• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于規(guī)則關(guān)聯(lián)的安全數(shù)據(jù)采集策略生成

    2021-11-10 13:09:46陳佩李鳳華李子孚郭云川成林
    關(guān)鍵詞:安全事件適應(yīng)度關(guān)聯(lián)

    陳佩,李鳳華,李子孚,郭云川,成林

    基于規(guī)則關(guān)聯(lián)的安全數(shù)據(jù)采集策略生成

    陳佩1,2,李鳳華1,2,李子孚1,2,郭云川1,2,成林3

    (1. 中國(guó)科學(xué)院信息工程研究所,北京 100093;2. 中國(guó)科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院,北京 100049;3. 中國(guó)信息安全測(cè)評(píng)中心,北京 100085)

    有效的安全數(shù)據(jù)采集是精準(zhǔn)分析網(wǎng)絡(luò)威脅的基礎(chǔ),當(dāng)前常用的全采集、概率采集和自適應(yīng)采集等采集方法,未考慮采集數(shù)據(jù)的有效性和采集數(shù)據(jù)的關(guān)聯(lián)關(guān)系,消耗過(guò)多的資源,其采集收益和成本率低。針對(duì)該問(wèn)題,考慮影響采集收益和成本的因素(節(jié)點(diǎn)特征間關(guān)系、網(wǎng)絡(luò)拓?fù)潢P(guān)系、系統(tǒng)威脅狀況、節(jié)點(diǎn)資源情況、節(jié)點(diǎn)相似度等),設(shè)計(jì)了一種基于規(guī)則關(guān)聯(lián)的安全數(shù)據(jù)采集策略生成方法。該方法根據(jù)節(jié)點(diǎn)間的關(guān)聯(lián)規(guī)則和系統(tǒng)中所發(fā)生安全事件間的關(guān)聯(lián)規(guī)則,構(gòu)建備選采集項(xiàng),縮減數(shù)據(jù)采集范圍;綜合考慮采集收益和采集成本,設(shè)計(jì)最大化采集收益和最小化采集成本的多目標(biāo)優(yōu)化函數(shù),基于遺傳算法求解該優(yōu)化函數(shù)。與常用采集方法進(jìn)行比較和分析,實(shí)驗(yàn)結(jié)果表明所提方法12 h累計(jì)數(shù)據(jù)采集量較其他方案減少了1 000~3 000條數(shù)據(jù)記錄,數(shù)據(jù)有效性較其他數(shù)據(jù)采集方案提升約4%~10%,證明了所提方法的有效性。

    策略優(yōu)化生成;多目標(biāo)優(yōu)化;數(shù)據(jù)協(xié)同采集;多關(guān)聯(lián)規(guī)則挖掘

    1 引言

    安全數(shù)據(jù)指在入侵檢測(cè)分析過(guò)程中通常使用的數(shù)據(jù),該類數(shù)據(jù)可以協(xié)助發(fā)現(xiàn)系統(tǒng)遭受的威脅,安全數(shù)據(jù)可以是特定攻擊行為的特征、簽名或指紋[1]。有效采集安全數(shù)據(jù)是精準(zhǔn)分析網(wǎng)絡(luò)威脅的基礎(chǔ),數(shù)據(jù)采集的內(nèi)容決定了威脅分析的準(zhǔn)確性和時(shí)效性。復(fù)雜網(wǎng)絡(luò)環(huán)境(如大數(shù)據(jù)環(huán)境、云計(jì)算環(huán)境、天地一體化信息網(wǎng)絡(luò)環(huán)境)中大量異構(gòu)設(shè)備產(chǎn)生了不同類型的海量數(shù)據(jù),網(wǎng)絡(luò)拓?fù)鋸?fù)雜性、數(shù)據(jù)類型多樣性和數(shù)據(jù)量巨大性,導(dǎo)致當(dāng)前的全量無(wú)差異采集模式可能采集大量噪聲數(shù)據(jù)和冗余數(shù)據(jù)(如重復(fù)的日志文件數(shù)據(jù)、低信息量的主機(jī)狀態(tài)數(shù)據(jù)和海量網(wǎng)絡(luò)流量數(shù)據(jù)),這將消耗過(guò)多計(jì)算、存儲(chǔ)和帶寬資源,威脅分析難度大,數(shù)據(jù)采集的有效性低,不適應(yīng)復(fù)雜網(wǎng)絡(luò)環(huán)境。

    國(guó)內(nèi)外學(xué)者在采集策略方面展開(kāi)了大量研究[1-5],策略可以分為單節(jié)點(diǎn)數(shù)據(jù)采集策略和多節(jié)點(diǎn)協(xié)同采集策略。單節(jié)點(diǎn)數(shù)據(jù)采集指在單個(gè)節(jié)點(diǎn)上采集主機(jī)運(yùn)行數(shù)據(jù)、日志數(shù)據(jù)和流量數(shù)據(jù)等數(shù)據(jù),其采集策略關(guān)注于單個(gè)節(jié)點(diǎn)內(nèi)的采集內(nèi)容及其采集頻率[6-9],根據(jù)數(shù)據(jù)變化平滑度、數(shù)據(jù)相關(guān)性、預(yù)測(cè)數(shù)據(jù)變化幅度等因素,自適應(yīng)調(diào)整采集頻率。多節(jié)點(diǎn)協(xié)同采集指在多個(gè)節(jié)點(diǎn)上協(xié)同采集安全數(shù)據(jù)[7,10-14],其采集策略更多地關(guān)注網(wǎng)絡(luò)拓?fù)?、?shù)據(jù)傳輸能耗和安全事件間關(guān)聯(lián)等對(duì)數(shù)據(jù)采集的影響[11,15-18]。目前采集策略的相關(guān)工作只考慮采集策略的效率,未考慮采集數(shù)據(jù)的有效性。單節(jié)點(diǎn)采集策略忽略了節(jié)點(diǎn)間隱含的位置、時(shí)空等關(guān)聯(lián)關(guān)系對(duì)安全威脅的影響,導(dǎo)致部分隱含的威脅預(yù)警信息缺失,安全威脅分析的精確度降低。對(duì)于多節(jié)點(diǎn)協(xié)同采集策略,目前的研究大多考慮了節(jié)點(diǎn)拓?fù)浜蛿?shù)據(jù)傳輸能耗等影響因素,忽略了采集數(shù)據(jù)的物理含義,未考慮威脅嚴(yán)重狀況、數(shù)據(jù)有效性等影響因素。

    針對(duì)上述問(wèn)題,本文設(shè)計(jì)了基于規(guī)則關(guān)聯(lián)的安全數(shù)據(jù)采集策略生成方法,該方法考慮多個(gè)事件在時(shí)空屬性或其他事件屬性的隱含關(guān)聯(lián)性,設(shè)計(jì)了備選采集項(xiàng)的確定方法;通過(guò)分析采集成本和收益,構(gòu)建基于多目標(biāo)優(yōu)化的采集策略生成算法,支撐數(shù)據(jù)多節(jié)點(diǎn)協(xié)同采集。本文的貢獻(xiàn)如下。

