• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于規(guī)則關(guān)聯(lián)的安全數(shù)據(jù)采集策略生成

    2021-11-10 13:09:46陳佩李鳳華李子孚郭云川成林
    關(guān)鍵詞:安全事件適應(yīng)度關(guān)聯(lián)

    陳佩,李鳳華,李子孚,郭云川,成林

    基于規(guī)則關(guān)聯(lián)的安全數(shù)據(jù)采集策略生成

    陳佩1,2,李鳳華1,2,李子孚1,2,郭云川1,2,成林3

    (1. 中國(guó)科學(xué)院信息工程研究所,北京 100093;2. 中國(guó)科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院,北京 100049;3. 中國(guó)信息安全測(cè)評(píng)中心,北京 100085)

    有效的安全數(shù)據(jù)采集是精準(zhǔn)分析網(wǎng)絡(luò)威脅的基礎(chǔ),當(dāng)前常用的全采集、概率采集和自適應(yīng)采集等采集方法,未考慮采集數(shù)據(jù)的有效性和采集數(shù)據(jù)的關(guān)聯(lián)關(guān)系,消耗過(guò)多的資源,其采集收益和成本率低。針對(duì)該問(wèn)題,考慮影響采集收益和成本的因素(節(jié)點(diǎn)特征間關(guān)系、網(wǎng)絡(luò)拓?fù)潢P(guān)系、系統(tǒng)威脅狀況、節(jié)點(diǎn)資源情況、節(jié)點(diǎn)相似度等),設(shè)計(jì)了一種基于規(guī)則關(guān)聯(lián)的安全數(shù)據(jù)采集策略生成方法。該方法根據(jù)節(jié)點(diǎn)間的關(guān)聯(lián)規(guī)則和系統(tǒng)中所發(fā)生安全事件間的關(guān)聯(lián)規(guī)則,構(gòu)建備選采集項(xiàng),縮減數(shù)據(jù)采集范圍;綜合考慮采集收益和采集成本,設(shè)計(jì)最大化采集收益和最小化采集成本的多目標(biāo)優(yōu)化函數(shù),基于遺傳算法求解該優(yōu)化函數(shù)。與常用采集方法進(jìn)行比較和分析,實(shí)驗(yàn)結(jié)果表明所提方法12 h累計(jì)數(shù)據(jù)采集量較其他方案減少了1 000~3 000條數(shù)據(jù)記錄,數(shù)據(jù)有效性較其他數(shù)據(jù)采集方案提升約4%~10%,證明了所提方法的有效性。

    策略優(yōu)化生成;多目標(biāo)優(yōu)化;數(shù)據(jù)協(xié)同采集;多關(guān)聯(lián)規(guī)則挖掘

    1 引言

    安全數(shù)據(jù)指在入侵檢測(cè)分析過(guò)程中通常使用的數(shù)據(jù),該類數(shù)據(jù)可以協(xié)助發(fā)現(xiàn)系統(tǒng)遭受的威脅,安全數(shù)據(jù)可以是特定攻擊行為的特征、簽名或指紋[1]。有效采集安全數(shù)據(jù)是精準(zhǔn)分析網(wǎng)絡(luò)威脅的基礎(chǔ),數(shù)據(jù)采集的內(nèi)容決定了威脅分析的準(zhǔn)確性和時(shí)效性。復(fù)雜網(wǎng)絡(luò)環(huán)境(如大數(shù)據(jù)環(huán)境、云計(jì)算環(huán)境、天地一體化信息網(wǎng)絡(luò)環(huán)境)中大量異構(gòu)設(shè)備產(chǎn)生了不同類型的海量數(shù)據(jù),網(wǎng)絡(luò)拓?fù)鋸?fù)雜性、數(shù)據(jù)類型多樣性和數(shù)據(jù)量巨大性,導(dǎo)致當(dāng)前的全量無(wú)差異采集模式可能采集大量噪聲數(shù)據(jù)和冗余數(shù)據(jù)(如重復(fù)的日志文件數(shù)據(jù)、低信息量的主機(jī)狀態(tài)數(shù)據(jù)和海量網(wǎng)絡(luò)流量數(shù)據(jù)),這將消耗過(guò)多計(jì)算、存儲(chǔ)和帶寬資源,威脅分析難度大,數(shù)據(jù)采集的有效性低,不適應(yīng)復(fù)雜網(wǎng)絡(luò)環(huán)境。

    國(guó)內(nèi)外學(xué)者在采集策略方面展開(kāi)了大量研究[1-5],策略可以分為單節(jié)點(diǎn)數(shù)據(jù)采集策略和多節(jié)點(diǎn)協(xié)同采集策略。單節(jié)點(diǎn)數(shù)據(jù)采集指在單個(gè)節(jié)點(diǎn)上采集主機(jī)運(yùn)行數(shù)據(jù)、日志數(shù)據(jù)和流量數(shù)據(jù)等數(shù)據(jù),其采集策略關(guān)注于單個(gè)節(jié)點(diǎn)內(nèi)的采集內(nèi)容及其采集頻率[6-9],根據(jù)數(shù)據(jù)變化平滑度、數(shù)據(jù)相關(guān)性、預(yù)測(cè)數(shù)據(jù)變化幅度等因素,自適應(yīng)調(diào)整采集頻率。多節(jié)點(diǎn)協(xié)同采集指在多個(gè)節(jié)點(diǎn)上協(xié)同采集安全數(shù)據(jù)[7,10-14],其采集策略更多地關(guān)注網(wǎng)絡(luò)拓?fù)?、?shù)據(jù)傳輸能耗和安全事件間關(guān)聯(lián)等對(duì)數(shù)據(jù)采集的影響[11,15-18]。目前采集策略的相關(guān)工作只考慮采集策略的效率,未考慮采集數(shù)據(jù)的有效性。單節(jié)點(diǎn)采集策略忽略了節(jié)點(diǎn)間隱含的位置、時(shí)空等關(guān)聯(lián)關(guān)系對(duì)安全威脅的影響,導(dǎo)致部分隱含的威脅預(yù)警信息缺失,安全威脅分析的精確度降低。對(duì)于多節(jié)點(diǎn)協(xié)同采集策略,目前的研究大多考慮了節(jié)點(diǎn)拓?fù)浜蛿?shù)據(jù)傳輸能耗等影響因素,忽略了采集數(shù)據(jù)的物理含義,未考慮威脅嚴(yán)重狀況、數(shù)據(jù)有效性等影響因素。

    針對(duì)上述問(wèn)題,本文設(shè)計(jì)了基于規(guī)則關(guān)聯(lián)的安全數(shù)據(jù)采集策略生成方法,該方法考慮多個(gè)事件在時(shí)空屬性或其他事件屬性的隱含關(guān)聯(lián)性,設(shè)計(jì)了備選采集項(xiàng)的確定方法;通過(guò)分析采集成本和收益,構(gòu)建基于多目標(biāo)優(yōu)化的采集策略生成算法,支撐數(shù)據(jù)多節(jié)點(diǎn)協(xié)同采集。本文的貢獻(xiàn)如下。

    (1)數(shù)據(jù)采集預(yù)處理。本文設(shè)計(jì)了安全事件描述方法,將節(jié)點(diǎn)運(yùn)行狀態(tài)數(shù)據(jù)、流量數(shù)據(jù)和日志記錄等不同類型的原始數(shù)據(jù)進(jìn)行歸一化預(yù)處理,得到涵蓋事件時(shí)間、發(fā)生地點(diǎn)、事件類型和事件屬性等字段在內(nèi)的安全事件,實(shí)現(xiàn)對(duì)異構(gòu)節(jié)點(diǎn)不同類型原始數(shù)據(jù)的統(tǒng)一描述。

    (2)基于關(guān)聯(lián)規(guī)則的備選采集項(xiàng)確定。針對(duì)同一節(jié)點(diǎn)存在多個(gè)安全事件、多個(gè)節(jié)點(diǎn)間存在同一安全事件這兩種場(chǎng)景,基于關(guān)聯(lián)規(guī)則挖掘技術(shù),設(shè)計(jì)備選采集項(xiàng)確定算法。該算法依據(jù)實(shí)時(shí)安全狀況和生成的關(guān)聯(lián)規(guī)則,構(gòu)建與實(shí)時(shí)威脅緊密相關(guān)的備選采集項(xiàng),縮減了數(shù)據(jù)采集的范圍。

    (3)基于多目標(biāo)優(yōu)化的策略生成。綜合考慮節(jié)點(diǎn)間相似性、采集數(shù)據(jù)有效性和威脅嚴(yán)重程度對(duì)采集收益的影響,以及資源占用成本、數(shù)據(jù)隱私泄露成本和虛假預(yù)測(cè)風(fēng)險(xiǎn)等因素對(duì)采集成本的影響,設(shè)計(jì)最大化采集收益和最小化采集成本的多目標(biāo)優(yōu)化函數(shù);基于遺傳算法求解該優(yōu)化函數(shù),減少采集數(shù)據(jù)量,提升采集數(shù)據(jù)有效性。

    2 相關(guān)工作

    2.1 關(guān)聯(lián)規(guī)則挖掘

    關(guān)聯(lián)規(guī)則算法可以挖掘出數(shù)據(jù)集中各個(gè)變量之間隱含存在的關(guān)聯(lián)關(guān)系,該算法廣泛應(yīng)用于數(shù)據(jù)挖掘的各個(gè)場(chǎng)景中,可以有效挖掘事件記錄之間的關(guān)系,對(duì)網(wǎng)絡(luò)系統(tǒng)中的入侵行為進(jìn)行檢測(cè)和發(fā)現(xiàn)。根據(jù)關(guān)聯(lián)規(guī)則層次,將其劃分為單層關(guān)聯(lián)規(guī)則和多層關(guān)聯(lián)規(guī)則。在關(guān)聯(lián)規(guī)則層次中,根據(jù)不同場(chǎng)景下數(shù)據(jù)類型的區(qū)別,又劃分為靜態(tài)離散數(shù)據(jù)、動(dòng)態(tài)離散數(shù)據(jù)和動(dòng)態(tài)序列數(shù)據(jù)。

