jī)森林的生成步驟如下:

    (1)首先對(duì)木馬數(shù)據(jù)流樣本集T進(jìn)行過抽樣,根據(jù)Random-SMOTE方法和過抽樣倍率N,為每個(gè)木馬數(shù)據(jù)流樣本隨機(jī)生成N個(gè)新樣本;將新的樣本加入原訓(xùn)練數(shù)據(jù)集,形成新的木馬數(shù)據(jù)流樣本集T′,以減少樣本集中木馬樣本和正常樣本在個(gè)數(shù)上的不平衡。

    (3)基于每個(gè)自助樣本,構(gòu)建一棵決策樹。采用Forest-RI(ForestRandomInputs,隨機(jī)選擇輸入變量)方法。假設(shè)屬性特征有M維,從M維特征中隨機(jī)抽取Mca維特征作為候選特征。選擇這Mca個(gè)特征上最好的分裂方式對(duì)決策樹每個(gè)節(jié)點(diǎn)進(jìn)行分裂,使每個(gè)決策樹都得到最大限度的生長,不進(jìn)行剪枝。

    (4)重復(fù)步驟(2)和步驟(3),可以得到多棵決策樹,并且在隨機(jī)森林生長過程中Mca值保持不變。

    (5)讓每一棵決策樹對(duì)輸入的未知數(shù)據(jù)流X進(jìn)行投票。計(jì)算所有的投票數(shù),找出其中票數(shù)最高的一個(gè)就是數(shù)據(jù)流X的分類標(biāo)簽。

    3.3分層檢測(cè)

    作者在設(shè)計(jì)分層提取多維通信設(shè)計(jì)的基礎(chǔ)上,設(shè)計(jì)了可信度評(píng)分策略,為分析人員提供結(jié)果可信度的結(jié)果。

    3.3.1基本思路

    上文描述的是單個(gè)隨機(jī)森林的生成過程。在此基礎(chǔ)上,作者從基于IP協(xié)議的網(wǎng)絡(luò)層會(huì)話數(shù)據(jù)流、基于TCP協(xié)議的傳輸層會(huì)話數(shù)據(jù)流和基于HTTP協(xié)議的應(yīng)用層會(huì)話數(shù)據(jù)流三個(gè)層面分別提取木馬的多維特征屬性。在數(shù)據(jù)預(yù)處理時(shí),對(duì)原始捕獲的PCAP數(shù)據(jù)包,按照IP會(huì)話、TCP會(huì)話和HTTP會(huì)話三個(gè)層次分別提取數(shù)據(jù)流通信特征,進(jìn)而構(gòu)建三個(gè)隨機(jī)森林分類器,分別記為RFip、RFtcp和RFhttp,用以從不同層面檢測(cè)數(shù)據(jù)流行為特征屬性。判斷三個(gè)分類器的輸出結(jié)果RFip∪RFtcp∪RFhttp,檢測(cè)到任意層面產(chǎn)生異常數(shù)據(jù)流報(bào)警,就認(rèn)為存在木馬通信行為。

    3.3.2分層多維特征選取

    分別按照網(wǎng)絡(luò)層、傳輸層和應(yīng)用層簡單例舉選取的多維特征:

    基于IP協(xié)議的網(wǎng)絡(luò)層會(huì)話特征:

    (1)IP會(huì)話下載數(shù)據(jù)量/IP會(huì)話上傳數(shù)據(jù)量特征:控制端流向被控端的字節(jié)數(shù)與反方向字節(jié)數(shù)的比較,該行為特征值一般小于1。

    (2)IP會(huì)話時(shí)長/主連接時(shí)長:IP會(huì)話數(shù)據(jù)流的持續(xù)時(shí)間與主連接持續(xù)時(shí)間之比,該行為特征值一定大于1,但是木馬程序的取值會(huì)顯著小于正常網(wǎng)絡(luò)應(yīng)用。

    基于TCP協(xié)議的傳輸層會(huì)話特征:

    (1)TCP會(huì)話時(shí)長:命令交互、文件資源搜索和文件傳輸需要大量的等待時(shí)間,再加上人類的思考時(shí)間,使得通信會(huì)話持續(xù)時(shí)間較長。

    (2)TCP會(huì)話上傳數(shù)據(jù)量:木馬程序根據(jù)控制命令將被控主機(jī)的信息和文件資源不斷上傳,導(dǎo)致會(huì)話上傳數(shù)據(jù)量偏大。

    基于HTTP協(xié)議的應(yīng)用層會(huì)話特征:

    (1)HTTP會(huì)話數(shù)據(jù)包集參差度:正常HTTP應(yīng)用的數(shù)據(jù)包集參差度對(duì)其總尺寸的分布體現(xiàn)出分段性和有界性,而HTTP隧道卻跟其差異很大。

    (2)HTTPRequest數(shù)據(jù)包信息熵特征:在信息層面提供一個(gè)評(píng)估正常HTTP通信和HTTP隧道通信行為的一個(gè)指標(biāo)。