    (1)數(shù)據(jù)采集預(yù)處理。本文設(shè)計(jì)了安全事件描述方法,將節(jié)點(diǎn)運(yùn)行狀態(tài)數(shù)據(jù)、流量數(shù)據(jù)和日志記錄等不同類型的原始數(shù)據(jù)進(jìn)行歸一化預(yù)處理,得到涵蓋事件時(shí)間、發(fā)生地點(diǎn)、事件類型和事件屬性等字段在內(nèi)的安全事件,實(shí)現(xiàn)對(duì)異構(gòu)節(jié)點(diǎn)不同類型原始數(shù)據(jù)的統(tǒng)一描述。

    (2)基于關(guān)聯(lián)規(guī)則的備選采集項(xiàng)確定。針對(duì)同一節(jié)點(diǎn)存在多個(gè)安全事件、多個(gè)節(jié)點(diǎn)間存在同一安全事件這兩種場(chǎng)景,基于關(guān)聯(lián)規(guī)則挖掘技術(shù),設(shè)計(jì)備選采集項(xiàng)確定算法。該算法依據(jù)實(shí)時(shí)安全狀況和生成的關(guān)聯(lián)規(guī)則,構(gòu)建與實(shí)時(shí)威脅緊密相關(guān)的備選采集項(xiàng),縮減了數(shù)據(jù)采集的范圍。

    (3)基于多目標(biāo)優(yōu)化的策略生成。綜合考慮節(jié)點(diǎn)間相似性、采集數(shù)據(jù)有效性和威脅嚴(yán)重程度對(duì)采集收益的影響,以及資源占用成本、數(shù)據(jù)隱私泄露成本和虛假預(yù)測(cè)風(fēng)險(xiǎn)等因素對(duì)采集成本的影響,設(shè)計(jì)最大化采集收益和最小化采集成本的多目標(biāo)優(yōu)化函數(shù);基于遺傳算法求解該優(yōu)化函數(shù),減少采集數(shù)據(jù)量,提升采集數(shù)據(jù)有效性。

    2 相關(guān)工作

    2.1 關(guān)聯(lián)規(guī)則挖掘

    關(guān)聯(lián)規(guī)則算法可以挖掘出數(shù)據(jù)集中各個(gè)變量之間隱含存在的關(guān)聯(lián)關(guān)系,該算法廣泛應(yīng)用于數(shù)據(jù)挖掘的各個(gè)場(chǎng)景中,可以有效挖掘事件記錄之間的關(guān)系,對(duì)網(wǎng)絡(luò)系統(tǒng)中的入侵行為進(jìn)行檢測(cè)和發(fā)現(xiàn)。根據(jù)關(guān)聯(lián)規(guī)則層次,將其劃分為單層關(guān)聯(lián)規(guī)則和多層關(guān)聯(lián)規(guī)則。在關(guān)聯(lián)規(guī)則層次中,根據(jù)不同場(chǎng)景下數(shù)據(jù)類型的區(qū)別,又劃分為靜態(tài)離散數(shù)據(jù)、動(dòng)態(tài)離散數(shù)據(jù)和動(dòng)態(tài)序列數(shù)據(jù)。

    在單層關(guān)聯(lián)規(guī)則方面,針對(duì)單層次的靜態(tài)離散數(shù)據(jù),文獻(xiàn)[12]對(duì)靜態(tài)離散數(shù)據(jù)集KDDCUP99提取關(guān)聯(lián)規(guī)則,然后根據(jù)關(guān)聯(lián)規(guī)則的支持度來(lái)確定合適的特征,最后采用混合人工神經(jīng)網(wǎng)絡(luò)和AdaBoost算法對(duì)數(shù)據(jù)集進(jìn)行異常檢測(cè);文獻(xiàn)[13]利用矩陣和位運(yùn)算,設(shè)計(jì)BV-Apriori關(guān)聯(lián)規(guī)則算法,結(jié)合模糊集技術(shù)生成高效的匹配規(guī)則庫(kù),降低了漏檢率和誤檢率。針對(duì)單層次的動(dòng)態(tài)序列數(shù)據(jù),文獻(xiàn)[14]設(shè)計(jì)了基于序列種群的遺傳關(guān)聯(lián)規(guī)則挖掘算法,其關(guān)聯(lián)分析過(guò)程可解決入侵模型的特征擬合,遺傳進(jìn)化過(guò)程可解決異常模式的增量式預(yù)測(cè)。文獻(xiàn)[19]對(duì)企業(yè)資源計(jì)劃管理系統(tǒng)中的日志文件進(jìn)行分析,基于關(guān)聯(lián)規(guī)則算法對(duì)商業(yè)行為序列進(jìn)行異常檢測(cè),以發(fā)現(xiàn)其中的欺詐行為。文獻(xiàn)[20]針對(duì)云計(jì)算平臺(tái)中的日志審計(jì)數(shù)據(jù)的安全分析需求,通過(guò)Apriori算法進(jìn)行輕量級(jí)的改進(jìn),以刪除弱關(guān)聯(lián)項(xiàng)和可調(diào)節(jié)最小置信度的策略,提高了算法效率。文獻(xiàn)[21]綜合多個(gè)衛(wèi)星傳感器數(shù)據(jù),挖掘多個(gè)時(shí)間序列模式中存在的關(guān)聯(lián)規(guī)則,通過(guò)主成分分析得出測(cè)度空間的結(jié)構(gòu)并識(shí)別異常,通過(guò)關(guān)聯(lián)規(guī)則的變化來(lái)確定異常的原因。

    在多層關(guān)聯(lián)規(guī)則方面,針對(duì)多層次的動(dòng)態(tài)離散數(shù)據(jù),文獻(xiàn)[15]基于分布式的關(guān)聯(lián)規(guī)則算法分層次地對(duì)異構(gòu)網(wǎng)絡(luò)下海量安全數(shù)據(jù)構(gòu)建關(guān)聯(lián)規(guī)則圖,首先在異構(gòu)網(wǎng)絡(luò)下各個(gè)子網(wǎng)中分別對(duì)告警數(shù)據(jù)構(gòu)建關(guān)聯(lián)規(guī)則,然后通過(guò)子網(wǎng)間的交互信息進(jìn)一步確定全局關(guān)聯(lián)規(guī)則。針對(duì)多層次的動(dòng)態(tài)序列數(shù)據(jù),文獻(xiàn)[22]根據(jù)運(yùn)行進(jìn)程動(dòng)態(tài)行為的關(guān)聯(lián)規(guī)則進(jìn)行異常檢測(cè),將各個(gè)進(jìn)程的執(zhí)行序列存儲(chǔ)在不同的關(guān)聯(lián)規(guī)則中以便修改,因此該方案適用于數(shù)據(jù)集動(dòng)態(tài)變動(dòng)的場(chǎng)景。

    雖然這些方案通過(guò)在各自的場(chǎng)景下挖掘不同異常行為之間的關(guān)聯(lián)規(guī)則來(lái)進(jìn)行異常檢測(cè),但缺乏對(duì)同一異常行為在不同場(chǎng)景間關(guān)聯(lián)規(guī)則的挖掘。因此,本文設(shè)計(jì)了同一節(jié)點(diǎn)內(nèi)發(fā)生多個(gè)不同安全事件和相同安全事件發(fā)生在不同節(jié)點(diǎn)間兩種關(guān)聯(lián)規(guī)則場(chǎng)景,通過(guò)同一事件在多節(jié)點(diǎn)的隱含關(guān)系推測(cè)對(duì)安全事件可能發(fā)生的節(jié)點(diǎn)位置,達(dá)到多節(jié)點(diǎn)協(xié)同采集數(shù)據(jù)的目的。