    在單層關(guān)聯(lián)規(guī)則方面,針對(duì)單層次的靜態(tài)離散數(shù)據(jù),文獻(xiàn)[12]對(duì)靜態(tài)離散數(shù)據(jù)集KDDCUP99提取關(guān)聯(lián)規(guī)則,然后根據(jù)關(guān)聯(lián)規(guī)則的支持度來(lái)確定合適的特征,最后采用混合人工神經(jīng)網(wǎng)絡(luò)和AdaBoost算法對(duì)數(shù)據(jù)集進(jìn)行異常檢測(cè);文獻(xiàn)[13]利用矩陣和位運(yùn)算,設(shè)計(jì)BV-Apriori關(guān)聯(lián)規(guī)則算法,結(jié)合模糊集技術(shù)生成高效的匹配規(guī)則庫(kù),降低了漏檢率和誤檢率。針對(duì)單層次的動(dòng)態(tài)序列數(shù)據(jù),文獻(xiàn)[14]設(shè)計(jì)了基于序列種群的遺傳關(guān)聯(lián)規(guī)則挖掘算法,其關(guān)聯(lián)分析過(guò)程可解決入侵模型的特征擬合,遺傳進(jìn)化過(guò)程可解決異常模式的增量式預(yù)測(cè)。文獻(xiàn)[19]對(duì)企業(yè)資源計(jì)劃管理系統(tǒng)中的日志文件進(jìn)行分析,基于關(guān)聯(lián)規(guī)則算法對(duì)商業(yè)行為序列進(jìn)行異常檢測(cè),以發(fā)現(xiàn)其中的欺詐行為。文獻(xiàn)[20]針對(duì)云計(jì)算平臺(tái)中的日志審計(jì)數(shù)據(jù)的安全分析需求,通過(guò)Apriori算法進(jìn)行輕量級(jí)的改進(jìn),以刪除弱關(guān)聯(lián)項(xiàng)和可調(diào)節(jié)最小置信度的策略,提高了算法效率。文獻(xiàn)[21]綜合多個(gè)衛(wèi)星傳感器數(shù)據(jù),挖掘多個(gè)時(shí)間序列模式中存在的關(guān)聯(lián)規(guī)則,通過(guò)主成分分析得出測(cè)度空間的結(jié)構(gòu)并識(shí)別異常,通過(guò)關(guān)聯(lián)規(guī)則的變化來(lái)確定異常的原因。

    在多層關(guān)聯(lián)規(guī)則方面,針對(duì)多層次的動(dòng)態(tài)離散數(shù)據(jù),文獻(xiàn)[15]基于分布式的關(guān)聯(lián)規(guī)則算法分層次地對(duì)異構(gòu)網(wǎng)絡(luò)下海量安全數(shù)據(jù)構(gòu)建關(guān)聯(lián)規(guī)則圖,首先在異構(gòu)網(wǎng)絡(luò)下各個(gè)子網(wǎng)中分別對(duì)告警數(shù)據(jù)構(gòu)建關(guān)聯(lián)規(guī)則,然后通過(guò)子網(wǎng)間的交互信息進(jìn)一步確定全局關(guān)聯(lián)規(guī)則。針對(duì)多層次的動(dòng)態(tài)序列數(shù)據(jù),文獻(xiàn)[22]根據(jù)運(yùn)行進(jìn)程動(dòng)態(tài)行為的關(guān)聯(lián)規(guī)則進(jìn)行異常檢測(cè),將各個(gè)進(jìn)程的執(zhí)行序列存儲(chǔ)在不同的關(guān)聯(lián)規(guī)則中以便修改,因此該方案適用于數(shù)據(jù)集動(dòng)態(tài)變動(dòng)的場(chǎng)景。

    雖然這些方案通過(guò)在各自的場(chǎng)景下挖掘不同異常行為之間的關(guān)聯(lián)規(guī)則來(lái)進(jìn)行異常檢測(cè),但缺乏對(duì)同一異常行為在不同場(chǎng)景間關(guān)聯(lián)規(guī)則的挖掘。因此,本文設(shè)計(jì)了同一節(jié)點(diǎn)內(nèi)發(fā)生多個(gè)不同安全事件和相同安全事件發(fā)生在不同節(jié)點(diǎn)間兩種關(guān)聯(lián)規(guī)則場(chǎng)景,通過(guò)同一事件在多節(jié)點(diǎn)的隱含關(guān)系推測(cè)對(duì)安全事件可能發(fā)生的節(jié)點(diǎn)位置,達(dá)到多節(jié)點(diǎn)協(xié)同采集數(shù)據(jù)的目的。

    2.2 采集策略生成

    安全數(shù)據(jù)的采集策略決定了節(jié)點(diǎn)如何進(jìn)行數(shù)據(jù)采集,包括節(jié)點(diǎn)是否采集某個(gè)采集項(xiàng)和以何頻率采集兩個(gè)部分。本文將采集策略生成分為單節(jié)點(diǎn)采集策略生成和多節(jié)點(diǎn)協(xié)同采集策略生成。

    針對(duì)單節(jié)點(diǎn)采集策略生成,文獻(xiàn)[6]提出了基于數(shù)據(jù)變化平滑度的時(shí)間間隔調(diào)整算法,該算法可得到較為精確的數(shù)據(jù)擬合曲線。文獻(xiàn)[7]利用單節(jié)點(diǎn)內(nèi)數(shù)據(jù)時(shí)間相關(guān)性,設(shè)計(jì)了基于二次指數(shù)平滑法的采樣頻率調(diào)整算法,降低了錯(cuò)誤丟失率和采樣率。文獻(xiàn)[8]采用“數(shù)據(jù)變化平滑時(shí)加法增大、數(shù)據(jù)變化劇烈時(shí)乘法減小”的思想,設(shè)計(jì)了基于旋轉(zhuǎn)門(mén)的采集間隔自適應(yīng)調(diào)整算法,該算法能大幅度降低數(shù)據(jù)采集量??傮w上這些方法簡(jiǎn)單高效,但數(shù)據(jù)變化平滑度與數(shù)據(jù)數(shù)值不具備明確物理含義,無(wú)法確保所采集的數(shù)據(jù)與系統(tǒng)安全狀況緊密相關(guān)。文獻(xiàn)[9]設(shè)計(jì)了一種上下文感知的自適應(yīng)數(shù)據(jù)采集方案,該方案采集手機(jī)主機(jī)數(shù)據(jù)、流量數(shù)據(jù)和LTE數(shù)據(jù)3種異構(gòu)數(shù)據(jù),并提出了基于預(yù)測(cè)數(shù)據(jù)變化幅度來(lái)調(diào)整采集頻率的自適應(yīng)數(shù)據(jù)采集算法。文獻(xiàn)[23]根據(jù)高層監(jiān)測(cè)需求和采集項(xiàng)貢獻(xiàn)度,將采集策略生成轉(zhuǎn)為采集的成本和收益平衡的非線性優(yōu)化問(wèn)題,使生成的采集策略與威脅監(jiān)測(cè)需求緊密相關(guān)。雖然這些方法提升了采集效率,但僅限于單節(jié)點(diǎn)采集策略生成,未考慮復(fù)雜網(wǎng)絡(luò)環(huán)境下多節(jié)點(diǎn)的協(xié)同采集。

    針對(duì)多節(jié)點(diǎn)協(xié)同采集策略生成,文獻(xiàn)[16]將壓縮感知和群集控制算法相結(jié)合來(lái)構(gòu)建標(biāo)量場(chǎng)圖,多個(gè)傳感器采用群集控制算法在傳感區(qū)域內(nèi)移動(dòng),并和鄰居傳感器交換采集的數(shù)據(jù),以較低的數(shù)據(jù)采樣率得到目標(biāo)數(shù)據(jù),降低了數(shù)據(jù)采集的功耗。為了提高傳感器網(wǎng)絡(luò)的數(shù)據(jù)采集效率,文獻(xiàn)[17]提出了一種基于能量平衡樹(shù)的移動(dòng)Sink采集策略,該策略逐層構(gòu)建數(shù)據(jù)采集樹(shù),Sink遍歷各個(gè)子樹(shù)根節(jié)點(diǎn)收集數(shù)據(jù),有效平衡了不同節(jié)點(diǎn)的工作量,提高了數(shù)據(jù)采集的實(shí)時(shí)性和數(shù)據(jù)上傳的效率。文獻(xiàn)[18]提出了一種負(fù)載均衡和滿足有效傳輸時(shí)延的多傳感器部署方案,該方案具有較低的部署成本和能量消耗,在滿足數(shù)據(jù)采集傳輸需求的前提下,延長(zhǎng)了網(wǎng)絡(luò)壽命。文獻(xiàn)[10]設(shè)計(jì)了基于數(shù)據(jù)聚合的主動(dòng)監(jiān)測(cè)機(jī)制,解決了能耗控制和數(shù)據(jù)采集主動(dòng)性不足的問(wèn)題。文獻(xiàn)[11]針對(duì)長(zhǎng)細(xì)移動(dòng)自組織網(wǎng)絡(luò)的帶寬占用和時(shí)延問(wèn)題,設(shè)計(jì)了一種由分布式分組機(jī)制和數(shù)據(jù)聚合方案組成的協(xié)作數(shù)據(jù)采集傳輸框架,該框架可以顯著減少數(shù)據(jù)傳輸量和網(wǎng)絡(luò)連接數(shù)。雖然這些方案考慮到網(wǎng)絡(luò)拓?fù)浜湍芰抗牡纫蛩兀ㄟ^(guò)調(diào)整采集節(jié)點(diǎn)和接收節(jié)點(diǎn)部署方案等方式來(lái)優(yōu)化采集策略,但這些方案忽略了采集數(shù)據(jù)間的關(guān)聯(lián),未考慮節(jié)點(diǎn)特征和數(shù)據(jù)特征對(duì)采集策略的影響。因此,本文通過(guò)多目標(biāo)優(yōu)化方法綜合考慮多項(xiàng)采集收益和成本的影響因素,構(gòu)建多節(jié)點(diǎn)協(xié)同采集策略。

    3 基于關(guān)聯(lián)規(guī)則的備選采集項(xiàng)確定

    在大規(guī)模網(wǎng)絡(luò)環(huán)境下,多個(gè)節(jié)點(diǎn)上的安全事件通常存在兩類關(guān)聯(lián):節(jié)點(diǎn)間的關(guān)聯(lián)和節(jié)點(diǎn)內(nèi)安全事件間的關(guān)聯(lián)。節(jié)點(diǎn)間關(guān)聯(lián)是指具有相同特征(如設(shè)備廠商、設(shè)備類型、部署的網(wǎng)絡(luò)域、運(yùn)行狀態(tài))的多個(gè)節(jié)點(diǎn)可能遭受相同類型的威脅;節(jié)點(diǎn)內(nèi)安全事件間的關(guān)聯(lián)是指同一節(jié)點(diǎn)內(nèi)部的多個(gè)安全事件可能伴隨出現(xiàn)。因此在采集數(shù)據(jù)時(shí),可以利用這兩類隱含關(guān)聯(lián)縮減采集的范圍?;谏鲜鲇^測(cè),本節(jié)將Apriori關(guān)聯(lián)規(guī)則生成算法應(yīng)用于這兩種場(chǎng)景,設(shè)計(jì)了備選采集項(xiàng)確定算法,該算法用于確定可能發(fā)現(xiàn)威脅的備選采集項(xiàng),為后續(xù)的采集策略生成提供輸入。