    以上從3個(gè)會(huì)話層例分別舉了2個(gè)特征作為隨機(jī)森林決策樹的判斷條件。類似的特征可以選取很多,然而,需要根據(jù)實(shí)驗(yàn)和實(shí)際情況決定在每一層采用哪些特征。

    3.3.3可信度評(píng)分策略

    參數(shù)λ的圖像如圖1所示

    圖1 λ的圖像

    記檢測(cè)結(jié)果中,分別命中網(wǎng)絡(luò)層、傳輸層、應(yīng)用層的協(xié)議為0x0001、0x0010、0x0100,三層均命中則為0x0111,分別定義Credit1、Credit2、Credit3表示協(xié)議命中一層、兩層和三層。

    (1)檢測(cè)結(jié)果,協(xié)議命中其中一層。

    If(protocol == (0x0001, 0x0010, 0x0100))

    Credit1=Standpoint*λ;

    則,48.4≤Credit1≤55

    (2)檢測(cè)結(jié)果,協(xié)議命中其中兩層。

    If(protocol == (0x0011, 0x0101, 0x0110))

    Credit2=Credit1*1.35*λ;

    則,57.5≤Credit2≤74.25

    (3)檢測(cè)結(jié)果,協(xié)議三層全部命中

    If(protocol == (0x0111))

    Credit3=Credit2*1.25*λ;

    則,63.25≤Credit3≤92.81

    4實(shí)驗(yàn)分析

    為了更好的驗(yàn)證本文的方法。本文采用兩組試驗(yàn)分析對(duì)比實(shí)驗(yàn)結(jié)果。

    4.1實(shí)驗(yàn)一

    第一組實(shí)驗(yàn)數(shù)據(jù)是:綜合搜集結(jié)合網(wǎng)絡(luò)上2015年以前相關(guān)文獻(xiàn)實(shí)驗(yàn)數(shù)據(jù)或有代表性的61款樣本,包括:PcShell、灰鴿子、Gh0st、ZXShell等,共325個(gè)木馬通信數(shù)據(jù)流作為樣本數(shù)據(jù)。選取MSN、ICQ、QQ、skype等65款正常應(yīng)用的通信數(shù)據(jù),共1 175個(gè)數(shù)據(jù)流作為正常數(shù)據(jù)。正常和樣本數(shù)據(jù)合計(jì)1 500個(gè)數(shù)據(jù)流。

    為了對(duì)比試驗(yàn)結(jié)果,更好的評(píng)價(jià)本文的方法。選?。篊4.5決策樹[10]、SVM[11-12]、Naive Bayes[5,11]作為木馬檢測(cè)算法。通過開源機(jī)器學(xué)習(xí)模塊“scikit-learn”[13]實(shí)現(xiàn)了對(duì)應(yīng)算法。將這些方法與本文分層檢測(cè)的隨機(jī)森林(記為MRF)的檢測(cè)方法進(jìn)行對(duì)比。將C4.5決策樹(記為C4.5)、SVM和Naive Bayes算法(記為NB)用于檢測(cè)木馬數(shù)據(jù),四種方法對(duì)1500個(gè)數(shù)據(jù)流的檢測(cè)結(jié)果,按照性能評(píng)價(jià)指標(biāo)參數(shù)匯總?cè)绫?所示。

    表1 4種機(jī)器學(xué)習(xí)算法的性能評(píng)價(jià)指標(biāo)

    通過實(shí)驗(yàn)的對(duì)比結(jié)果,不難看出,基于隨機(jī)森林的檢測(cè)方法其準(zhǔn)確率(Accuracy,ACC)最高,假負(fù)率(False Negative Rate,FNR)最低,真正率(True Positive Rate,TPR) 最好,即靈敏度(sensitivity)最好。綜合對(duì)比分析,用隨機(jī)森林算法作為木馬檢測(cè)分類模型的效果最優(yōu)。

    4.2實(shí)驗(yàn)二

    第二組數(shù)據(jù)是:選取2015年以來的,基于漏洞利用的15款木馬數(shù)據(jù),共36個(gè)數(shù)據(jù)流,對(duì)于訓(xùn)練模型而言,該15款木馬均為未知屬性的數(shù)據(jù)。(數(shù)據(jù)來源:malware traffic analysis[14]網(wǎng)站)

    近年來,通過系統(tǒng)及應(yīng)用軟件的漏洞作為木馬傳播載體的方式廣泛且流行。此類木馬的傳播方式較為隱蔽,一般隱匿或捆綁在文檔、應(yīng)用、鏈接等看似正常的文件中。包括:Angler-EK( 利用IE漏洞,如:CVE-2015-2419 )、 BizCN( 利用Flash漏洞,如: CVE-2015-0522等 ) 、Nuclear-EK(利用Flash漏洞)等。作者將搜集的2015年以來的數(shù)據(jù)流文件作為未知木馬樣本。在已有的檢測(cè)模型上,測(cè)試本方法對(duì)于未知數(shù)據(jù)流(未知木馬及未知的傳播方式)的檢測(cè)率,結(jié)果見表2。