    2.2 采集策略生成

    安全數(shù)據(jù)的采集策略決定了節(jié)點(diǎn)如何進(jìn)行數(shù)據(jù)采集,包括節(jié)點(diǎn)是否采集某個(gè)采集項(xiàng)和以何頻率采集兩個(gè)部分。本文將采集策略生成分為單節(jié)點(diǎn)采集策略生成和多節(jié)點(diǎn)協(xié)同采集策略生成。

    針對(duì)單節(jié)點(diǎn)采集策略生成,文獻(xiàn)[6]提出了基于數(shù)據(jù)變化平滑度的時(shí)間間隔調(diào)整算法,該算法可得到較為精確的數(shù)據(jù)擬合曲線。文獻(xiàn)[7]利用單節(jié)點(diǎn)內(nèi)數(shù)據(jù)時(shí)間相關(guān)性,設(shè)計(jì)了基于二次指數(shù)平滑法的采樣頻率調(diào)整算法,降低了錯(cuò)誤丟失率和采樣率。文獻(xiàn)[8]采用“數(shù)據(jù)變化平滑時(shí)加法增大、數(shù)據(jù)變化劇烈時(shí)乘法減小”的思想,設(shè)計(jì)了基于旋轉(zhuǎn)門(mén)的采集間隔自適應(yīng)調(diào)整算法,該算法能大幅度降低數(shù)據(jù)采集量??傮w上這些方法簡(jiǎn)單高效,但數(shù)據(jù)變化平滑度與數(shù)據(jù)數(shù)值不具備明確物理含義,無(wú)法確保所采集的數(shù)據(jù)與系統(tǒng)安全狀況緊密相關(guān)。文獻(xiàn)[9]設(shè)計(jì)了一種上下文感知的自適應(yīng)數(shù)據(jù)采集方案,該方案采集手機(jī)主機(jī)數(shù)據(jù)、流量數(shù)據(jù)和LTE數(shù)據(jù)3種異構(gòu)數(shù)據(jù),并提出了基于預(yù)測(cè)數(shù)據(jù)變化幅度來(lái)調(diào)整采集頻率的自適應(yīng)數(shù)據(jù)采集算法。文獻(xiàn)[23]根據(jù)高層監(jiān)測(cè)需求和采集項(xiàng)貢獻(xiàn)度,將采集策略生成轉(zhuǎn)為采集的成本和收益平衡的非線性優(yōu)化問(wèn)題,使生成的采集策略與威脅監(jiān)測(cè)需求緊密相關(guān)。雖然這些方法提升了采集效率,但僅限于單節(jié)點(diǎn)采集策略生成,未考慮復(fù)雜網(wǎng)絡(luò)環(huán)境下多節(jié)點(diǎn)的協(xié)同采集。

    針對(duì)多節(jié)點(diǎn)協(xié)同采集策略生成,文獻(xiàn)[16]將壓縮感知和群集控制算法相結(jié)合來(lái)構(gòu)建標(biāo)量場(chǎng)圖,多個(gè)傳感器采用群集控制算法在傳感區(qū)域內(nèi)移動(dòng),并和鄰居傳感器交換采集的數(shù)據(jù),以較低的數(shù)據(jù)采樣率得到目標(biāo)數(shù)據(jù),降低了數(shù)據(jù)采集的功耗。為了提高傳感器網(wǎng)絡(luò)的數(shù)據(jù)采集效率,文獻(xiàn)[17]提出了一種基于能量平衡樹(shù)的移動(dòng)Sink采集策略,該策略逐層構(gòu)建數(shù)據(jù)采集樹(shù),Sink遍歷各個(gè)子樹(shù)根節(jié)點(diǎn)收集數(shù)據(jù),有效平衡了不同節(jié)點(diǎn)的工作量,提高了數(shù)據(jù)采集的實(shí)時(shí)性和數(shù)據(jù)上傳的效率。文獻(xiàn)[18]提出了一種負(fù)載均衡和滿足有效傳輸時(shí)延的多傳感器部署方案,該方案具有較低的部署成本和能量消耗,在滿足數(shù)據(jù)采集傳輸需求的前提下,延長(zhǎng)了網(wǎng)絡(luò)壽命。文獻(xiàn)[10]設(shè)計(jì)了基于數(shù)據(jù)聚合的主動(dòng)監(jiān)測(cè)機(jī)制,解決了能耗控制和數(shù)據(jù)采集主動(dòng)性不足的問(wèn)題。文獻(xiàn)[11]針對(duì)長(zhǎng)細(xì)移動(dòng)自組織網(wǎng)絡(luò)的帶寬占用和時(shí)延問(wèn)題,設(shè)計(jì)了一種由分布式分組機(jī)制和數(shù)據(jù)聚合方案組成的協(xié)作數(shù)據(jù)采集傳輸框架,該框架可以顯著減少數(shù)據(jù)傳輸量和網(wǎng)絡(luò)連接數(shù)。雖然這些方案考慮到網(wǎng)絡(luò)拓?fù)浜湍芰抗牡纫蛩兀ㄟ^(guò)調(diào)整采集節(jié)點(diǎn)和接收節(jié)點(diǎn)部署方案等方式來(lái)優(yōu)化采集策略,但這些方案忽略了采集數(shù)據(jù)間的關(guān)聯(lián),未考慮節(jié)點(diǎn)特征和數(shù)據(jù)特征對(duì)采集策略的影響。因此,本文通過(guò)多目標(biāo)優(yōu)化方法綜合考慮多項(xiàng)采集收益和成本的影響因素,構(gòu)建多節(jié)點(diǎn)協(xié)同采集策略。

    3 基于關(guān)聯(lián)規(guī)則的備選采集項(xiàng)確定

    在大規(guī)模網(wǎng)絡(luò)環(huán)境下,多個(gè)節(jié)點(diǎn)上的安全事件通常存在兩類關(guān)聯(lián):節(jié)點(diǎn)間的關(guān)聯(lián)和節(jié)點(diǎn)內(nèi)安全事件間的關(guān)聯(lián)。節(jié)點(diǎn)間關(guān)聯(lián)是指具有相同特征(如設(shè)備廠商、設(shè)備類型、部署的網(wǎng)絡(luò)域、運(yùn)行狀態(tài))的多個(gè)節(jié)點(diǎn)可能遭受相同類型的威脅;節(jié)點(diǎn)內(nèi)安全事件間的關(guān)聯(lián)是指同一節(jié)點(diǎn)內(nèi)部的多個(gè)安全事件可能伴隨出現(xiàn)。因此在采集數(shù)據(jù)時(shí),可以利用這兩類隱含關(guān)聯(lián)縮減采集的范圍?;谏鲜鲇^測(cè),本節(jié)將Apriori關(guān)聯(lián)規(guī)則生成算法應(yīng)用于這兩種場(chǎng)景,設(shè)計(jì)了備選采集項(xiàng)確定算法,該算法用于確定可能發(fā)現(xiàn)威脅的備選采集項(xiàng),為后續(xù)的采集策略生成提供輸入。