    3.1 關(guān)聯(lián)規(guī)則生成

    3.1.1 基本概念

    支持度具有對(duì)稱性,如式(3)所示。

    定義2 頻繁集:大于最小支持度的項(xiàng)集稱為頻繁集,項(xiàng)的個(gè)數(shù)為的頻繁集被稱為頻繁項(xiàng)集。

    定理1 如果一個(gè)項(xiàng)集是非頻繁集,那么其所有超集也是非頻繁集。

    Apriori算法基于定理1,通過(guò)候選項(xiàng)集的笛卡爾積運(yùn)算和最小支持度剪枝生成頻繁集,其中,候選1項(xiàng)集為所有僅包含單個(gè)項(xiàng)的項(xiàng)集,候選項(xiàng)集為頻繁?1項(xiàng)集的笛卡爾積運(yùn)算 結(jié)果。

    通過(guò)Apriori算法構(gòu)建關(guān)聯(lián)規(guī)則的具體流程如下。

    (1)搜索候選1項(xiàng)集及其對(duì)應(yīng)的支持度,剪枝去掉支持度小于最小支持度的1項(xiàng)集,得到頻繁1項(xiàng)集。

    (2)對(duì)頻繁項(xiàng)集進(jìn)行笛卡爾積計(jì)算,若滿足定理1則添加到候選+1項(xiàng)集中,剪枝去掉支持度小于最小支持度的項(xiàng)集,得到頻繁+1項(xiàng)集。迭代進(jìn)行步驟2,直到無(wú)法找到頻繁+1項(xiàng)集。

    (3)由頻繁項(xiàng)集生成關(guān)聯(lián)規(guī)則,若頻繁項(xiàng)集中某一項(xiàng)大于最小置信度,則將該項(xiàng)加入關(guān)聯(lián)規(guī)則中。

    Apriori關(guān)聯(lián)規(guī)則生成算法如下。

    算法1 Apriori關(guān)聯(lián)規(guī)則生成算法

    輸入 事務(wù)數(shù)據(jù)庫(kù),最小支持度閾值min_support

    輸出 頻繁集

    3.1.2 節(jié)點(diǎn)內(nèi)安全事件關(guān)聯(lián)規(guī)則生成

    一般地,單個(gè)節(jié)點(diǎn)遭受的威脅往往由若干連續(xù)發(fā)生的安全事件組成。例如,攻擊者采用漏洞CVE-2018-2628對(duì)應(yīng)用服務(wù)程序Oracle WebLogic Server執(zhí)行遠(yuǎn)程命令攻擊,發(fā)動(dòng)該攻擊前,首先通過(guò)Nmap進(jìn)行主機(jī)探測(cè),確認(rèn)Windows主機(jī)的存在,然后使用工具WeblogicScan掃描該主機(jī)上是否存在WebLogic服務(wù)和CVE-2018-2628漏洞,若存在則針對(duì)該漏洞構(gòu)建T3協(xié)議進(jìn)行握手,并發(fā)送payload進(jìn)行入侵,從而破壞活動(dòng)。從這個(gè)例子中可以看出,在單個(gè)節(jié)點(diǎn)上發(fā)生的多個(gè)安全事件間在時(shí)序上具有關(guān)聯(lián)性。為了利用這種隱含的關(guān)系,需要對(duì)發(fā)生在單節(jié)點(diǎn)上的多個(gè)安全事件生成關(guān)聯(lián)規(guī)則。

    在同一威脅導(dǎo)致的多個(gè)安全事件中,關(guān)聯(lián)性包括時(shí)間屬性上的關(guān)聯(lián)性和事件屬性上的關(guān)聯(lián)性兩類。例如,固定順序的攻擊步驟,導(dǎo)致了事件發(fā)生時(shí)間是固定順序的;攻擊由同一攻擊者發(fā)起,導(dǎo)致安全事件源IP屬性是相同的。因此本文主要依靠時(shí)間屬性和事件屬性來(lái)對(duì)在同一時(shí)間段內(nèi)發(fā)生的多個(gè)事件進(jìn)行關(guān)聯(lián),或者對(duì)含有相同源IP的多個(gè)事件進(jìn)行關(guān)聯(lián)。這種事件間的關(guān)聯(lián)通過(guò)Apriori算法,迭代進(jìn)行笛卡爾積運(yùn)算和最小支持度剪枝,生成事件間的關(guān)聯(lián)規(guī)則。

    圖1 安全事件關(guān)聯(lián)規(guī)則生成示意

    Figure 1 Schematic diagram of security event correlation rule generation

    算法2 基于時(shí)間屬性的節(jié)點(diǎn)內(nèi)關(guān)聯(lián)規(guī)則生成算法

    3) end if

    通過(guò)事件屬性也可以生成關(guān)聯(lián)規(guī)則。例如,定義具有相同源IP為關(guān)聯(lián)條件,如果事件具有源IP屬性,同時(shí)該源IP屬性值與頻繁項(xiàng)集中某個(gè)安全事件的源IP屬性值相同,則將事件添加到候選項(xiàng)集中,按照相同的方式迭代進(jìn)行笛卡爾積運(yùn)算和最小支持度剪枝,生成關(guān)聯(lián)規(guī)則。

    3.1.3 相同安全事件在節(jié)點(diǎn)間的關(guān)聯(lián)規(guī)則生成

    節(jié)點(diǎn)間的相似性導(dǎo)致多個(gè)節(jié)點(diǎn)可能同時(shí)遭到同一入侵者的攻擊,產(chǎn)生同樣的安全事件,因此可將Apriori算法應(yīng)用于發(fā)生相同安全事件的節(jié)點(diǎn),生成節(jié)點(diǎn)間關(guān)聯(lián)規(guī)則,從而利用多節(jié)點(diǎn)的關(guān)聯(lián)協(xié)助確定備選采集項(xiàng)。具體的應(yīng)用方式如下。

    算法3 節(jié)點(diǎn)間關(guān)聯(lián)規(guī)則生成算法

    3)end if

    3.2 備選采集項(xiàng)生成

    本節(jié)利用3.1節(jié)生成的單節(jié)點(diǎn)中安全事件間關(guān)聯(lián)規(guī)則和發(fā)生相同安全事件的節(jié)點(diǎn)間關(guān)聯(lián)規(guī)則,結(jié)合實(shí)時(shí)的安全狀態(tài),生成備選采集項(xiàng),達(dá)到縮減采集范圍的目的。該算法的核心思路為依次將兩種關(guān)聯(lián)規(guī)則中與實(shí)時(shí)事件有關(guān)聯(lián)的事件加入備選安全事件集,然后遞歸搜索是否有與新加入事件具有關(guān)聯(lián)的事件,通過(guò)最遠(yuǎn)規(guī)則距離的約束來(lái)終止遞歸,最終將備選安全事件集映射為備選采集項(xiàng)。

    圖2 節(jié)點(diǎn)關(guān)聯(lián)規(guī)則生成示意

    Figure 2 Schematic diagram of node association rule generation

    算法4 備選采集項(xiàng)構(gòu)建算法

    輸出 備選采集項(xiàng)集合AI

    算法3分為3個(gè)部分,首先將實(shí)時(shí)發(fā)生的安全事件加入備選安全事件集;然后在兩個(gè)關(guān)聯(lián)規(guī)則中迭代搜索備選安全事件集中相關(guān)聯(lián)的事件,將當(dāng)前規(guī)則距離和最遠(yuǎn)規(guī)則距離作為加入備選安全事件集的判斷條件,以決定是否將搜索到的事件加入備選安全事件集并記錄規(guī)則距離;最后,通過(guò)安全事件和采集項(xiàng)之間的映射關(guān)系,將備選安全事件集映射為備選采集項(xiàng)。算法的具體流程如下。

    (1)在備選安全事件集合中增加當(dāng)前已發(fā)生事件,新增備選安全事件項(xiàng)的記錄距離為0,該步驟對(duì)應(yīng)算法第1~3行。

    (2)設(shè)置當(dāng)前距離curDistance為0,該步驟對(duì)應(yīng)算法第5行。

    (5)對(duì)每個(gè)實(shí)時(shí)發(fā)生的事件均執(zhí)行步驟(2)、步驟(3)和步驟(4),得到最終的備選安全事件集合,該迭代過(guò)程對(duì)應(yīng)算法4~22行。

    (6)將備選安全事件集映射為備選采集,該步驟對(duì)應(yīng)算法23行。

    4 多目標(biāo)優(yōu)化函數(shù)

    在采集策略的生成過(guò)程中,采集行為可能帶來(lái)正向收益(如采集到入侵行為)和負(fù)面成本(如浪費(fèi)采集資源卻未監(jiān)測(cè)到任何入侵行為)。為了生成目標(biāo)函數(shù),需要評(píng)估采集收益和采集成本。

    4.1 采集收益計(jì)算

    影響采集收益的因素包括節(jié)點(diǎn)間相似性收益、采集數(shù)據(jù)有效性收益和威脅嚴(yán)重程度收益。在節(jié)點(diǎn)間相似性方面,具有相似特征的節(jié)點(diǎn)在同時(shí)段可能遭受相同類型的攻擊,故通過(guò)評(píng)估節(jié)點(diǎn)的相似性,可以識(shí)別威脅相關(guān)節(jié)點(diǎn),相似性越高則協(xié)同采集收益越大;在采集數(shù)據(jù)有效性方面,對(duì)威脅分析而言,所采集數(shù)據(jù)的有效性越高,準(zhǔn)確分析出威脅的可能性越高,相應(yīng)的采集收益也越大;在威脅嚴(yán)重程度方面,對(duì)于整個(gè)系統(tǒng)的采集策略,若威脅嚴(yán)重程度較高,威脅影響較多的節(jié)點(diǎn),則該威脅對(duì)應(yīng)采集項(xiàng)的采集收益越大。

    4.1.1 節(jié)點(diǎn)間相似性收益

    根據(jù)節(jié)點(diǎn)特征的變動(dòng)頻繁程度,可以將它們分為3類,分別是靜態(tài)特征、半動(dòng)態(tài)特征和動(dòng)態(tài)特征。靜態(tài)特征是指在節(jié)點(diǎn)的整個(gè)生命期內(nèi)不會(huì)變動(dòng)的特征,如節(jié)點(diǎn)型號(hào)、主板型號(hào)、內(nèi)存大小、CPU類型和GPU類型等。由于某些入侵者可能根據(jù)節(jié)點(diǎn)的硬件型號(hào)發(fā)動(dòng)特定攻擊,產(chǎn)生相同的入侵行為,故靜態(tài)特征相似的節(jié)點(diǎn)可能發(fā)生類似的安全事件。半動(dòng)態(tài)特征是指在節(jié)點(diǎn)的整個(gè)生命期內(nèi)不會(huì)頻繁變動(dòng)的特征,如節(jié)點(diǎn)的操作系統(tǒng)版本和節(jié)點(diǎn)所在的網(wǎng)段等。攻擊者可以針對(duì)半動(dòng)態(tài)特征實(shí)施入侵行為,如針對(duì)系統(tǒng)版本漏洞進(jìn)行攻擊,根據(jù)網(wǎng)絡(luò)拓?fù)洵h(huán)境將節(jié)點(diǎn)當(dāng)作跳板攻擊網(wǎng)絡(luò)中其他節(jié)點(diǎn)。動(dòng)態(tài)特征指在節(jié)點(diǎn)的整個(gè)生命期內(nèi)頻繁變動(dòng)的特征,如開(kāi)啟的端口號(hào)、用戶進(jìn)程的MD5值、命令執(zhí)行記錄等。動(dòng)態(tài)特征值的相同表明節(jié)點(diǎn)具有發(fā)生相同安全事件的風(fēng)險(xiǎn)。