    表2 15款未知數(shù)據(jù)的檢測(cè)結(jié)果

    實(shí)驗(yàn)結(jié)果顯示,在15個(gè)未知應(yīng)用數(shù)據(jù)中,檢測(cè)出14個(gè),檢測(cè)率為93.3%,其中36個(gè)數(shù)據(jù)流中檢測(cè)出32個(gè),數(shù)據(jù)流的檢測(cè)率為88.9%。與其他三種方法的對(duì)比結(jié)果如圖2所示。

    圖2 未知數(shù)據(jù)檢測(cè)對(duì)比

    實(shí)驗(yàn)結(jié)果顯示,就預(yù)測(cè)性而言, 隨機(jī)森林的檢測(cè)方法對(duì)未知數(shù)據(jù)屬性的分類效果最好,預(yù)測(cè)性最佳。

    6結(jié)語

    本文創(chuàng)新的提出了將隨機(jī)森林引用于單一的木馬檢測(cè)領(lǐng)域,通過實(shí)驗(yàn)驗(yàn)證,本文的方法在提高檢測(cè)率和降低誤報(bào)率方面均優(yōu)于目前已知的木馬檢測(cè)方法,對(duì)于未知數(shù)據(jù)有較好的檢測(cè)分類效果。此外,本文創(chuàng)新提出可信度評(píng)分策略,通過大量實(shí)踐驗(yàn)證得到的行之有效的評(píng)分方法對(duì)檢測(cè)結(jié)果進(jìn)行評(píng)分,為研判人員提供可信參考。但是,依然存在一些有待改進(jìn)的地方,比如,檢測(cè)出來的結(jié)果中,誤告警所占比例達(dá)7.76%,下一步將嘗試通過數(shù)據(jù)挖掘算法對(duì)檢測(cè)結(jié)果分析,以去除誤告警,降低誤報(bào)率。

    參考文獻(xiàn):

    [1]瑞星.瑞星2015年中國信息安全報(bào)告[EB/OL]. (2016-01-20)[2016-03-02]. http://it.rising.com.cn/dongtai/18131.html.

    Rising. Rising 2015 China Information Security Report[EB/OL]. (2016-01-20)[2016-03-02]. http://it.rising.com.cn/dongtai/18131.html

    [2]Fire Eye. Advanced Targeted Attacks: How to Protect Against the New Generation of Cyber Attacks.[EB/OL].[2016-03-02].http://www2.fireeye.com/rs/fireye/images/fireeye-advanced-targeted-attacks.pdf.

    [3]李世淙,云曉春,張永錚.一種基于分層聚類方法的木馬通信行為檢測(cè)模型[J].計(jì)算機(jī)研究與發(fā)展,2012(S2):9-16.

    LI Shi-cong, YUN Xiao-chun, ZHANG Yong-zheng. A Model of Trojan Communication Behavior Detection based Hierarchical Clustering Technique[J]. Journal of Computer Research and Development,2012,(S2):9-16 .

    [4]周趙軍, 張劍, 彭春林. 多Web代理技術(shù)在木馬通信中的實(shí)現(xiàn) [J]. 通信技術(shù), 2012, 45(08):73-76.

    ZHOU Zhao-jun, ZHANG Jian, PENG Chun-lin. Trojan Communication based on Multi-Web Proxy[J]. Communications Technology,2012,45(08):73-76.

    [5]薛磊. 基于通信行為證據(jù)鏈的木馬檢測(cè)系統(tǒng)[D].南京:南京郵電大學(xué),2013.

    XUE Lei. Trojan Detection System based on Evidence of Communication Behaviors.[D].2013,Nanjing:Nanjing University of Posts and Telecommunications,2013.

    [6]WOLPERT D H. Stacked Generalization [J]. Neural Networks, 1992, 5(2): 241-259.

    [7]Breiman L. Bagging Predictors [J]. Machine Learning, 1996, 24(2): 123-140.

    [8]Dietterich T G. Ensemble Methods in Machine Learning [M]. Multiple Classifier Systems. Springer Berlin Heidelberg,2000:1-15.

    [9]方匡男, 吳見彬, 朱見平等. 隨機(jī)森林方法研究綜述[J]. 統(tǒng)計(jì)與信息論壇, 2011, 26(03): 32-38.

    FANG Kuang-nan, WU Jian-bin, ZHU Jian-ping,et al. Research of Random Forest Method[J]. Statistics & Information Forum, 2011, 26(03): 32-38.

    [10]ZHANG Xiao-chen, LIU Sheng-li, MENG Lei, SHI Yun-fang. Trojan Detection based on Network Flow Clustering. Multimedia Information Networking and Security (MINES), 2012 Fourth International Conference on DOI: 10.1109/MINES.2012.242[C]. 2012:947-950.

    [11]Ponomarev S, Durand J, Wallace N, et al. Evaluation of Random Projection for Malware Classification[C] Software Security and Reliability-Companion(SERE-C), 2013 IEEE 7th International Conference on IEEE, 2013:68-73.