    3.1 關(guān)聯(lián)規(guī)則生成

    3.1.1 基本概念

    支持度具有對(duì)稱性,如式(3)所示。

    定義2 頻繁集:大于最小支持度的項(xiàng)集稱為頻繁集,項(xiàng)的個(gè)數(shù)為的頻繁集被稱為頻繁項(xiàng)集。

    定理1 如果一個(gè)項(xiàng)集是非頻繁集,那么其所有超集也是非頻繁集。

    Apriori算法基于定理1,通過(guò)候選項(xiàng)集的笛卡爾積運(yùn)算和最小支持度剪枝生成頻繁集,其中,候選1項(xiàng)集為所有僅包含單個(gè)項(xiàng)的項(xiàng)集,候選項(xiàng)集為頻繁?1項(xiàng)集的笛卡爾積運(yùn)算 結(jié)果。

    通過(guò)Apriori算法構(gòu)建關(guān)聯(lián)規(guī)則的具體流程如下。

    (1)搜索候選1項(xiàng)集及其對(duì)應(yīng)的支持度,剪枝去掉支持度小于最小支持度的1項(xiàng)集,得到頻繁1項(xiàng)集。

    (2)對(duì)頻繁項(xiàng)集進(jìn)行笛卡爾積計(jì)算,若滿足定理1則添加到候選+1項(xiàng)集中,剪枝去掉支持度小于最小支持度的項(xiàng)集,得到頻繁+1項(xiàng)集。迭代進(jìn)行步驟2,直到無(wú)法找到頻繁+1項(xiàng)集。

    (3)由頻繁項(xiàng)集生成關(guān)聯(lián)規(guī)則,若頻繁項(xiàng)集中某一項(xiàng)大于最小置信度,則將該項(xiàng)加入關(guān)聯(lián)規(guī)則中。

    Apriori關(guān)聯(lián)規(guī)則生成算法如下。

    算法1 Apriori關(guān)聯(lián)規(guī)則生成算法

    輸入 事務(wù)數(shù)據(jù)庫(kù),最小支持度閾值min_support

    輸出 頻繁集

    3.1.2 節(jié)點(diǎn)內(nèi)安全事件關(guān)聯(lián)規(guī)則生成

    一般地,單個(gè)節(jié)點(diǎn)遭受的威脅往往由若干連續(xù)發(fā)生的安全事件組成。例如,攻擊者采用漏洞CVE-2018-2628對(duì)應(yīng)用服務(wù)程序Oracle WebLogic Server執(zhí)行遠(yuǎn)程命令攻擊,發(fā)動(dòng)該攻擊前,首先通過(guò)Nmap進(jìn)行主機(jī)探測(cè),確認(rèn)Windows主機(jī)的存在,然后使用工具WeblogicScan掃描該主機(jī)上是否存在WebLogic服務(wù)和CVE-2018-2628漏洞,若存在則針對(duì)該漏洞構(gòu)建T3協(xié)議進(jìn)行握手,并發(fā)送payload進(jìn)行入侵,從而破壞活動(dòng)。從這個(gè)例子中可以看出,在單個(gè)節(jié)點(diǎn)上發(fā)生的多個(gè)安全事件間在時(shí)序上具有關(guān)聯(lián)性。為了利用這種隱含的關(guān)系,需要對(duì)發(fā)生在單節(jié)點(diǎn)上的多個(gè)安全事件生成關(guān)聯(lián)規(guī)則。

    在同一威脅導(dǎo)致的多個(gè)安全事件中,關(guān)聯(lián)性包括時(shí)間屬性上的關(guān)聯(lián)性和事件屬性上的關(guān)聯(lián)性兩類。例如,固定順序的攻擊步驟,導(dǎo)致了事件發(fā)生時(shí)間是固定順序的;攻擊由同一攻擊者發(fā)起,導(dǎo)致安全事件源IP屬性是相同的。因此本文主要依靠時(shí)間屬性和事件屬性來(lái)對(duì)在同一時(shí)間段內(nèi)發(fā)生的多個(gè)事件進(jìn)行關(guān)聯(lián),或者對(duì)含有相同源IP的多個(gè)事件進(jìn)行關(guān)聯(lián)。這種事件間的關(guān)聯(lián)通過(guò)Apriori算法,迭代進(jìn)行笛卡爾積運(yùn)算和最小支持度剪枝,生成事件間的關(guān)聯(lián)規(guī)則。

    圖1 安全事件關(guān)聯(lián)規(guī)則生成示意

    Figure 1 Schematic diagram of security event correlation rule generation

    算法2 基于時(shí)間屬性的節(jié)點(diǎn)內(nèi)關(guān)聯(lián)規(guī)則生成算法

    3) end if

    通過(guò)事件屬性也可以生成關(guān)聯(lián)規(guī)則。例如,定義具有相同源IP為關(guān)聯(lián)條件,如果事件具有源IP屬性,同時(shí)該源IP屬性值與頻繁項(xiàng)集中某個(gè)安全事件的源IP屬性值相同,則將事件添加到候選項(xiàng)集中,按照相同的方式迭代進(jìn)行笛卡爾積運(yùn)算和最小支持度剪枝,生成關(guān)聯(lián)規(guī)則。

    3.1.3 相同安全事件在節(jié)點(diǎn)間的關(guān)聯(lián)規(guī)則生成

    節(jié)點(diǎn)間的相似性導(dǎo)致多個(gè)節(jié)點(diǎn)可能同時(shí)遭到同一入侵者的攻擊,產(chǎn)生同樣的安全事件,因此可將Apriori算法應(yīng)用于發(fā)生相同安全事件的節(jié)點(diǎn),生成節(jié)點(diǎn)間關(guān)聯(lián)規(guī)則,從而利用多節(jié)點(diǎn)的關(guān)聯(lián)協(xié)助確定備選采集項(xiàng)。具體的應(yīng)用方式如下。

    算法3 節(jié)點(diǎn)間關(guān)聯(lián)規(guī)則生成算法

    3)end if

    3.2 備選采集項(xiàng)生成

    本節(jié)利用3.1節(jié)生成的單節(jié)點(diǎn)中安全事件間關(guān)聯(lián)規(guī)則和發(fā)生相同安全事件的節(jié)點(diǎn)間關(guān)聯(lián)規(guī)則,結(jié)合實(shí)時(shí)的安全狀態(tài),生成備選采集項(xiàng),達(dá)到縮減采集范圍的目的。該算法的核心思路為依次將兩種關(guān)聯(lián)規(guī)則中與實(shí)時(shí)事件有關(guān)聯(lián)的事件加入備選安全事件集,然后遞歸搜索是否有與新加入事件具有關(guān)聯(lián)的事件,通過(guò)最遠(yuǎn)規(guī)則距離的約束來(lái)終止遞歸,最終將備選安全事件集映射為備選采集項(xiàng)。