    系統(tǒng)中全部的節(jié)點(diǎn)間相似性的收益如式(8)所示。

    4.1.2 采集數(shù)據(jù)有效性收益

    采集數(shù)據(jù)的有效性收益是指采集到的安全事件在有效監(jiān)測(cè)威脅方面的收益,本文采用互信息來(lái)衡量采集項(xiàng)的數(shù)據(jù)有效性。每類采集項(xiàng)至少生成一種安全事件,采集項(xiàng)和安全事件之間為一對(duì)多的關(guān)系,故通過(guò)各個(gè)安全事件數(shù)據(jù)有效性收益的疊加,可以得到單個(gè)節(jié)點(diǎn)上單個(gè)采集項(xiàng)的數(shù)據(jù)有效性收益系數(shù),如式(9)所示。

    按照采集參數(shù)采集給定節(jié)點(diǎn)的數(shù)據(jù),得到該節(jié)點(diǎn)的數(shù)據(jù)有效性收益;綜合各個(gè)節(jié)點(diǎn)的數(shù)據(jù)有效性收益,獲得整個(gè)系統(tǒng)的數(shù)據(jù)有效性收益,如式(10)所示。

    4.1.3 威脅的嚴(yán)重程度

    威脅的嚴(yán)重程度與發(fā)生安全事件的節(jié)點(diǎn)數(shù)量和安全事件發(fā)生的頻率相關(guān),系統(tǒng)的威脅嚴(yán)重程度收益可用式(11)來(lái)計(jì)算:

    4.2 采集成本計(jì)算

    影響采集成本的因素包括資源占用、數(shù)據(jù)隱私泄露、策略變動(dòng)和虛假預(yù)測(cè)風(fēng)險(xiǎn)。數(shù)據(jù)隱私泄露成本由采集項(xiàng)的敏感度和采集數(shù)據(jù)量決定,策略變動(dòng)成本是指之前采集到有效數(shù)據(jù)的采集項(xiàng)因策略變動(dòng)而停止采集導(dǎo)致的損失,虛假預(yù)測(cè)風(fēng)險(xiǎn)成本是由部署的采集項(xiàng)長(zhǎng)期未采集到安全事件導(dǎo)致的成本。

    4.2.1 資源占用成本

    資源占用成本指在數(shù)據(jù)采集過(guò)程中引發(fā)的計(jì)算資源、內(nèi)存資源、網(wǎng)絡(luò)帶寬和加密運(yùn)算等成本,這些成本與采集數(shù)據(jù)量和采集頻率均成正比,同時(shí)不同類型的采集項(xiàng)具有不同的采集數(shù)據(jù)量?;谏鲜鲑Y源占用,在單個(gè)節(jié)點(diǎn)上對(duì)采集項(xiàng)進(jìn)行采集所占用的資源成本如式(12)所示。

    數(shù)據(jù)采集在整個(gè)系統(tǒng)中所占用資源的總成本如式(14)所示。

    4.2.2 數(shù)據(jù)隱私泄露成本

    4.2.3 策略變動(dòng)成本

    策略變動(dòng)成本指因調(diào)整策略導(dǎo)致的采集收益減少的負(fù)面影響。策略變動(dòng)成本與采集項(xiàng)的效用相關(guān),若采集項(xiàng)持續(xù)未采集到安全事件,停止該采集項(xiàng)的成本較?。蝗舨杉?xiàng)頻繁采集到安全事件,則停止該采集項(xiàng)的成本急劇上升,具體如式(16)所示。

    4.2.4 虛假預(yù)測(cè)風(fēng)險(xiǎn)成本

    虛假預(yù)測(cè)風(fēng)險(xiǎn)成本指在某個(gè)節(jié)點(diǎn)上部署某個(gè)采集項(xiàng)卻長(zhǎng)期未采集到安全事件而產(chǎn)生的成本,該項(xiàng)成本與部署的頻次和未采集到任何安全事件的頻次相關(guān),具體如式(18)所示。

    4.3 目標(biāo)函數(shù)

    將采集策略中數(shù)據(jù)采集的收益量化為節(jié)點(diǎn)相似性、數(shù)據(jù)有效性和威脅嚴(yán)重程度收益,如式(18)所示;將數(shù)據(jù)采集的成本量化為資源占用成本、數(shù)據(jù)隱私泄露成本、策略變動(dòng)成本和虛假預(yù)測(cè)虛假成本等方面,如式(19)所示。最終,得到的目標(biāo)函數(shù)如式(20)所示。

    根據(jù)采集項(xiàng)采集方式的不同,采集策略中采集項(xiàng)的采集參數(shù)是不一樣的,采集方式分為3種:主動(dòng)探測(cè)采集、定時(shí)采集和抽樣采集。主動(dòng)探測(cè)采集僅能表示是否對(duì)該采集項(xiàng)進(jìn)行采集,采集參數(shù)取值為0或1;定時(shí)采集指按指定的頻率定時(shí)采集數(shù)據(jù),采集參數(shù)取兩次采集行為的間隔時(shí)間;抽樣采集是指按照指定的概率來(lái)抽樣地采集數(shù)據(jù),將1%~100%的抽樣概率映射為1~100的采集參數(shù)。其中,定時(shí)采集和抽樣采集的采集參數(shù)均需要確定取值的基準(zhǔn)范圍,避免在后續(xù)計(jì)算過(guò)程中出現(xiàn)過(guò)度頻繁采集、頻率或概率取值為負(fù)、概率大于1等異常情況。

    5 基于遺傳算法的多目標(biāo)優(yōu)化函數(shù)求解

    通過(guò)求解多目標(biāo)優(yōu)化函數(shù),獲得采集收益最大、采集成本最小時(shí)各節(jié)點(diǎn)的采集參數(shù),從而得到多節(jié)點(diǎn)的協(xié)同采集策略。如果協(xié)同采集策略決策變量多,導(dǎo)致優(yōu)化算法收斂較慢。為了解決此問(wèn)題,本文采用遺傳算法在多點(diǎn)并行搜索解,提升收斂速度,并避免局部最優(yōu)解。本文定義種群為采集策略解集,一個(gè)種群個(gè)體為一種采集策略解,采集策略解包括多個(gè)基因片段,每個(gè)基因表示單個(gè)節(jié)點(diǎn)對(duì)某個(gè)采集項(xiàng)的采集參數(shù)。

    遺傳算法包括初始化、適應(yīng)度計(jì)算、個(gè)體選擇和交叉變異等。在初始化階段,隨機(jī)生成初始種群的基因,即隨機(jī)地生成初始采集策略。在適應(yīng)度計(jì)算階段,對(duì)每個(gè)采集策略按照策略和基因之間的映射方案進(jìn)行解碼,將解碼后的值作為適應(yīng)度計(jì)算的參數(shù),計(jì)算該采集策略的適應(yīng)度;判斷當(dāng)前解的適應(yīng)度是否滿足要求,若滿足則停止,否則執(zhí)行個(gè)體選擇。在個(gè)體選擇階段,根據(jù)選擇算子,將適應(yīng)度較低的采集策略作為“劣汰”部分進(jìn)行剪枝,篩選適應(yīng)度較高的一些采集策略作為“優(yōu)勝”部分,遺傳它們的基因。在交叉變異階段,按照交叉算子對(duì)優(yōu)勝策略進(jìn)行兩兩匹配,根據(jù)交叉概率交換部分基因,組合為新的采集策略;然后,新的采集策略根據(jù)變異概率在基準(zhǔn)范圍內(nèi)對(duì)基因進(jìn)行隨機(jī)變異。

    算法過(guò)程中可能影響策略生成結(jié)果的因素包括:采集策略和基因間映射、采集策略的適應(yīng)性函數(shù)、優(yōu)勝策略的選擇算子、種群之間的交叉算子。下面對(duì)上述因素進(jìn)行具體介紹。

    (1)采集策略和基因間映射。將采集策略進(jìn)行編碼,映射為種群個(gè)體的基因。采集項(xiàng)的個(gè)數(shù)和節(jié)點(diǎn)的個(gè)數(shù)共同決定了基因的個(gè)數(shù),單個(gè)節(jié)點(diǎn)的一個(gè)采集項(xiàng)取值表示種群中個(gè)體一個(gè)基因的值。

    (2)采集策略的適應(yīng)性函數(shù)。對(duì)于采集項(xiàng)的收益和成本包括4.1節(jié)和4.2節(jié)提出的7種因素,通過(guò)計(jì)算每個(gè)節(jié)點(diǎn)收益和成本的差值,得到整個(gè)系統(tǒng)的成本和收益,最終構(gòu)建遺傳算法的適應(yīng)性函數(shù),如式(21)所示。

    (3)優(yōu)勝策略的選擇算子。常見(jiàn)的選擇算子包括隨機(jī)競(jìng)爭(zhēng)選擇算子、錦標(biāo)賽選擇算子和輪盤(pán)選擇算子等。本文采用輪盤(pán)選擇算子,根據(jù)個(gè)體的適應(yīng)度和群體適應(yīng)度的比值,決定該個(gè)體的選擇概率,達(dá)到優(yōu)先選擇高適應(yīng)度個(gè)體的效果。在概率計(jì)算方面,由于不同個(gè)體的適應(yīng)度差距不大,選擇概率差異性較小,所以需要對(duì)每個(gè)個(gè)體的適應(yīng)度值減去最小的適應(yīng)度,然后對(duì)個(gè)體的適應(yīng)度進(jìn)行常數(shù)系數(shù)的成倍放大,增大個(gè)體之間的差距,增加高適應(yīng)度個(gè)體的優(yōu)勢(shì),加快迭代求解的速度。

    (4)種群間的交叉算子。交叉算子采用隨機(jī)交叉方式,即隨機(jī)選擇兩個(gè)個(gè)體進(jìn)行基因交叉。單個(gè)節(jié)點(diǎn)的一個(gè)采集項(xiàng)取值用種群個(gè)體一個(gè)基因表示,只有在相同采集項(xiàng)對(duì)應(yīng)的基因間才可以按交叉概率進(jìn)行交叉操作。

    6 實(shí)驗(yàn)