    [12]李鵬,王汝傳,高德華.基于模糊識(shí)別和支持向量機(jī)的聯(lián)合Rootkit動(dòng)態(tài)檢測(cè)技術(shù)研究[J].電子學(xué)報(bào),2012(01):49-56.

    LI Peng, WAGN Ru-chuan, GAO De-hua. Research on Rootkit Dynamic Detection based on Fuzzy Pattern Recognition and Support Virtual Machine Technology[J]. Acta Electronica Sinica, 2012(01):49-56.

    [13]scikit-learn.[EB/OL]. [2015-10-09]. http://scikit-learn.org/stable/.

    [14]Malware Traffic Analysis. [EB/OL]. [2015-10-09].http://www.malware-traffic-analysis.net/blog-entries.html

    Hierarchical Detection of Trojan Behavior based on Random Forest

    WU Jin-long,SHI Xiao-fei,XU Jia,SHI Jun

    (Jiangnan Institute of Computing Technology,Wuxi Jiangsu 214083,China)

    Abstract:In order to deal with the threat from APT attacks with unknown Trojan as the core,Trojan detection technology based on net flows is studied and discussed. A method based on multidimensional features from different layers for Trojan detection is proposed, thus to detect Trojan data in the network data flows. Based on intestigation of the existing detection technology,the random forest algorithm is applied to training data set,thus to construct the detection model,establish hierarchical scoring policy,and providing a trusted detection result for analysts.Experiment and comparison of the three learning algorithms indicate that this method could improve accuracy rate at least 1.8% and reduce the false alarm rate at least 2.77% in the detection of Trojans.

    Key words:trojan detection;random forest;multi-dimensional features;APT attack;hierarchical detection

    doi:10.3969/j.issn.1002-0802.2016.04.018

    *收稿日期:2015-11-09;修回日期:2016-02-20Received date:2015-11-09;Revised date:2016-02-20

    中圖分類號(hào):TP393.08

    文獻(xiàn)標(biāo)志碼:A

    文章編號(hào):1002-0802(2016)04-0475-06

    作者簡介:

    吳金龍(1988—),男,碩士,研究實(shí)習(xí)員,主要研究方向?yàn)樾畔踩途W(wǎng)絡(luò)安全;

    石曉飛(1976—),女,碩士,工程師,主要研究方向?yàn)樾畔踩途W(wǎng)絡(luò)安全;

    許佳(1981—),男,博士,工程師,主要研究方向?yàn)樾畔踩途W(wǎng)絡(luò)安全;