    圖2 節(jié)點(diǎn)關(guān)聯(lián)規(guī)則生成示意

    Figure 2 Schematic diagram of node association rule generation

    算法4 備選采集項(xiàng)構(gòu)建算法

    輸出 備選采集項(xiàng)集合AI

    算法3分為3個(gè)部分,首先將實(shí)時(shí)發(fā)生的安全事件加入備選安全事件集;然后在兩個(gè)關(guān)聯(lián)規(guī)則中迭代搜索備選安全事件集中相關(guān)聯(lián)的事件,將當(dāng)前規(guī)則距離和最遠(yuǎn)規(guī)則距離作為加入備選安全事件集的判斷條件,以決定是否將搜索到的事件加入備選安全事件集并記錄規(guī)則距離;最后,通過(guò)安全事件和采集項(xiàng)之間的映射關(guān)系,將備選安全事件集映射為備選采集項(xiàng)。算法的具體流程如下。

    (1)在備選安全事件集合中增加當(dāng)前已發(fā)生事件,新增備選安全事件項(xiàng)的記錄距離為0,該步驟對(duì)應(yīng)算法第1~3行。

    (2)設(shè)置當(dāng)前距離curDistance為0,該步驟對(duì)應(yīng)算法第5行。

    (5)對(duì)每個(gè)實(shí)時(shí)發(fā)生的事件均執(zhí)行步驟(2)、步驟(3)和步驟(4),得到最終的備選安全事件集合,該迭代過(guò)程對(duì)應(yīng)算法4~22行。

    (6)將備選安全事件集映射為備選采集,該步驟對(duì)應(yīng)算法23行。

    4 多目標(biāo)優(yōu)化函數(shù)

    在采集策略的生成過(guò)程中,采集行為可能帶來(lái)正向收益(如采集到入侵行為)和負(fù)面成本(如浪費(fèi)采集資源卻未監(jiān)測(cè)到任何入侵行為)。為了生成目標(biāo)函數(shù),需要評(píng)估采集收益和采集成本。

    4.1 采集收益計(jì)算

    影響采集收益的因素包括節(jié)點(diǎn)間相似性收益、采集數(shù)據(jù)有效性收益和威脅嚴(yán)重程度收益。在節(jié)點(diǎn)間相似性方面,具有相似特征的節(jié)點(diǎn)在同時(shí)段可能遭受相同類型的攻擊,故通過(guò)評(píng)估節(jié)點(diǎn)的相似性,可以識(shí)別威脅相關(guān)節(jié)點(diǎn),相似性越高則協(xié)同采集收益越大;在采集數(shù)據(jù)有效性方面,對(duì)威脅分析而言,所采集數(shù)據(jù)的有效性越高,準(zhǔn)確分析出威脅的可能性越高,相應(yīng)的采集收益也越大;在威脅嚴(yán)重程度方面,對(duì)于整個(gè)系統(tǒng)的采集策略,若威脅嚴(yán)重程度較高,威脅影響較多的節(jié)點(diǎn),則該威脅對(duì)應(yīng)采集項(xiàng)的采集收益越大。

    4.1.1 節(jié)點(diǎn)間相似性收益

    根據(jù)節(jié)點(diǎn)特征的變動(dòng)頻繁程度,可以將它們分為3類,分別是靜態(tài)特征、半動(dòng)態(tài)特征和動(dòng)態(tài)特征。靜態(tài)特征是指在節(jié)點(diǎn)的整個(gè)生命期內(nèi)不會(huì)變動(dòng)的特征,如節(jié)點(diǎn)型號(hào)、主板型號(hào)、內(nèi)存大小、CPU類型和GPU類型等。由于某些入侵者可能根據(jù)節(jié)點(diǎn)的硬件型號(hào)發(fā)動(dòng)特定攻擊,產(chǎn)生相同的入侵行為,故靜態(tài)特征相似的節(jié)點(diǎn)可能發(fā)生類似的安全事件。半動(dòng)態(tài)特征是指在節(jié)點(diǎn)的整個(gè)生命期內(nèi)不會(huì)頻繁變動(dòng)的特征,如節(jié)點(diǎn)的操作系統(tǒng)版本和節(jié)點(diǎn)所在的網(wǎng)段等。攻擊者可以針對(duì)半動(dòng)態(tài)特征實(shí)施入侵行為,如針對(duì)系統(tǒng)版本漏洞進(jìn)行攻擊,根據(jù)網(wǎng)絡(luò)拓?fù)洵h(huán)境將節(jié)點(diǎn)當(dāng)作跳板攻擊網(wǎng)絡(luò)中其他節(jié)點(diǎn)。動(dòng)態(tài)特征指在節(jié)點(diǎn)的整個(gè)生命期內(nèi)頻繁變動(dòng)的特征,如開(kāi)啟的端口號(hào)、用戶進(jìn)程的MD5值、命令執(zhí)行記錄等。動(dòng)態(tài)特征值的相同表明節(jié)點(diǎn)具有發(fā)生相同安全事件的風(fēng)險(xiǎn)。

    系統(tǒng)中全部的節(jié)點(diǎn)間相似性的收益如式(8)所示。

    4.1.2 采集數(shù)據(jù)有效性收益

    采集數(shù)據(jù)的有效性收益是指采集到的安全事件在有效監(jiān)測(cè)威脅方面的收益,本文采用互信息來(lái)衡量采集項(xiàng)的數(shù)據(jù)有效性。每類采集項(xiàng)至少生成一種安全事件,采集項(xiàng)和安全事件之間為一對(duì)多的關(guān)系,故通過(guò)各個(gè)安全事件數(shù)據(jù)有效性收益的疊加,可以得到單個(gè)節(jié)點(diǎn)上單個(gè)采集項(xiàng)的數(shù)據(jù)有效性收益系數(shù),如式(9)所示。

    按照采集參數(shù)采集給定節(jié)點(diǎn)的數(shù)據(jù),得到該節(jié)點(diǎn)的數(shù)據(jù)有效性收益;綜合各個(gè)節(jié)點(diǎn)的數(shù)據(jù)有效性收益,獲得整個(gè)系統(tǒng)的數(shù)據(jù)有效性收益,如式(10)所示。

    4.1.3 威脅的嚴(yán)重程度

    威脅的嚴(yán)重程度與發(fā)生安全事件的節(jié)點(diǎn)數(shù)量和安全事件發(fā)生的頻率相關(guān),系統(tǒng)的威脅嚴(yán)重程度收益可用式(11)來(lái)計(jì)算:

    4.2 采集成本計(jì)算

    影響采集成本的因素包括資源占用、數(shù)據(jù)隱私泄露、策略變動(dòng)和虛假預(yù)測(cè)風(fēng)險(xiǎn)。數(shù)據(jù)隱私泄露成本由采集項(xiàng)的敏感度和采集數(shù)據(jù)量決定,策略變動(dòng)成本是指之前采集到有效數(shù)據(jù)的采集項(xiàng)因策略變動(dòng)而停止采集導(dǎo)致的損失,虛假預(yù)測(cè)風(fēng)險(xiǎn)成本是由部署的采集項(xiàng)長(zhǎng)期未采集到安全事件導(dǎo)致的成本。

    4.2.1 資源占用成本

    資源占用成本指在數(shù)據(jù)采集過(guò)程中引發(fā)的計(jì)算資源、內(nèi)存資源、網(wǎng)絡(luò)帶寬和加密運(yùn)算等成本,這些成本與采集數(shù)據(jù)量和采集頻率均成正比,同時(shí)不同類型的采集項(xiàng)具有不同的采集數(shù)據(jù)量?;谏鲜鲑Y源占用,在單個(gè)節(jié)點(diǎn)上對(duì)采集項(xiàng)進(jìn)行采集所占用的資源成本如式(12)所示。