    6.1 實(shí)驗(yàn)設(shè)置

    本文在OpenStack云計(jì)算環(huán)境中進(jìn)行模擬實(shí)驗(yàn),分別從策略的適應(yīng)度值、時(shí)間開(kāi)銷和采集效果3方面衡量算法。在實(shí)驗(yàn)中模擬了20個(gè)節(jié)點(diǎn),將節(jié)點(diǎn)分配到3個(gè)網(wǎng)絡(luò)域,對(duì)每個(gè)節(jié)點(diǎn)設(shè)置了靜態(tài)特征、半動(dòng)態(tài)特征和動(dòng)態(tài)特征3類,共計(jì)項(xiàng)特征。靜態(tài)特征包括節(jié)點(diǎn)型號(hào)、主板型號(hào)、內(nèi)存大小、CPU類型和GPU類型;半動(dòng)態(tài)特征包括系統(tǒng)版本和網(wǎng)段;動(dòng)態(tài)特征包括開(kāi)啟的端口號(hào)、進(jìn)程MD5值和執(zhí)行的命令記錄。根據(jù)這些設(shè)定,可以得到完整的20×的節(jié)點(diǎn)特征矩陣,根據(jù)該矩陣可以計(jì)算得到節(jié)點(diǎn)間的相似度。

    根據(jù)4.3節(jié)的討論,對(duì)每個(gè)節(jié)點(diǎn)設(shè)置了主動(dòng)探測(cè)、定時(shí)和抽樣3類采集方式;通過(guò)調(diào)研常用入侵檢測(cè)系統(tǒng)(Snort、OSSEC等)、安全數(shù)據(jù)集(KDD CUP99、ADFA IDS、MCFP等)和文獻(xiàn)[4-5]中采集數(shù)據(jù)的內(nèi)容和類型,本文選用具有代表性的12個(gè)采集項(xiàng)并設(shè)定其采集參數(shù)取值范圍,如表1所示。表2給出了表1的12個(gè)采集項(xiàng)可分析出的安全事件。

    6.2 實(shí)驗(yàn)結(jié)果

    6.2.1 適應(yīng)度演化過(guò)程實(shí)驗(yàn)

    針對(duì)3種不同規(guī)模的網(wǎng)絡(luò)環(huán)境和不同的攻擊狀態(tài),進(jìn)行采集策略生成實(shí)驗(yàn)。

    (1)從20個(gè)節(jié)點(diǎn)中選擇3個(gè)進(jìn)行實(shí)驗(yàn),在節(jié)點(diǎn)1和節(jié)點(diǎn)2上監(jiān)測(cè)到端口掃描事件,在節(jié)點(diǎn)1上監(jiān)測(cè)到SSH弱口令試探事件,在此攻擊狀態(tài)下通過(guò)遺傳算法生成3個(gè)節(jié)點(diǎn)的采集策略。不同規(guī)模節(jié)點(diǎn)下采集收益和成本適應(yīng)度值的趨勢(shì)如圖3所示。

    表1 采集項(xiàng)及采集參數(shù)

    表2 安全事件及事件特有屬性

    (2)從20個(gè)節(jié)點(diǎn)中選擇10個(gè)進(jìn)行實(shí)驗(yàn),在節(jié)點(diǎn)1和節(jié)點(diǎn)2上監(jiān)測(cè)到端口掃描事件,在節(jié)點(diǎn)1上監(jiān)測(cè)到SSH弱口令試探事件,在節(jié)點(diǎn)2上開(kāi)啟80端口,監(jiān)測(cè)到網(wǎng)站路徑掃描事件。在上述攻擊狀態(tài)下,通過(guò)遺傳算法生成10個(gè)節(jié)點(diǎn)的采集策略,各采集收益和成本在迭代過(guò)程中的適應(yīng)度值如圖3所示。

    (3)針對(duì)20個(gè)節(jié)點(diǎn)進(jìn)行實(shí)驗(yàn),在節(jié)點(diǎn)4開(kāi)啟80端口,部署Apache服務(wù)器,在節(jié)點(diǎn)1、節(jié)點(diǎn)2、節(jié)點(diǎn)3和節(jié)點(diǎn)4上監(jiān)測(cè)到端口掃描事件,在節(jié)點(diǎn)1上監(jiān)測(cè)到DDoS攻擊事件,在節(jié)點(diǎn)4監(jiān)測(cè)到網(wǎng)站路徑掃描事件。在上述攻擊狀態(tài)下,通過(guò)遺傳算法生成20個(gè)節(jié)點(diǎn)的采集策略,各采集收益和成本在迭代過(guò)程中的適應(yīng)度值如圖3所示。

    從圖3可知,不同網(wǎng)絡(luò)規(guī)模和攻擊狀態(tài)在采集策略生成過(guò)程中,本文所提出方案的各項(xiàng)采集收益、采集成本和采集策略的適應(yīng)度值波動(dòng)的總體趨勢(shì)較為相似,即各項(xiàng)采集收益逐步增加、采集成本逐漸減小、采集策略的適應(yīng)度值整體增加,其中采集策略的適應(yīng)度值為各項(xiàng)采集收益和采集成本的差值。除此之外,采集策略中的節(jié)點(diǎn)數(shù)目較少時(shí),各項(xiàng)采集收益和采集成本更易收斂。

    觀察圖4可知,在20個(gè)節(jié)點(diǎn)的環(huán)境下,各項(xiàng)采集收益/成本增加變化的幅度。在遺傳算法的迭代過(guò)程中,采集收益的增加主要源于節(jié)點(diǎn)相似收益和數(shù)據(jù)有效性收益,威脅嚴(yán)重程度收益增加不多;整體適應(yīng)度值增加主要是因?yàn)椴杉杀镜臏p少。該過(guò)程表明初始的隨機(jī)采集策略對(duì)各個(gè)采集項(xiàng)均有采集,且可能以較高的頻率或概率進(jìn)行采集,隨著迭代的進(jìn)行,威脅無(wú)關(guān)項(xiàng)的采集頻率/概率逐步減小。

    圖3 不同規(guī)模節(jié)點(diǎn)下采集收益和成本以及適應(yīng)度值的變化趨勢(shì)

    Figure 3 Collection benefits, cost and fitness under different scale nodes

    圖4 20個(gè)節(jié)點(diǎn)的采集策略適應(yīng)度值隨迭代次數(shù)的變化趨勢(shì)

    Figure 4 Fitness value of the collection policy of 20 nodes with number of iterations

    6.2.2 算法時(shí)間開(kāi)銷實(shí)驗(yàn)

    針對(duì)3個(gè)節(jié)點(diǎn)、10個(gè)節(jié)點(diǎn)和20個(gè)節(jié)點(diǎn),分別在設(shè)定種群數(shù)為10、100和1 000情況下的采集策略生成實(shí)驗(yàn),設(shè)置遺傳算法的迭代次數(shù)為10 000次,每類實(shí)驗(yàn)進(jìn)行5次后取平均時(shí)間,算法時(shí)間開(kāi)銷如表3所示。

    表3的結(jié)果表明,隨著節(jié)點(diǎn)數(shù)和種群數(shù)的增加,消耗的時(shí)間也會(huì)增加。造成該現(xiàn)象的原因是:節(jié)點(diǎn)數(shù)量影響了解空間的大小,節(jié)點(diǎn)數(shù)量越多,需要求解的采集策略參數(shù)越多,使得解空間越大和時(shí)間開(kāi)銷越大;種群個(gè)數(shù)影響了算法的收斂速度,種群越大,越容易出現(xiàn)高適應(yīng)度的個(gè)體,使得收斂速度越慢和時(shí)間開(kāi)銷越大。

    表3 不同參數(shù)的時(shí)間開(kāi)銷

    6.2.3 采集效果對(duì)比實(shí)驗(yàn)

    為衡量采集效果,本文主要考慮了采集的數(shù)據(jù)量和有效性兩方面。以全采集策略作為威脅驅(qū)動(dòng)協(xié)同采集策略的對(duì)比實(shí)驗(yàn),全采集策略需要采集各個(gè)節(jié)點(diǎn)的所有采集項(xiàng)。

    采集數(shù)據(jù)量指在固定時(shí)長(zhǎng)內(nèi)采集到的數(shù)據(jù)量。4類采集方案在采集數(shù)據(jù)量方面的對(duì)比如圖5所示。由圖5可知,在開(kāi)始采集數(shù)據(jù)后的第6個(gè)小時(shí),在部署網(wǎng)站的節(jié)點(diǎn)發(fā)生DDoS攻擊安全事件。圖5中的菱形實(shí)線代表全采集,各采集頻率取基準(zhǔn)范圍內(nèi)的最大頻率值。短橫虛線代表本文所提基于規(guī)則關(guān)聯(lián)的協(xié)同采集,該方案在開(kāi)始時(shí)隨機(jī)采集,之后隨著威脅狀態(tài)的變化對(duì)發(fā)生異常的采集項(xiàng)進(jìn)行針對(duì)性的采集策略調(diào)整,使采集的數(shù)據(jù)量呈緩慢減少趨勢(shì)。圓形實(shí)線表示概率采集,當(dāng)每次需要采集數(shù)據(jù)時(shí),通過(guò)概率判斷是否進(jìn)行該次采集。三角實(shí)線表示根據(jù)數(shù)據(jù)變化幅度自適應(yīng)采集,該方案根據(jù)數(shù)據(jù)變化幅度調(diào)整采集間隔,當(dāng)數(shù)據(jù)變化幅度大時(shí),降低采集間隔,反之增加采集間隔。綜合圖5的整體趨勢(shì),可知全采集方案采集的數(shù)據(jù)量最多,概率采集的數(shù)據(jù)量與全采集的數(shù)據(jù)量變化趨勢(shì)保持一致,根據(jù)數(shù)據(jù)變化幅度自適應(yīng)采集的數(shù)據(jù)量也較多,基于規(guī)則關(guān)聯(lián)的協(xié)同采集在4種采集方案中采集數(shù)據(jù)量最少。

    數(shù)據(jù)有效性指威脅相關(guān)采集數(shù)據(jù)量與總采集數(shù)據(jù)量的比例。根據(jù)采集數(shù)據(jù)與當(dāng)前的威脅狀況是否相關(guān),可以判斷出采集數(shù)據(jù)是否有效。數(shù)據(jù)有效性越高,越容易分析出系統(tǒng)當(dāng)前正在遭受的威脅。4類采集方案在數(shù)據(jù)有效性方面的對(duì)比實(shí)驗(yàn)如圖6所示。通過(guò)觀察可以發(fā)現(xiàn),概率采集和全采集的數(shù)據(jù)有效性基本相同;根據(jù)數(shù)據(jù)幅度變化自適應(yīng)采集的數(shù)據(jù)有效性,與概率采集和全采集相比有所提高;基于規(guī)則關(guān)聯(lián)的協(xié)同采集的數(shù)據(jù)有效性高于其他采集方案。

    圖5 不同采集方案的采集數(shù)據(jù)量

    Figure 5 The amount of collected data of different collection policies

    圖6 不同采集策略的數(shù)據(jù)有效性

    Figure 6 Data validity of different collection policies

    7 結(jié)束語(yǔ)

    在復(fù)雜環(huán)境場(chǎng)景下,對(duì)大量節(jié)點(diǎn)上的海量安全數(shù)據(jù)進(jìn)行采集可能存在過(guò)度采集和欠采集的問(wèn)題。為了保證數(shù)據(jù)采集行為的準(zhǔn)確高效,需要生成準(zhǔn)確高效的協(xié)同采集策略。本文針對(duì)該需求,根據(jù)威脅、節(jié)點(diǎn)資源情況和節(jié)點(diǎn)相似度等信息,設(shè)計(jì)了協(xié)同策略生成方案。該方案通過(guò)節(jié)點(diǎn)間關(guān)聯(lián)規(guī)則和安全事件間關(guān)聯(lián)規(guī)則,構(gòu)建備選采集項(xiàng)。然后基于多目標(biāo)優(yōu)化,生成數(shù)據(jù)協(xié)同采集策略,為安全威脅的精準(zhǔn)分析提供有效輸入。

    [1] LIN H Q, YAN Z, CHEN Y, et al. A survey on network security-related data collection technologies[C]//Proceedings of IEEE Access. 2018: 18345-18365.