    史軍(1972—),男,碩士,高級(jí)工程師,主要研究方向?yàn)樾畔踩途W(wǎng)絡(luò)安全。

    猜你喜歡
    隨機(jī)森林
    隨機(jī)森林算法在中藥指紋圖譜中的應(yīng)用:以不同品牌夏桑菊顆粒指紋圖譜分析為例
    基于隨機(jī)森林的登革熱時(shí)空擴(kuò)散影響因子等級(jí)體系挖掘
    基于隨機(jī)森林的HTTP異常檢測(cè)
    個(gè)人信用評(píng)分模型比較數(shù)據(jù)挖掘分析
    隨機(jī)森林在棉蚜蟲害等級(jí)預(yù)測(cè)中的應(yīng)用
    基于二次隨機(jī)森林的不平衡數(shù)據(jù)分類算法
    軟件(2016年7期)2017-02-07 15:54:01
    拱壩變形監(jiān)測(cè)預(yù)報(bào)的隨機(jī)森林模型及應(yīng)用
    基于隨機(jī)森林算法的飛機(jī)發(fā)動(dòng)機(jī)故障診斷方法的研究
    基于奇異熵和隨機(jī)森林的人臉識(shí)別
    軟件(2016年2期)2016-04-08 02:06:21
    基于隨機(jī)森林算法的B2B客戶分級(jí)系統(tǒng)的設(shè)計(jì)
    波多野结衣高清作品| 男女那种视频在线观看| 97超级碰碰碰精品色视频在线观看| 黄色视频,在线免费观看| 国产蜜桃级精品一区二区三区| 岛国视频午夜一区免费看| 18禁国产床啪视频网站| 欧美三级亚洲精品| 无遮挡黄片免费观看| 亚洲激情在线av| 欧美日韩黄片免| 久久久久国产精品人妻aⅴ院| 国产精品 欧美亚洲| 夜夜夜夜夜久久久久| 色综合站精品国产| www日本黄色视频网| 亚洲熟女毛片儿| 久久人人精品亚洲av| av天堂在线播放| 欧美精品亚洲一区二区| 欧美乱码精品一区二区三区| 欧美一级a爱片免费观看看 | 黑人操中国人逼视频| 欧美乱码精品一区二区三区| 国产成人av激情在线播放| 亚洲男人的天堂狠狠| 成人国语在线视频| 99热6这里只有精品| 18禁黄网站禁片午夜丰满| 在线观看午夜福利视频| 狂野欧美激情性xxxx| 日本一区二区免费在线视频| 一区二区三区精品91| 亚洲五月天丁香| 香蕉国产在线看| 国产真实乱freesex| 一区二区三区精品91| 色精品久久人妻99蜜桃| 狠狠狠狠99中文字幕| 99国产精品一区二区蜜桃av| 日韩视频一区二区在线观看| 国产精品日韩av在线免费观看| 亚洲精品国产精品久久久不卡| 中文字幕人妻丝袜一区二区| 国产欧美日韩一区二区三| 一个人观看的视频www高清免费观看 | 两性夫妻黄色片| tocl精华| 午夜福利视频1000在线观看| 一级片免费观看大全| 久久久久久久精品吃奶| 日日干狠狠操夜夜爽| а√天堂www在线а√下载| 淫秽高清视频在线观看| 黄色视频,在线免费观看| 欧美性猛交黑人性爽| 亚洲性夜色夜夜综合| 亚洲成av片中文字幕在线观看| 99国产综合亚洲精品| 色播亚洲综合网| 母亲3免费完整高清在线观看| 国产午夜精品久久久久久| 美女高潮喷水抽搐中文字幕| 亚洲五月天丁香| 女警被强在线播放| 国产v大片淫在线免费观看| xxxwww97欧美| 99热这里只有精品一区 | 亚洲中文日韩欧美视频| 国产精品1区2区在线观看.| av中文乱码字幕在线| 999久久久精品免费观看国产| 欧美乱色亚洲激情| 欧美国产精品va在线观看不卡| 国产又黄又爽又无遮挡在线| 老司机午夜十八禁免费视频| 桃红色精品国产亚洲av| 大香蕉久久成人网| 国产精品久久久久久人妻精品电影| av福利片在线| 亚洲成国产人片在线观看| 亚洲欧美激情综合另类| 99久久精品国产亚洲精品| 欧美色欧美亚洲另类二区| 啪啪无遮挡十八禁网站| 在线天堂中文资源库| 亚洲人成77777在线视频| 热99re8久久精品国产| 日韩大尺度精品在线看网址| 一本综合久久免费| 黄色a级毛片大全视频| 国产av一区在线观看免费| 最新在线观看一区二区三区| 精品久久久久久久末码| 制服丝袜大香蕉在线| 黄频高清免费视频| 日本三级黄在线观看| 一级a爱视频在线免费观看| 一进一出好大好爽视频| 1024手机看黄色片| 国产激情偷乱视频一区二区| 欧美又色又爽又黄视频| 一个人观看的视频www高清免费观看 | 久久狼人影院| 午夜亚洲福利在线播放| 欧美日韩亚洲综合一区二区三区_| 在线观看一区二区三区| 国产精品香港三级国产av潘金莲| 此物有八面人人有两片| 色哟哟哟哟哟哟| 在线观看免费视频日本深夜| www.