    數(shù)據(jù)采集在整個(gè)系統(tǒng)中所占用資源的總成本如式(14)所示。

    4.2.2 數(shù)據(jù)隱私泄露成本

    4.2.3 策略變動(dòng)成本

    策略變動(dòng)成本指因調(diào)整策略導(dǎo)致的采集收益減少的負(fù)面影響。策略變動(dòng)成本與采集項(xiàng)的效用相關(guān),若采集項(xiàng)持續(xù)未采集到安全事件,停止該采集項(xiàng)的成本較?。蝗舨杉?xiàng)頻繁采集到安全事件,則停止該采集項(xiàng)的成本急劇上升,具體如式(16)所示。

    4.2.4 虛假預(yù)測(cè)風(fēng)險(xiǎn)成本

    虛假預(yù)測(cè)風(fēng)險(xiǎn)成本指在某個(gè)節(jié)點(diǎn)上部署某個(gè)采集項(xiàng)卻長(zhǎng)期未采集到安全事件而產(chǎn)生的成本,該項(xiàng)成本與部署的頻次和未采集到任何安全事件的頻次相關(guān),具體如式(18)所示。

    4.3 目標(biāo)函數(shù)

    將采集策略中數(shù)據(jù)采集的收益量化為節(jié)點(diǎn)相似性、數(shù)據(jù)有效性和威脅嚴(yán)重程度收益,如式(18)所示;將數(shù)據(jù)采集的成本量化為資源占用成本、數(shù)據(jù)隱私泄露成本、策略變動(dòng)成本和虛假預(yù)測(cè)虛假成本等方面,如式(19)所示。最終,得到的目標(biāo)函數(shù)如式(20)所示。

    根據(jù)采集項(xiàng)采集方式的不同,采集策略中采集項(xiàng)的采集參數(shù)是不一樣的,采集方式分為3種:主動(dòng)探測(cè)采集、定時(shí)采集和抽樣采集。主動(dòng)探測(cè)采集僅能表示是否對(duì)該采集項(xiàng)進(jìn)行采集,采集參數(shù)取值為0或1;定時(shí)采集指按指定的頻率定時(shí)采集數(shù)據(jù),采集參數(shù)取兩次采集行為的間隔時(shí)間;抽樣采集是指按照指定的概率來(lái)抽樣地采集數(shù)據(jù),將1%~100%的抽樣概率映射為1~100的采集參數(shù)。其中,定時(shí)采集和抽樣采集的采集參數(shù)均需要確定取值的基準(zhǔn)范圍,避免在后續(xù)計(jì)算過(guò)程中出現(xiàn)過(guò)度頻繁采集、頻率或概率取值為負(fù)、概率大于1等異常情況。

    5 基于遺傳算法的多目標(biāo)優(yōu)化函數(shù)求解

    通過(guò)求解多目標(biāo)優(yōu)化函數(shù),獲得采集收益最大、采集成本最小時(shí)各節(jié)點(diǎn)的采集參數(shù),從而得到多節(jié)點(diǎn)的協(xié)同采集策略。如果協(xié)同采集策略決策變量多,導(dǎo)致優(yōu)化算法收斂較慢。為了解決此問(wèn)題,本文采用遺傳算法在多點(diǎn)并行搜索解,提升收斂速度,并避免局部最優(yōu)解。本文定義種群為采集策略解集,一個(gè)種群個(gè)體為一種采集策略解,采集策略解包括多個(gè)基因片段,每個(gè)基因表示單個(gè)節(jié)點(diǎn)對(duì)某個(gè)采集項(xiàng)的采集參數(shù)。

    遺傳算法包括初始化、適應(yīng)度計(jì)算、個(gè)體選擇和交叉變異等。在初始化階段,隨機(jī)生成初始種群的基因,即隨機(jī)地生成初始采集策略。在適應(yīng)度計(jì)算階段,對(duì)每個(gè)采集策略按照策略和基因之間的映射方案進(jìn)行解碼,將解碼后的值作為適應(yīng)度計(jì)算的參數(shù),計(jì)算該采集策略的適應(yīng)度;判斷當(dāng)前解的適應(yīng)度是否滿足要求,若滿足則停止,否則執(zhí)行個(gè)體選擇。在個(gè)體選擇階段,根據(jù)選擇算子,將適應(yīng)度較低的采集策略作為“劣汰”部分進(jìn)行剪枝,篩選適應(yīng)度較高的一些采集策略作為“優(yōu)勝”部分,遺傳它們的基因。在交叉變異階段,按照交叉算子對(duì)優(yōu)勝策略進(jìn)行兩兩匹配,根據(jù)交叉概率交換部分基因,組合為新的采集策略;然后,新的采集策略根據(jù)變異概率在基準(zhǔn)范圍內(nèi)對(duì)基因進(jìn)行隨機(jī)變異。

    算法過(guò)程中可能影響策略生成結(jié)果的因素包括:采集策略和基因間映射、采集策略的適應(yīng)性函數(shù)、優(yōu)勝策略的選擇算子、種群之間的交叉算子。下面對(duì)上述因素進(jìn)行具體介紹。

    (1)采集策略和基因間映射。將采集策略進(jìn)行編碼,映射為種群個(gè)體的基因。采集項(xiàng)的個(gè)數(shù)和節(jié)點(diǎn)的個(gè)數(shù)共同決定了基因的個(gè)數(shù),單個(gè)節(jié)點(diǎn)的一個(gè)采集項(xiàng)取值表示種群中個(gè)體一個(gè)基因的值。

    (2)采集策略的適應(yīng)性函數(shù)。對(duì)于采集項(xiàng)的收益和成本包括4.1節(jié)和4.2節(jié)提出的7種因素,通過(guò)計(jì)算每個(gè)節(jié)點(diǎn)收益和成本的差值,得到整個(gè)系統(tǒng)的成本和收益,最終構(gòu)建遺傳算法的適應(yīng)性函數(shù),如式(21)所示。

    (3)優(yōu)勝策略的選擇算子。常見(jiàn)的選擇算子包括隨機(jī)競(jìng)爭(zhēng)選擇算子、錦標(biāo)賽選擇算子和輪盤(pán)選擇算子等。本文采用輪盤(pán)選擇算子,根據(jù)個(gè)體的適應(yīng)度和群體適應(yīng)度的比值,決定該個(gè)體的選擇概率,達(dá)到優(yōu)先選擇高適應(yīng)度個(gè)體的效果。在概率計(jì)算方面,由于不同個(gè)體的適應(yīng)度差距不大,選擇概率差異性較小,所以需要對(duì)每個(gè)個(gè)體的適應(yīng)度值減去最小的適應(yīng)度,然后對(duì)個(gè)體的適應(yīng)度進(jìn)行常數(shù)系數(shù)的成倍放大,增大個(gè)體之間的差距,增加高適應(yīng)度個(gè)體的優(yōu)勢(shì),加快迭代求解的速度。