    [2] XIE H M, YAN Z, YAO Z, et al. Data collection for security measurement in wireless sensor networks: a survey[J]. IEEE Internet of Things Journal, 2019, 6(2): 2205-2224.

    [3] ZHOU D H, YAN Z, FU Y L, et al. A survey on network data collection[J]. Journal of Network and Computer Applications, 2018, 116: 9-23.

    [4] JING X Y, YAN Z, PEDRYCZ W. Security data collection and data analytics in the Internet: a survey[J]. IEEE Communications Surveys & Tutorials, 2019, 21(1): 586-618.

    [5] LIU G, YAN Z, PEDRYCZ W. Data collection for attack detection and security measurement in mobile Ad Hoc networks: a survey[J]. Journal of Network and Computer Applications, 2018, 105: 105-122.

    [6] 龐希愚, 姜波, 仝春玲, 等. 一種自適應(yīng)數(shù)據(jù)變化規(guī)律的數(shù)據(jù)采集算法[J]. 計(jì)算機(jī)技術(shù)與發(fā)展, 2013, 23(2): 157-161.

    PANG X Y, JIANG B, TONG C L, et al. A kind of data acquisition algorithm of adaptive data change rule[J]. Computer Technology and Development, 2013, 23(2): 157-161.

    [7] 楊明霞, 王萬(wàn)良, 邵鵬飛. 基于時(shí)間序列的自適應(yīng)采樣機(jī)制策略研究[J]. 計(jì)算機(jī)科學(xué), 2015, 42(7): 162-164, 181.

    YANG M X, WANG W L, SHAO P F. Adaptive sampling algorithm based on TCP congestion strategy[J]. Computer Science, 2015, 42(7): 162-164, 181.

    [8] 曾文序, 庫(kù)少平, 鄭浩. 基于旋轉(zhuǎn)門(mén)算法的自適應(yīng)變頻數(shù)據(jù)采集策略[J]. 計(jì)算機(jī)應(yīng)用研究, 2018, 35(3): 769-772.

    ZENG W X, KU S P, ZHENG H. Strategy of self-adaptive frequency conversion data acquisition based on swing door trending algorithm[J]. Application Research of Computers, 2018, 35(3): 769-772.

    [9] LIN H Q, YAN Z, FU Y L. Adaptive security-related data collection with context awareness[J]. Journal of Network and Computer Applications, 2019, 126: 88-103.

    [10] 陳雷. 基于數(shù)據(jù)聚合的無(wú)線傳感器網(wǎng)絡(luò)主動(dòng)管理機(jī)制研究[D]. 長(zhǎng)沙: 湖南大學(xué), 2011.

    CHEN L. Research of initiative management scheme for sensor networks based on data aggregation[D]. Changsha: Hunan University, 2011.

    [11] CHEN L W, PENG Y H, TSENG Y C, et al. Cooperative sensing data collection and distribution with packet collision avoidance in mobile long-thin networks[J]. Sensors (Basel, Switzerland), 2018, 18(10): 3588.

    [12] SAFARA F, SOURI A, SERRIZADEH M. Improved intrusion detection method for communication networks using association rule mining and artificial neural networks[J]. IET Communications, 2020, 14(7): 1192-1197.

    [13] 章堅(jiān)武, 黃佳森, 周迪. 基于模糊理論與關(guān)聯(lián)規(guī)則的入侵檢測(cè)模型[J]. 電信科學(xué), 2019, 35(5): 59-69.

    ZHANG J W, HUANG J S, ZHOU D. Intrusion detection model based on fuzzy theory and association rules[J]. Telecommunications Science, 2019, 35(5): 59-69.

    [14] 王慧, 王宇, 邵翀. 網(wǎng)絡(luò)入侵檢測(cè)中群關(guān)聯(lián)模型的設(shè)計(jì)與分析[J].中國(guó)人民公安大學(xué)學(xué)報(bào)(自然科學(xué)版), 2018, 24(4): 74-77.

    WANG H, WANG Y, SHAO C. Design and analysis of group association model in network intrusion detection[J]. Journal of People's Public Security University of China (Science and Technology), 2018, 24(4): 74-77.

    [15] HU W, LI J, CHENG J, et al. Security monitoring of heterogeneous networks for big data based on distributed association algorithm[J]. Computer Communications, 2020, 152: 206-214.

    [16] NGUYEN M T. Distributed compressive and collaborative sensing data collection in mobile sensor networks[J]. Internet of Things, 2020, 9: 100156.

    [17] SHA C, SONG D D, YANG R, et al. A type of energy-balanced tree based data collection strategy for sensor network with mobile sink[J]. IEEE Access, 2019, 7: 85226-85240.

    [18] DOUDOU M, DJENOURI D, BARCELO-ORDINAS J M, et al. Cost effective node deployment strategy for energy-balanced and delay-efficient data collection in wireless sensor networks[C]// Proceedings of 2014 IEEE Wireless Communications and Networking Conference (WCNC). 2014: 2868-2873.

    [19] SARNO R, SINAGA F, SUNGKONO K R. Anomaly detection in business processes using process mining and fuzzy association rule learning[J]. Journal of Big Data, 2020, 7: 5.

    [20] 郭濤敏. 基于輕量化關(guān)聯(lián)規(guī)則挖掘的安全日志審計(jì)技術(shù)研究[J]. 現(xiàn)代電子技術(shù), 2019, 42(15): 83-85, 90.

    GUO T M. Research on security log audit technology based on lightweight association rules mining[J]. Modern Electronics Technique, 2019, 42(15): 83-85, 90.

    [21] PAN D W, LIU D T, ZHOU J, et al. Anomaly detection for satellite power subsystem with associated rules based on Kernel Principal Component Analysis[J]. Microelectronics Reliability, 2015, 55(9/10): 2082-2086.

    [22] B?HMER K, RINDERLE-MA S. Mining association rules for anomaly detection in dynamic process runtime behavior and explaining the root cause to users[J]. Information Systems, 2020, 90: 101438.

    [23] 李鳳華, 李子孚, 李凌, 等. 復(fù)雜網(wǎng)絡(luò)環(huán)境下面向威脅監(jiān)測(cè)的采集策略精化方法[J]. 通信學(xué)報(bào), 2019, 40(4): 49-61.

    LI F H, LI Z F, LI L, et al. Collection policy refining method for threat monitoring in complex network environment[J]. Journal on Communications, 2019, 40(4): 49-61.

    Using rule association to generate data collection policies

    CHEN Pei1,2, LI Fenghua1,2, LI Zifu1,2, GUO Yunchuan1,2, CHENG Lin3

    1. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China 2. School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China 3. China Information Technology Security Evaluation Center, Beijing 100085, China

    Collecting security-related data of devices effectively is the foundation of analyzing network threats accurately. Existing data collection methods (full data collection, sampling based data collection and adaptive data collection) do not consider the validity of the collected data and their correlation, which will consume too much collection resources, resulting in low collection yield. To address this problem, considering the factors (relationship between node attributes, network topology relationship, threat status, node resource and node similarity) that impact collection costs and benefits, a rule association method to generate collection policies was designed. In the method, two types of association rules (inter-node association rules and inter-event association rules) were adopted to generate candidate data collection items and reduced the scope of data collection. Then, a multi-objective program was designed to maximize collection benefits and minimize collection costs. Further, a genetic algorithm was designed to solve this program. Proposed method was compared with existing data collection methods. The experimental results show that the number of the collected data records of proposed method is 1 000~3 000 less than that of others per 12 hours, and the validity of the collected data of proposed method is about 4%~10% higher than others, which proves the effectiveness of the proposed method.

    policy optimization generation, multi-objective optimization, collaborative data collection, multiple class-association rules mining

    TP393

    A

    10.11959/j.issn.2096?109x.2021085

    2020?07?20;

    2021?02?01

    李子孚,lizifu@iie.ac.cn

    國(guó)家重點(diǎn)研發(fā)計(jì)劃(2016QY06X1203);國(guó)家自然科學(xué)基金(U1836203);山東省重點(diǎn)研發(fā)計(jì)劃(重大科技創(chuàng)新工程)項(xiàng)目(2019JZZY020127)

    The National Key R&D Program of China (2016QY06X1203),The National Natural Science Foundation of China (U1836203), Shandong Provincial Key Research and Development Program (2019JZZY020127)

    陳佩, 李鳳華, 李子孚, 等. 基于規(guī)則關(guān)聯(lián)的安全數(shù)據(jù)采集策略生成[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2021, 7(5): 132-148.

    CHEN P, LI F H, LI Z F, et al. Using rule association to generate data collection policies[J]. Chinese Journal of Network and Information Security, 2021, 7(5): 132-148.