熟女人妻精品国产| 狂野欧美激情性xxxx| 日本三级黄在线观看| 欧美乱色亚洲激情| 身体一侧抽搐| 成人国产综合亚洲| 天天一区二区日本电影三级| 人人妻人人澡欧美一区二区| 十八禁网站免费在线| 欧美性猛交黑人性爽| 亚洲七黄色美女视频| www.www免费av| 国产成人精品无人区| 欧美激情高清一区二区三区| 亚洲av第一区精品v没综合| 日日摸夜夜添夜夜添小说| 听说在线观看完整版免费高清| 色综合亚洲欧美另类图片| 女人高潮潮喷娇喘18禁视频| 亚洲成av片中文字幕在线观看| av在线播放免费不卡| 日韩欧美一区二区三区在线观看| 日韩视频一区二区在线观看| 最近最新免费中文字幕在线| 99在线视频只有这里精品首页| 免费在线观看黄色视频的| 视频在线观看一区二区三区| 午夜福利在线观看吧| 成年人黄色毛片网站| 嫁个100分男人电影在线观看| 久久人妻福利社区极品人妻图片| 亚洲一码二码三码区别大吗| 亚洲国产欧美一区二区综合| 久久午夜亚洲精品久久| 大型av网站在线播放| 操出白浆在线播放| 亚洲成人久久爱视频| 法律面前人人平等表现在哪些方面| 黄片播放在线免费| 国产一区二区三区视频了| www.999成人在线观看| 最近最新中文字幕大全免费视频| 国产极品粉嫩免费观看在线| aaaaa片日本免费| 久久人妻av系列| 真人做人爱边吃奶动态| 婷婷精品国产亚洲av| 日韩中文字幕欧美一区二区| 男人舔奶头视频| 免费电影在线观看免费观看| 久久香蕉国产精品| 免费看十八禁软件| 久久久久精品国产欧美久久久| 精品国产亚洲在线| 国产欧美日韩一区二区三| 天天添夜夜摸| 久久性视频一级片| 一级作爱视频免费观看| 色尼玛亚洲综合影院| 免费在线观看日本一区| 久久久久免费精品人妻一区二区 | 嫩草影视91久久| 国产又色又爽无遮挡免费看| 男女床上黄色一级片免费看| 国产精品久久久久久人妻精品电影| 成人手机av| xxxwww97欧美| 99精品在免费线老司机午夜| 色综合婷婷激情| 女人爽到高潮嗷嗷叫在线视频| 亚洲三区欧美一区| 国产精品九九99| 国产亚洲欧美98| 国产亚洲精品一区二区www| 国内少妇人妻偷人精品xxx网站 | 最近在线观看免费完整版| aaaaa片日本免费| 丰满人妻熟妇乱又伦精品不卡| 午夜日韩欧美国产| 国产精品一区二区三区四区免费观看 | 国内揄拍国产精品人妻在线| 日韩三级伦理在线观看| 欧美日韩乱码在线| 欧美成人一区二区免费高清观看| 久久99热6这里只有精品| 午夜久久久久精精品| 可以在线观看毛片的网站| 国内精品久久久久精免费| 亚洲av五月六月丁香网| 日本色播在线视频| 99久久精品热视频| 色吧在线观看| 成人午夜高清在线视频| 久99久视频精品免费| 国产v大片淫在线免费观看| 老女人水多毛片| 欧美高清成人免费视频www| 亚洲av中文av极速乱| 欧美性猛交╳xxx乱大交人| 男插女下体视频免费在线播放| 欧美成人精品欧美一级黄| 亚洲人成网站高清观看| 最近最新中文字幕大全电影3| 日本熟妇午夜| 亚洲成人久久性| 深夜精品福利| 亚洲av免费高清在线观看| 性欧美人与动物交配| 亚洲第一电影网av| 国产精品99久久久久久久久| 久久中文看片网| 精品无人区乱码1区二区| 成年版毛片免费区| 超碰av人人做人人爽久久| av在线老鸭窝| 国产精品av视频在线免费观看| 国产真实乱freesex| 国产精品一区二区三区四区免费观看 | 久久久国产成人精品二区| 亚洲欧美精品自产自拍| 国产精品久久视频播放| 亚洲欧美日韩东京热| 九色成人免费人妻av| 国产91av在线免费观看| 国产精品久久久久久亚洲av鲁大| 亚洲精品国产av成人精品 | 淫秽高清视频在线观看| 国产成人a区在线观看| 亚洲真实伦在线观看| 亚洲精品影视一区二区三区av| 看黄色毛片网站| 日日撸夜夜添| 99热这里只有精品一区| 国产三级在线视频| 给我免费播放毛片高清在线观看| 97超碰精品成人国产| 国产精品一及| 欧美高清性xxxxhd video| 此物有八面人人有两片| 99在线视频只有这里精品首页| 两性午夜刺激爽爽歪歪视频在线观看| 一级毛片电影观看 | 久久婷婷人人爽人人干人人爱| 久久久精品欧美日韩精品| 人妻少妇偷人精品九色| 久久久久久久久久久丰满| 亚洲av二区三区四区| 美女免费视频网站| 亚洲18禁久久av| 69av精品久久久久久| 一进一出抽搐动态| 欧美一级a爱片免费观看看| 网址你懂的国产日韩在线| 亚洲欧美成人综合另类久久久 | 亚洲国产精品成人综合色| 赤兔流量卡办理| 我的女老师完整版在线观看| 免费黄网站久久成人精品| 人人妻,人人澡人人爽秒播| 国产亚洲av嫩草精品影院| 天天一区二区日本电影三级| av在线天堂中文字幕| 啦啦啦观看免费观看视频高清| 午夜a级毛片| 日本撒尿小便嘘嘘汇集6| 日本黄色视频三级网站网址| 一边摸一边抽搐一进一小说| 色综合色国产| 午夜亚洲福利在线播放| 搡老熟女国产l中国老女人| 