    (4)種群間的交叉算子。交叉算子采用隨機(jī)交叉方式,即隨機(jī)選擇兩個(gè)個(gè)體進(jìn)行基因交叉。單個(gè)節(jié)點(diǎn)的一個(gè)采集項(xiàng)取值用種群個(gè)體一個(gè)基因表示,只有在相同采集項(xiàng)對(duì)應(yīng)的基因間才可以按交叉概率進(jìn)行交叉操作。

    6 實(shí)驗(yàn)

    6.1 實(shí)驗(yàn)設(shè)置

    本文在OpenStack云計(jì)算環(huán)境中進(jìn)行模擬實(shí)驗(yàn),分別從策略的適應(yīng)度值、時(shí)間開(kāi)銷和采集效果3方面衡量算法。在實(shí)驗(yàn)中模擬了20個(gè)節(jié)點(diǎn),將節(jié)點(diǎn)分配到3個(gè)網(wǎng)絡(luò)域,對(duì)每個(gè)節(jié)點(diǎn)設(shè)置了靜態(tài)特征、半動(dòng)態(tài)特征和動(dòng)態(tài)特征3類,共計(jì)項(xiàng)特征。靜態(tài)特征包括節(jié)點(diǎn)型號(hào)、主板型號(hào)、內(nèi)存大小、CPU類型和GPU類型;半動(dòng)態(tài)特征包括系統(tǒng)版本和網(wǎng)段;動(dòng)態(tài)特征包括開(kāi)啟的端口號(hào)、進(jìn)程MD5值和執(zhí)行的命令記錄。根據(jù)這些設(shè)定,可以得到完整的20×的節(jié)點(diǎn)特征矩陣,根據(jù)該矩陣可以計(jì)算得到節(jié)點(diǎn)間的相似度。

    根據(jù)4.3節(jié)的討論,對(duì)每個(gè)節(jié)點(diǎn)設(shè)置了主動(dòng)探測(cè)、定時(shí)和抽樣3類采集方式;通過(guò)調(diào)研常用入侵檢測(cè)系統(tǒng)(Snort、OSSEC等)、安全數(shù)據(jù)集(KDD CUP99、ADFA IDS、MCFP等)和文獻(xiàn)[4-5]中采集數(shù)據(jù)的內(nèi)容和類型,本文選用具有代表性的12個(gè)采集項(xiàng)并設(shè)定其采集參數(shù)取值范圍,如表1所示。表2給出了表1的12個(gè)采集項(xiàng)可分析出的安全事件。

    6.2 實(shí)驗(yàn)結(jié)果

    6.2.1 適應(yīng)度演化過(guò)程實(shí)驗(yàn)

    針對(duì)3種不同規(guī)模的網(wǎng)絡(luò)環(huán)境和不同的攻擊狀態(tài),進(jìn)行采集策略生成實(shí)驗(yàn)。

    (1)從20個(gè)節(jié)點(diǎn)中選擇3個(gè)進(jìn)行實(shí)驗(yàn),在節(jié)點(diǎn)1和節(jié)點(diǎn)2上監(jiān)測(cè)到端口掃描事件,在節(jié)點(diǎn)1上監(jiān)測(cè)到SSH弱口令試探事件,在此攻擊狀態(tài)下通過(guò)遺傳算法生成3個(gè)節(jié)點(diǎn)的采集策略。不同規(guī)模節(jié)點(diǎn)下采集收益和成本適應(yīng)度值的趨勢(shì)如圖3所示。

    表1 采集項(xiàng)及采集參數(shù)

    表2 安全事件及事件特有屬性

    (2)從20個(gè)節(jié)點(diǎn)中選擇10個(gè)進(jìn)行實(shí)驗(yàn),在節(jié)點(diǎn)1和節(jié)點(diǎn)2上監(jiān)測(cè)到端口掃描事件,在節(jié)點(diǎn)1上監(jiān)測(cè)到SSH弱口令試探事件,在節(jié)點(diǎn)2上開(kāi)啟80端口,監(jiān)測(cè)到網(wǎng)站路徑掃描事件。在上述攻擊狀態(tài)下,通過(guò)遺傳算法生成10個(gè)節(jié)點(diǎn)的采集策略,各采集收益和成本在迭代過(guò)程中的適應(yīng)度值如圖3所示。

    (3)針對(duì)20個(gè)節(jié)點(diǎn)進(jìn)行實(shí)驗(yàn),在節(jié)點(diǎn)4開(kāi)啟80端口,部署Apache服務(wù)器,在節(jié)點(diǎn)1、節(jié)點(diǎn)2、節(jié)點(diǎn)3和節(jié)點(diǎn)4上監(jiān)測(cè)到端口掃描事件,在節(jié)點(diǎn)1上監(jiān)測(cè)到DDoS攻擊事件,在節(jié)點(diǎn)4監(jiān)測(cè)到網(wǎng)站路徑掃描事件。在上述攻擊狀態(tài)下,通過(guò)遺傳算法生成20個(gè)節(jié)點(diǎn)的采集策略,各采集收益和成本在迭代過(guò)程中的適應(yīng)度值如圖3所示。

    從圖3可知,不同網(wǎng)絡(luò)規(guī)模和攻擊狀態(tài)在采集策略生成過(guò)程中,本文所提出方案的各項(xiàng)采集收益、采集成本和采集策略的適應(yīng)度值波動(dòng)的總體趨勢(shì)較為相似,即各項(xiàng)采集收益逐步增加、采集成本逐漸減小、采集策略的適應(yīng)度值整體增加,其中采集策略的適應(yīng)度值為各項(xiàng)采集收益和采集成本的差值。除此之外,采集策略中的節(jié)點(diǎn)數(shù)目較少時(shí),各項(xiàng)采集收益和采集成本更易收斂。

    觀察圖4可知,在20個(gè)節(jié)點(diǎn)的環(huán)境下,各項(xiàng)采集收益/成本增加變化的幅度。在遺傳算法的迭代過(guò)程中,采集收益的增加主要源于節(jié)點(diǎn)相似收益和數(shù)據(jù)有效性收益,威脅嚴(yán)重程度收益增加不多;整體適應(yīng)度值增加主要是因?yàn)椴杉杀镜臏p少。該過(guò)程表明初始的隨機(jī)采集策略對(duì)各個(gè)采集項(xiàng)均有采集,且可能以較高的頻率或概率進(jìn)行采集,隨著迭代的進(jìn)行,威脅無(wú)關(guān)項(xiàng)的采集頻率/概率逐步減小。

    圖3 不同規(guī)模節(jié)點(diǎn)下采集收益和成本以及適應(yīng)度值的變化趨勢(shì)

    Figure 3 Collection benefits, cost and fitness under different scale nodes

    圖4 20個(gè)節(jié)點(diǎn)的采集策略適應(yīng)度值隨迭代次數(shù)的變化趨勢(shì)

    Figure 4 Fitness value of the collection policy of 20 nodes with number of iterations

    6.2.2 算法時(shí)間開(kāi)銷實(shí)驗(yàn)

    針對(duì)3個(gè)節(jié)點(diǎn)、10個(gè)節(jié)點(diǎn)和20個(gè)節(jié)點(diǎn),分別在設(shè)定種群數(shù)為10、100和1 000情況下的采集策略生成實(shí)驗(yàn),設(shè)置遺傳算法的迭代次數(shù)為10 000次,每類實(shí)驗(yàn)進(jìn)行5次后取平均時(shí)間,算法時(shí)間開(kāi)銷如表3所示。