    陳佩(1993?),男,河南南陽(yáng)人,中國(guó)科學(xué)院信息工程研究所碩士生,主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全。

    李鳳華(1966?),男,湖北浠水人,博士,中國(guó)科學(xué)院信息工程研究所研究員、博士生導(dǎo)師,主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、信息保護(hù)、隱私計(jì)算。

    李子孚(1992?),女,內(nèi)蒙古赤峰人,博士,中國(guó)科學(xué)院信息工程研究所工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、訪問(wèn)控制。

    郭云川(1977?),男,四川營(yíng)山人,博士,中國(guó)科學(xué)院信息工程研究所正高級(jí)工程師、博士生導(dǎo)師,主要研究方向?yàn)樵L問(wèn)控制、網(wǎng)絡(luò)安全。

    成林(1983?),男,博士,中國(guó)信息安全測(cè)評(píng)中心助理研究員,主要研究方向?yàn)槊艽a學(xué)、云計(jì)算、大數(shù)據(jù)。

    猜你喜歡
    安全事件適應(yīng)度關(guān)聯(lián)
    改進(jìn)的自適應(yīng)復(fù)制、交叉和突變遺傳算法
    “一帶一路”遞進(jìn),關(guān)聯(lián)民生更緊
    奇趣搭配
    智趣
    讀者(2017年5期)2017-02-15 18:04:18
    基于空調(diào)導(dǎo)風(fēng)板成型工藝的Kriging模型適應(yīng)度研究
    食品安全事件的價(jià)格沖擊效應(yīng)
    公交車(chē)公共安全事件調(diào)查
    2013卡巴斯基三大安全事件
    少數(shù)民族大學(xué)生文化適應(yīng)度調(diào)查
    英國(guó):公布食品安全事件年度報(bào)告
    一级av片app| 国产成人一区二区在线| 国产精品国产av在线观看| 夫妻性生交免费视频一级片| 亚洲欧美成人综合另类久久久| 在线观看美女被高潮喷水网站| 大香蕉97超碰在线| 国产欧美日韩一区二区三区在线 | 中国三级夫妇交换| 王馨瑶露胸无遮挡在线观看| 直男gayav资源| 亚洲性久久影院| 22中文网久久字幕| 久久久久久伊人网av| 欧美日韩视频高清一区二区三区二| 国产黄色视频一区二区在线观看| 亚洲丝袜综合中文字幕| 久久久亚洲精品成人影院| 大码成人一级视频| 国产亚洲av嫩草精品影院| 99久久人妻综合| 日本熟妇午夜| 视频区图区小说| 美女xxoo啪啪120秒动态图| 亚洲人与动物交配视频| 欧美变态另类bdsm刘玥| 日本与韩国留学比较| 综合色av麻豆| 天堂俺去俺来也www色官网| 午夜视频国产福利| 国产乱人视频| 听说在线观看完整版免费高清| 国产成人aa在线观看| 国产探花在线观看一区二区| 永久网站在线| 亚洲欧洲日产国产| 国产视频内射| 欧美激情久久久久久爽电影| 美女国产视频在线观看| 2021少妇久久久久久久久久久| 丝瓜视频免费看黄片| 国产毛片在线视频| 日产精品乱码卡一卡2卡三| 欧美少妇被猛烈插入视频| 水蜜桃什么品种好| 国产伦在线观看视频一区| 国产亚洲5aaaaa淫片| 日韩强制内射视频| 亚洲成人一二三区av| 中文资源天堂在线| 久久国产乱子免费精品| 久久6这里有精品| 美女视频免费永久观看网站| 成人鲁丝片一二三区免费| 美女被艹到高潮喷水动态| 国产免费福利视频在线观看| 97在线视频观看| 好男人在线观看高清免费视频| 亚洲人成网站高清观看| 亚洲精品乱码久久久久久按摩| 一级a做视频免费观看| 婷婷色综合www| 涩涩av久久男人的天堂| 成年女人看的毛片在线观看| 麻豆国产97在线/欧美| 在线免费十八禁| 夜夜爽夜夜爽视频| 久久久午夜欧美精品| 久久久精品94久久精品| 久久人人爽人人片av| 国产又色又爽无遮挡免| av国产免费在线观看| 精品少妇久久久久久888优播| 成人二区视频| 人人妻人人澡人人爽人人夜夜| 亚洲怡红院男人天堂| 欧美激情在线99| 在线亚洲精品国产二区图片欧美 | 国产成人免费无遮挡视频| 欧美极品一区二区三区四区| 九九在线视频观看精品| 国国产精品蜜臀av免费| 超碰97精品在线观看| 日韩国内少妇激情av| 欧美日韩精品成人综合77777| 日日摸夜夜添夜夜爱| 国产爽快片一区二区三区| 成人亚洲精品一区在线观看 | 啦啦啦在线观看免费高清www| 热99国产精品久久久久久7| 欧美97在线视频| 欧美精品一区二区大全| 欧美一区二区亚洲| 女人被狂操c到高潮| 国产欧美亚洲国产| 国产一区亚洲一区在线观看| 亚洲国产精品成人久久小说| av在线亚洲专区| 亚洲熟女精品中文字幕| videossex国产| 观看免费一级毛片| 午夜福利网站1000一区二区三区| 亚洲av电影在线观看一区二区三区 | 人人妻人人爽人人添夜夜欢视频 | 伊人久久精品亚洲午夜| 成人国产麻豆网| 午夜老司机福利剧场| 在线观看人妻少妇| 日韩av在线免费看完整版不卡| 舔av片在线| 又爽又黄无遮挡网站| 五月开心婷婷网| 99久久精品热视频| 国产美女午夜福利| 天天一区二区日本电影三级| 777米奇影视久久| 亚洲欧美一区二区三区国产| 亚洲无线观看免费| 一级毛片 在线播放| 亚洲最大成人手机在线| 国产伦在线观看视频一区| 精品国产乱码久久久久久小说| 18禁在线无遮挡免费观看视频| 老女人水多毛片| 国内精品美女久久久久久| 国国产精品蜜臀av免费| 欧美成人午夜免费资源| 日本-黄色视频高清免费观看| xxx大片免费视频| 久久精品夜色国产| 搞女人的毛片| 一本—道久久a久久精品蜜桃钙片 精品乱码久久久久久99久播 | 日韩国内少妇激情av| 久久99热这里只有精品18| 美女cb高潮喷水在线观看| 日韩视频在线欧美| 亚洲成人精品中文字幕电影| 男插女下体视频免费在线播放| 成人美女网站在线观看视频| 国产精品国产三级专区第一集| 久久精品久久精品一区二区三区| 国产日韩欧美在线精品| 日本午夜av视频| 97热精品久久久久久| 亚洲av成人精品一区久久| 亚洲精品乱码久久久久久按摩| 黄色怎么调成土黄色| 国产在线一区二区三区精| 肉色欧美久久久久久久蜜桃 | 不卡视频在线观看欧美| 亚洲av.av天堂| 简卡轻食公司| 色综合色国产| 亚洲欧洲日产国产| 直男gayav资源| 亚洲欧美一区二区三区黑人 | 777米奇影视久久| 国产视频内射| 美女脱内裤让男人舔精品视频| 大片电影免费在线观看免费| 欧美 日韩 精品 国产| 亚洲av二区三区四区| 亚洲国产精品专区欧美| 久久久久国产精品人妻一区二区| 三级男女做爰猛烈吃奶摸视频| 777米奇影视久久| 麻豆乱淫一区二区| 欧美激情国产日韩精品一区| 国产成年人精品一区二区| 少妇 在线观看| 国产成人精品福利久久| 国产国拍精品亚洲av在线观看| 麻豆精品久久久久久蜜桃| 五月开心婷婷网| 自拍欧美九色日韩亚洲蝌蚪91 | videossex国产| 一级毛片aaaaaa免费看小| 国产真实伦视频高清在线观看| 毛片一级片免费看久久久久| 男女那种视频在线观看| 黄片无遮挡物在线观看| 国语对白做爰xxxⅹ性视频网站| a级一级毛片免费在线观看| 亚洲欧美日韩无卡精品| 国产成人a∨麻豆精品| 国产成人a区在线观看| 亚洲精品自拍成人| 建设人人有责人人尽责人人享有的 | 精品久久久噜噜| 黄片无遮挡物在线观看| 美女cb高潮喷水在线观看| 国产精品不卡视频一区二区| 久久久久久伊人网av| 亚洲欧美日韩另类电影网站 | 亚洲欧美精品自产自拍| 69人妻影院| 欧美成人精品欧美一级黄| 亚洲欧美一区二区三区黑人 | 亚洲欧洲日产国产| 亚洲国产精品国产精品| 男女边摸边吃奶| 黄色怎么调成土黄色| 国产成人a区在线观看| 婷婷色麻豆天堂久久| av在线播放精品| tube8黄色片| 汤姆久久久久久久影院中文字幕| 春色校园在线视频观看| 日日摸夜夜添夜夜添av毛片| 亚洲精品色激情综合| 国产乱来视频区| 欧美最新免费一区二区三区| 我要看日韩黄色一级片| 欧美一级a爱片免费观看看| 国产亚洲5aaaaa淫片| videossex国产| 午夜免费男女啪啪视频观看| av免费在线看不卡| 女的被弄到高潮叫床怎么办| 国产黄色免费在线视频| 99久国产av精品国产电影| 尾随美女入室| 国国产精品蜜臀av免费| 观看免费一级毛片| 亚洲成人精品中文字幕电影| 一本一本综合久久| 成人亚洲欧美一区二区av| 精品久久国产蜜桃| 日本一本二区三区精品| 日韩不卡一区二区三区视频在线| 少妇 在线观看| 久久女婷五月综合色啪小说 | 丝袜喷水一区| 日韩伦理黄色片| 熟女人妻精品中文字幕| 欧美区成人在线视频| 狂野欧美激情性xxxx在线观看| 国产在线一区二区三区精| 亚洲一区二区三区欧美精品 | 婷婷色麻豆天堂久久| 美女内射精品一级片tv| 国产精品99久久久久久久久| xxx大片免费视频| 美女视频免费永久观看网站| 亚洲一区二区三区欧美精品 | 神马国产精品三级电影在线观看| 午夜福利视频1000在线观看| 99久久九九国产精品国产免费| 大片电影免费在线观看免费| 国产色爽女视频免费观看| 亚洲成人精品中文字幕电影| 久久精品国产亚洲网站| 久久久久久久久久人人人人人人| 菩萨蛮人人尽说江南好唐韦庄| 狂野欧美激情性bbbbbb| 午夜福利网站1000一区二区三区| 日韩欧美精品免费久久| 国产精品一区二区三区四区免费观看| 亚洲av电影在线观看一区二区三区 | 3wmmmm亚洲av在线观看| 国产精品一二三区在线看| 午夜福利在线观看免费完整高清在| 国产黄片视频在线免费观看| 在线播放无遮挡| 