亚洲av免费在线观看| 如何舔出高潮| 午夜福利18| 精品人妻熟女av久视频| 1000部很黄的大片| 亚洲四区av| 99久久九九国产精品国产免费| 国产精品爽爽va在线观看网站| 国产色爽女视频免费观看| 亚洲精品成人久久久久久| 欧美xxxx性猛交bbbb| 欧美三级亚洲精品| 一本久久中文字幕| 插逼视频在线观看| 久久午夜福利片| 国产伦在线观看视频一区| 精品久久国产蜜桃| 欧美潮喷喷水| 久久精品影院6| 国产精品永久免费网站| 国产高清激情床上av| 欧美丝袜亚洲另类| 国产高潮美女av| 久久久久九九精品影院| 女同久久另类99精品国产91| 久久韩国三级中文字幕| 欧美不卡视频在线免费观看| 亚洲欧美日韩卡通动漫| 少妇熟女aⅴ在线视频| 日韩强制内射视频| 少妇的逼水好多| 国产欧美日韩精品亚洲av| 亚洲不卡免费看| 少妇人妻一区二区三区视频| 女人被狂操c到高潮| 日本免费一区二区三区高清不卡| 国产欧美日韩一区二区精品| 国产精品一区二区性色av| 亚洲高清免费不卡视频| 波野结衣二区三区在线| 美女内射精品一级片tv| 免费av不卡在线播放| 一区二区三区四区激情视频 | 国产三级中文精品| 久久精品夜色国产| 男人舔奶头视频| 在线免费十八禁| 免费观看在线日韩| 午夜精品在线福利| av在线蜜桃| 一本久久中文字幕| 成年女人看的毛片在线观看| 国产亚洲av嫩草精品影院| 日韩在线高清观看一区二区三区| 男人舔女人下体高潮全视频| 日本免费a在线| 亚洲国产精品久久男人天堂| 少妇熟女aⅴ在线视频| 男女下面进入的视频免费午夜| 噜噜噜噜噜久久久久久91| 美女 人体艺术 gogo| 成人高潮视频无遮挡免费网站| 国产私拍福利视频在线观看| 一本一本综合久久| 国产探花在线观看一区二区| 亚洲成人精品中文字幕电影| 亚洲精品影视一区二区三区av| 免费人成在线观看视频色| 一级a爱片免费观看的视频| 日韩高清综合在线| 久久久久久久久中文| 日日撸夜夜添| 中文字幕人妻熟人妻熟丝袜美| 日韩制服骚丝袜av| 乱码一卡2卡4卡精品| 婷婷六月久久综合丁香| 午夜久久久久精精品| 日韩欧美一区二区三区在线观看| 一本精品99久久精品77| av免费在线看不卡| 国产在线精品亚洲第一网站| 亚洲av成人av| 国产精品野战在线观看| 综合色av麻豆| 国产午夜精品论理片| 91久久精品国产一区二区三区| 天堂av国产一区二区熟女人妻| 亚洲自偷自拍三级| 中文字幕久久专区| 国产精品三级大全| 亚洲不卡免费看| 波多野结衣高清无吗| 非洲黑人性xxxx精品又粗又长| 日韩精品青青久久久久久| 51国产日韩欧美| 亚洲精品亚洲一区二区| 桃色一区二区三区在线观看| 欧美日韩在线观看h| 国产单亲对白刺激| 精品国产三级普通话版| 国产乱人偷精品视频| 99久久精品热视频| 老师上课跳d突然被开到最大视频| 香蕉av资源在线| 亚洲第一电影网av| 国产成年人精品一区二区| 精品久久久噜噜| 99在线人妻在线中文字幕| 青春草视频在线免费观看| 变态另类丝袜制服| 97超碰精品成人国产| 黄色视频,在线免费观看| 国产伦在线观看视频一区| 欧美日韩乱码在线| 看十八女毛片水多多多| 男插女下体视频免费在线播放| 久久精品91蜜桃| 久久国内精品自在自线图片| 日韩欧美 国产精品| 亚洲成人久久爱视频| 此物有八面人人有两片| 成人二区视频| 男人舔女人下体高潮全视频| 中文在线观看免费www的网站| 91麻豆精品激情在线观看国产| 观看免费一级毛片| 色哟哟·www| 午夜免费男女啪啪视频观看 | www日本黄色视频网| 国产91av在线免费观看| av免费在线看不卡| 美女被艹到高潮喷水动态| 丰满乱子伦码专区| 国产探花极品一区二区| 嫩草影院入口| 精品熟女少妇av免费看| 高清毛片免费观看视频网站| 国内精品美女久久久久久| 午夜爱爱视频在线播放| 2021天堂中文幕一二区在线观| 老司机午夜福利在线观看视频| 国产一区二区在线观看日韩| 一本精品99久久精品77| 亚洲精品粉嫩美女一区| 国产伦在线观看视频一区| 久久精品综合一区二区三区| 国产精品一区二区免费欧美| 人人妻,人人澡人人爽秒播| 久久国内精品自在自线图片| 亚洲性久久影院| 国产精品人妻久久久影院| 美女高潮的动态| 国产精品一区二区性色av| 精品免费久久久久久久清纯| 亚洲天堂国产精品一区在线| 亚洲成人中文字幕在线播放| 亚洲国产精品成人久久小说 | 日本-黄色视频高清免费观看| 国产精品久久久久久av不卡| 国产精品不卡视频一区二区| 久久精品综合一区二区三区| 国产单亲对白刺激| 亚洲欧美成人综合另类久久久 | 亚洲欧美精品综合久久99| 久久精品国产自在天天线| 国产久久久一区二区三区| 在线免费观看的www视频| 99精品在免费线老司机午夜| 麻豆av噜噜一区二区三区| 亚洲成人精品中文字幕电影| 国产精品永久免费网站| 深夜精品福利| 午夜日韩欧美国产| а√天堂www在线а√下载| 欧美最新免费一区二区三区| 1024手机看黄色片| 婷婷精品国产亚洲av在线| 性欧美人与动物交配| 搡女人真爽免费视频火全软件 | 黄片wwwwww| 级片在线观看| 麻豆国产97在线/欧美| 搡老熟女国产l中国老女人| 欧美在线一区亚洲| 欧美区成人在线视频| 别揉我奶头~嗯~啊~动态视频| av中文乱码字幕在线| 欧美极品一区二区三区四区| 国产精品,欧美在线| 成人一区二区视频在线观看| 国产精品精品国产色婷婷| 久久鲁丝午夜福利片| 高清毛片免费观看视频网站| 国产三级中文精品| 亚洲av不卡在线观看| av免费在线看不卡| 真人做人爱边吃奶动态| 最近中文字幕高清免费大全6| 在线观看免费视频日本深夜| 欧美xxxx性猛交bbbb| 亚洲精品成人久久久久久| 一本精品99久久精品77| 欧美一区二区国产精品久久精品| 国内精品一区二区在线观看| 国内精品宾馆在线| av中文乱码字幕在线| 欧美高清性xxxxhd video| 亚洲熟妇中文字幕五十中出| av在线亚洲专区| 美女内射精品一级片tv| 国产高潮美女av| 久久精品国产99精品国产亚洲性色| 丰满的人妻完整版| 真人做人爱边吃奶动态| 成人午夜高清在线视频| 成年女人看的毛片在线观看| 成年免费大片在线观看| www.色视频.com| av专区在线播放| а√天堂www在线а√下载| 在线天堂最新版资源| 在线免费观看不下载黄p国产| 一a级毛片在线观看| 天堂网av新在线| 舔av片在线| 亚洲av二区三区四区| 简卡轻食公司| 看非洲黑人一级黄片| 午夜精品一区二区三区免费看| 俄罗斯特黄特色一大片| 小说图片视频综合网站| 午夜激情福利司机影院| 搡女人真爽免费视频火全软件 | 久久久久久久久大av| 真人做人爱边吃奶动态| 卡戴珊不雅视频在线播放| 悠悠久久av| 成年女人毛片免费观看观看9| 国产精品国产三级国产av玫瑰| 午夜日韩欧美国产| 岛国在线免费视频观看| 三级经典国产精品| 久久久久国内视频| 欧美最新免费一区二区三区| 91在线精品国自产拍蜜月| 内射极品少妇av片p| 亚洲av第一区精品v没综合| 少妇熟女aⅴ在线视频| av视频在线观看入口| 国产精品国产高清国产av| 免费看美女性在线毛片视频| 亚洲成av人片在线播放无| a级毛片免费高清观看在线播放| 成人一区二区视频在线观看| 波多野结衣高清作品| 国产在视频线在精品| 久久婷婷人人爽人人干人人爱| 精品99又大又爽又粗少妇毛片| 一区福利在线观看| 高清毛片免费看| 日日撸夜夜添| 精品一区二区三区av网在线观看| 亚洲一级一片aⅴ在线观看| 日本一本二区三区精品| 免费高清视频大片| 亚洲欧美日韩高清在线视频| 男女之事视频高清在线观看| 国产精品一区二区性色av| 精品午夜福利视频在线观看一区| 99在线人妻在线中文字幕| 欧美激情久久久久久爽电影| av女优亚洲男人天堂| 最新中文字幕久久久久| 亚洲人成网站在线观看播放| 日韩欧美精品免费久久| 久久人人精品亚洲av| 亚洲在线自拍视频| 狠狠狠狠99中文字幕| 国产高清视频在线播放一区| 九九爱精品视频在线观看| 91久久精品国产一区二区三区| 亚洲成人av在线免费| 欧美色欧美亚洲另类二区| 国产精品国产三级国产av玫瑰| 特级一级黄色大片| 亚洲国产色片| 日本 av在线| 国产精品人妻久久久久久| 午夜免费激情av| 久久国产乱子免费精品| 成人欧美大片| 一区二区三区免费毛片| 午夜福利18| 成人综合一区亚洲| 欧美在线一区亚洲| 久久欧美精品欧美久久欧美| 久久久a久久爽久久v久久| 我要看日韩黄色一级片| 国产午夜福利久久久久久| 欧美成人免费av一区二区三区| 精品久久国产蜜桃| 国产高清不卡午夜福利| 免费看av在线观看网站| 亚洲内射少妇av| h日本视频在线播放| 国产日本99.免费观看| 国产成年人精品一区二区| 欧美激情久久久久久爽电影| 三级毛片av免费| 亚洲一级一片aⅴ在线观看| 国产精品乱码一区二三区的特点| 精品人妻熟女av久视频| 日日撸夜夜添| 伊人久久精品亚洲午夜| 亚洲欧美中文字幕日韩二区| 色综合亚洲欧美另类图片| 欧美人与善性xxx| 亚洲欧美中文字幕日韩二区| 免费av毛片视频| 内射极品少妇av片p| 乱系列少妇在线播放| 亚洲av.av天堂| 日韩,欧美,国产一区二区三区 | 亚洲五月天丁香| 国产午夜精品久久久久久一区二区三区 | 成人高潮视频无遮挡免费网站| 日韩 亚洲 欧美在线| 国产精品,欧美在线| 黄色配什么色好看| 韩国av在线不卡| 免费高清视频大片| 亚洲专区国产一区二区| 久久久国产成人精品二区| 色哟哟·www|