一本色道久久久久久精品综合| 特大巨黑吊av在线直播| 日韩欧美精品v在线| 一本一本综合久久| 欧美日韩综合久久久久久| 午夜亚洲福利在线播放| 天堂网av新在线| 日韩精品有码人妻一区| 韩国高清视频一区二区三区| 亚洲精品自拍成人| 婷婷色综合www| 国产精品一区二区三区四区免费观看| 日本av手机在线免费观看| 成年女人在线观看亚洲视频 | 99久久精品一区二区三区| 久久久成人免费电影| 青春草国产在线视频| 寂寞人妻少妇视频99o| 69av精品久久久久久| 可以在线观看毛片的网站| 精品国产三级普通话版| 如何舔出高潮| 日产精品乱码卡一卡2卡三| 六月丁香七月| 国产免费又黄又爽又色| 国产高潮美女av| 最新中文字幕久久久久| 国产av国产精品国产| 午夜精品国产一区二区电影 | 亚洲欧洲国产日韩| 99九九线精品视频在线观看视频| 一级av片app| 看免费成人av毛片| 精品人妻视频免费看| 校园人妻丝袜中文字幕| 精品久久久久久久末码| 日日啪夜夜爽| 色网站视频免费| 精品久久久久久电影网| 嫩草影院新地址| 啦啦啦啦在线视频资源| 亚洲丝袜综合中文字幕| 2021天堂中文幕一二区在线观| 精品少妇久久久久久888优播| 久久久久久久久久久丰满| 亚洲精品日韩在线中文字幕| 国产精品一区www在线观看| 三级男女做爰猛烈吃奶摸视频| 日本av手机在线免费观看| 精品久久久久久久人妻蜜臀av| 最近最新中文字幕免费大全7| 18禁动态无遮挡网站| 国产极品天堂在线| 国产片特级美女逼逼视频| av天堂中文字幕网| 国产成人a∨麻豆精品| 国产一区二区三区综合在线观看 | 久久久久性生活片| 亚洲一区二区三区欧美精品 | av国产免费在线观看| 免费在线观看成人毛片| 男女啪啪激烈高潮av片| 国产精品一区www在线观看| 国产免费福利视频在线观看| 久久国内精品自在自线图片| 少妇高潮的动态图| 久久97久久精品| 色5月婷婷丁香| av一本久久久久| 男人添女人高潮全过程视频| 国产成年人精品一区二区| 国产在线一区二区三区精| 中文精品一卡2卡3卡4更新| 欧美 日韩 精品 国产| 日韩欧美 国产精品| 天美传媒精品一区二区| 99久久人妻综合| 在线a可以看的网站| 在线观看三级黄色| 国产乱来视频区| 国产黄片美女视频| 国产男女内射视频| 极品教师在线视频| 国产免费福利视频在线观看| 中国国产av一级| 日日啪夜夜爽| 男女啪啪激烈高潮av片| 18禁在线播放成人免费| 久久精品国产a三级三级三级| 三级国产精品欧美在线观看| 偷拍熟女少妇极品色| 新久久久久国产一级毛片| 日韩av在线免费看完整版不卡| 少妇猛男粗大的猛烈进出视频 | 中国国产av一级| a级一级毛片免费在线观看| 久久久国产一区二区| 久久久久久久亚洲中文字幕| 五月玫瑰六月丁香| 国产成人a区在线观看| 99久久中文字幕三级久久日本| 日本三级黄在线观看| 美女主播在线视频| 久久精品国产亚洲av天美| 国产黄频视频在线观看| 午夜福利视频1000在线观看| 日韩成人伦理影院| 亚洲真实伦在线观看| 六月丁香七月| 黄色欧美视频在线观看| freevideosex欧美| 日韩欧美精品免费久久| 麻豆成人av视频| 亚洲欧美精品专区久久| 色播亚洲综合网| 国产在线男女| 日韩精品有码人妻一区| 黄色视频在线播放观看不卡| 九草在线视频观看| 欧美精品国产亚洲| 日本黄色片子视频| 三级经典国产精品| 久久久精品94久久精品| 欧美成人午夜免费资源| 久久精品人妻少妇| 一区二区三区免费毛片| 国产成人午夜福利电影在线观看| 日韩中字成人| 国产淫片久久久久久久久| 成人亚洲精品一区在线观看 | 国内揄拍国产精品人妻在线| 狂野欧美白嫩少妇大欣赏| 夫妻性生交免费视频一级片| 精品一区在线观看国产| 成年av动漫网址| 亚洲激情五月婷婷啪啪| 色视频在线一区二区三区| 中文在线观看免费www的网站| 汤姆久久久久久久影院中文字幕| 亚洲精品国产av成人精品| 亚洲无线观看免费| 我的女老师完整版在线观看| 国产精品国产三级国产专区5o| 国产av码专区亚洲av| 激情 狠狠 欧美| 久久精品国产鲁丝片午夜精品| 久久久亚洲精品成人影院| 97热精品久久久久久| 国产成人一区二区在线| 亚洲综合色惰| 青春草国产在线视频| 亚洲av欧美aⅴ国产| 久久精品久久精品一区二区三区| 国产淫语在线视频| 视频区图区小说| 人妻系列 视频| 国内精品美女久久久久久| 一级毛片我不卡| 人体艺术视频欧美日本| 在现免费观看毛片| 交换朋友夫妻互换小说| 免费在线观看成人毛片| 哪个播放器可以免费观看大片| 国产69精品久久久久777片| 免费观看av网站的网址| 午夜福利视频精品| 插逼视频在线观看| 能在线免费看毛片的网站| 熟女av电影| 美女xxoo啪啪120秒动态图| 一个人看视频在线观看www免费| 黄色怎么调成土黄色| 大香蕉久久网| 最后的刺客免费高清国语| 亚洲第一区二区三区不卡| 精品一区在线观看国产| 性色av一级| 欧美精品一区二区大全| 最近中文字幕高清免费大全6| 国产成人a区在线观看| 国产精品国产三级专区第一集| 国产淫片久久久久久久久| 一个人看的www免费观看视频| 深爱激情五月婷婷| 午夜精品一区二区三区免费看| 亚洲天堂av无毛| 久久久色成人| 亚洲经典国产精华液单| 搡老乐熟女国产| 免费少妇av软件| 搡女人真爽免费视频火全软件| 又爽又黄无遮挡网站| 日韩伦理黄色片| 免费黄频网站在线观看国产| 亚洲欧洲日产国产| 欧美+日韩+精品| 国产免费视频播放在线视频| 欧美日韩一区二区视频在线观看视频在线 | 18禁动态无遮挡网站| www.色视频.com| 亚洲天堂国产精品一区在线| 欧美少妇被猛烈插入视频| 久久久久久久久久成人| 亚洲高清免费不卡视频| 久久久久久九九精品二区国产| 99热6这里只有精品| 少妇被粗大猛烈的视频| 久久久a久久爽久久v久久| 精品久久久久久久久av| 91狼人影院| 少妇猛男粗大的猛烈进出视频 | 国产乱来视频区| 欧美日韩精品成人综合77777| 涩涩av久久男人的天堂| 国产亚洲午夜精品一区二区久久 | 亚洲婷婷狠狠爱综合网| 亚洲欧美一区二区三区黑人 | 五月天丁香电影| 午夜福利在线在线| 别揉我奶头 嗯啊视频| xxx大片免费视频| 日韩成人伦理影院| 大片免费播放器 马上看| 国内精品美女久久久久久| 久久99热6这里只有精品| 视频区图区小说| 99热这里只有是精品50| 国产精品爽爽va在线观看网站| 内射极品少妇av片p| 亚洲高清免费不卡视频| 中国国产av一级| 成年版毛片免费区| 简卡轻食公司| 深夜a级毛片| 亚洲精品乱码久久久v下载方式| 五月玫瑰六月丁香| 尾随美女入室| 美女内射精品一级片tv| 国产爱豆传媒在线观看| 中文字幕免费在线视频6| 国产一区亚洲一区在线观看| 91精品一卡2卡3卡4卡| 国精品久久久久久国模美| 夜夜看夜夜爽夜夜摸| 国产精品一区www在线观看| 亚洲欧美精品专区久久| av在线app专区| 国产一区二区亚洲精品在线观看| 成人高潮视频无遮挡免费网站| 久久久久九九精品影院| 2022亚洲国产成人精品| 国产久久久一区二区三区| 亚洲欧洲日产国产| 黄色一级大片看看| 国产精品一区www在线观看| 精品久久久久久久久亚洲| 国产亚洲av片在线观看秒播厂| 久久ye,这里只有精品| av福利片在线观看| 水蜜桃什么品种好| 精品国产乱码久久久久久小说| 大又大粗又爽又黄少妇毛片口| 欧美一区二区亚洲| 国产av码专区亚洲av| 99热6这里只有精品| 精品久久久久久电影网| 一级毛片aaaaaa免费看小| 最近中文字幕高清免费大全6| 人体艺术视频欧美日本| 少妇熟女欧美另类| 哪个播放器可以免费观看大片| av在线老鸭窝| 久久综合国产亚洲精品| 精品国产露脸久久av麻豆| 亚洲欧美日韩另类电影网站 | 国产一区二区亚洲精品在线观看| 国产毛片a区久久久久| 麻豆成人午夜福利视频| eeuss影院久久| 精品一区二区三卡| 一区二区三区四区激情视频| 亚洲av欧美aⅴ国产| 亚洲av不卡在线观看| 久久久国产一区二区| 亚洲欧美日韩东京热| 在线免费十八禁| 日韩中字成人| 精品视频人人做人人爽| 亚洲aⅴ乱码一区二区在线播放| 男的添女的下面高潮视频| 欧美 日韩 精品 国产| 九色成人免费人妻av| 亚洲最大成人中文| 一本一本综合久久| 欧美日韩精品成人综合77777| 日韩视频在线欧美| 国产免费视频播放在线视频| 国产爱豆传媒在线观看| 亚洲不卡免费看| 成人特级av手机在线观看| 在线a可以看的网站| 99热全是精品| 亚洲av免费在线观看| 人人妻人人爽人人添夜夜欢视频 | 国产精品国产三级国产av玫瑰| 日韩成人伦理影院| 99久久精品国产国产毛片| 日韩欧美精品v在线| 成人美女网站在线观看视频| 免费观看性生交大片5| 22中文网久久字幕| 直男gayav资源| 搡老乐熟女国产| 在线天堂最新版资源| 免费看av在线观看网站| 2018国产大陆天天弄谢| 看免费成人av毛片| 精品人妻熟女av久视频| 亚洲综合色惰| 国产伦在线观看视频一区| 亚洲av免费高清在线观看| 亚洲精品成人久久久久久| 夜夜爽夜夜爽视频| 一二三四中文在线观看免费高清| 欧美精品人与动牲交sv欧美| 99久久人妻综合| 青春草亚洲视频在线观看| 欧美三级亚洲精品| 欧美成人精品欧美一级黄| 麻豆国产97在线/欧美| 黄色日韩在线| 一级黄片播放器| 日韩大片免费观看网站| 人妻一区二区av| 一本一本综合久久| 最新中文字幕久久久久| 亚洲av中文字字幕乱码综合| 欧美成人一区二区免费高清观看| 国产一区二区三区av在线| 中文字幕久久专区| 国产av国产精品国产| 午夜日本视频在线| 丝袜喷水一区| 国产免费视频播放在线视频| 亚洲av中文av极速乱| 真实男女啪啪啪动态图| av在线播放精品| 亚洲精品久久久久久婷婷小说| 又黄又爽又刺激的免费视频.| 国产成人精品婷婷| 免费看不卡的av|