    表3的結(jié)果表明,隨著節(jié)點(diǎn)數(shù)和種群數(shù)的增加,消耗的時(shí)間也會(huì)增加。造成該現(xiàn)象的原因是:節(jié)點(diǎn)數(shù)量影響了解空間的大小,節(jié)點(diǎn)數(shù)量越多,需要求解的采集策略參數(shù)越多,使得解空間越大和時(shí)間開(kāi)銷越大;種群個(gè)數(shù)影響了算法的收斂速度,種群越大,越容易出現(xiàn)高適應(yīng)度的個(gè)體,使得收斂速度越慢和時(shí)間開(kāi)銷越大。

    表3 不同參數(shù)的時(shí)間開(kāi)銷

    6.2.3 采集效果對(duì)比實(shí)驗(yàn)

    為衡量采集效果,本文主要考慮了采集的數(shù)據(jù)量和有效性兩方面。以全采集策略作為威脅驅(qū)動(dòng)協(xié)同采集策略的對(duì)比實(shí)驗(yàn),全采集策略需要采集各個(gè)節(jié)點(diǎn)的所有采集項(xiàng)。

    采集數(shù)據(jù)量指在固定時(shí)長(zhǎng)內(nèi)采集到的數(shù)據(jù)量。4類采集方案在采集數(shù)據(jù)量方面的對(duì)比如圖5所示。由圖5可知,在開(kāi)始采集數(shù)據(jù)后的第6個(gè)小時(shí),在部署網(wǎng)站的節(jié)點(diǎn)發(fā)生DDoS攻擊安全事件。圖5中的菱形實(shí)線代表全采集,各采集頻率取基準(zhǔn)范圍內(nèi)的最大頻率值。短橫虛線代表本文所提基于規(guī)則關(guān)聯(lián)的協(xié)同采集,該方案在開(kāi)始時(shí)隨機(jī)采集,之后隨著威脅狀態(tài)的變化對(duì)發(fā)生異常的采集項(xiàng)進(jìn)行針對(duì)性的采集策略調(diào)整,使采集的數(shù)據(jù)量呈緩慢減少趨勢(shì)。圓形實(shí)線表示概率采集,當(dāng)每次需要采集數(shù)據(jù)時(shí),通過(guò)概率判斷是否進(jìn)行該次采集。三角實(shí)線表示根據(jù)數(shù)據(jù)變化幅度自適應(yīng)采集,該方案根據(jù)數(shù)據(jù)變化幅度調(diào)整采集間隔,當(dāng)數(shù)據(jù)變化幅度大時(shí),降低采集間隔,反之增加采集間隔。綜合圖5的整體趨勢(shì),可知全采集方案采集的數(shù)據(jù)量最多,概率采集的數(shù)據(jù)量與全采集的數(shù)據(jù)量變化趨勢(shì)保持一致,根據(jù)數(shù)據(jù)變化幅度自適應(yīng)采集的數(shù)據(jù)量也較多,基于規(guī)則關(guān)聯(lián)的協(xié)同采集在4種采集方案中采集數(shù)據(jù)量最少。

    數(shù)據(jù)有效性指威脅相關(guān)采集數(shù)據(jù)量與總采集數(shù)據(jù)量的比例。根據(jù)采集數(shù)據(jù)與當(dāng)前的威脅狀況是否相關(guān),可以判斷出采集數(shù)據(jù)是否有效。數(shù)據(jù)有效性越高,越容易分析出系統(tǒng)當(dāng)前正在遭受的威脅。4類采集方案在數(shù)據(jù)有效性方面的對(duì)比實(shí)驗(yàn)如圖6所示。通過(guò)觀察可以發(fā)現(xiàn),概率采集和全采集的數(shù)據(jù)有效性基本相同;根據(jù)數(shù)據(jù)幅度變化自適應(yīng)采集的數(shù)據(jù)有效性,與概率采集和全采集相比有所提高;基于規(guī)則關(guān)聯(lián)的協(xié)同采集的數(shù)據(jù)有效性高于其他采集方案。

    圖5 不同采集方案的采集數(shù)據(jù)量

    Figure 5 The amount of collected data of different collection policies

    圖6 不同采集策略的數(shù)據(jù)有效性

    Figure 6 Data validity of different collection policies

    7 結(jié)束語(yǔ)

    在復(fù)雜環(huán)境場(chǎng)景下,對(duì)大量節(jié)點(diǎn)上的海量安全數(shù)據(jù)進(jìn)行采集可能存在過(guò)度采集和欠采集的問(wèn)題。為了保證數(shù)據(jù)采集行為的準(zhǔn)確高效,需要生成準(zhǔn)確高效的協(xié)同采集策略。本文針對(duì)該需求,根據(jù)威脅、節(jié)點(diǎn)資源情況和節(jié)點(diǎn)相似度等信息,設(shè)計(jì)了協(xié)同策略生成方案。該方案通過(guò)節(jié)點(diǎn)間關(guān)聯(lián)規(guī)則和安全事件間關(guān)聯(lián)規(guī)則,構(gòu)建備選采集項(xiàng)。然后基于多目標(biāo)優(yōu)化,生成數(shù)據(jù)協(xié)同采集策略,為安全威脅的精準(zhǔn)分析提供有效輸入。

    [1] LIN H Q, YAN Z, CHEN Y, et al. A survey on network security-related data collection technologies[C]//Proceedings of IEEE Access. 2018: 18345-18365.

    [2] XIE H M, YAN Z, YAO Z, et al. Data collection for security measurement in wireless sensor networks: a survey[J]. IEEE Internet of Things Journal, 2019, 6(2): 2205-2224.

    [3] ZHOU D H, YAN Z, FU Y L, et al. A survey on network data collection[J]. Journal of Network and Computer Applications, 2018, 116: 9-23.

    [4] JING X Y, YAN Z, PEDRYCZ W. Security data collection and data analytics in the Internet: a survey[J]. IEEE Communications Surveys & Tutorials, 2019, 21(1): 586-618.

    [5] LIU G, YAN Z, PEDRYCZ W. Data collection for attack detection and security measurement in mobile Ad Hoc networks: a survey[J]. Journal of Network and Computer Applications, 2018, 105: 105-122.

    [6] 龐希愚, 姜波, 仝春玲, 等. 一種自適應(yīng)數(shù)據(jù)變化規(guī)律的數(shù)據(jù)采集算法[J]. 計(jì)算機(jī)技術(shù)與發(fā)展, 2013, 23(2): 157-161.

    PANG X Y, JIANG B, TONG C L, et al. A kind of data acquisition algorithm of adaptive data change rule[J]. Computer Technology and Development, 2013, 23(2): 157-161.

    [7] 楊明霞, 王萬(wàn)良, 邵鵬飛. 基于時(shí)間序列的自適應(yīng)采樣機(jī)制策略研究[J]. 計(jì)算機(jī)科學(xué), 2015, 42(7): 162-164, 181.

    YANG M X, WANG W L, SHAO P F. Adaptive sampling algorithm based on TCP congestion strategy[J]. Computer Science, 2015, 42(7): 162-164, 181.

    [8] 曾文序, 庫(kù)少平, 鄭浩. 基于旋轉(zhuǎn)門(mén)算法的自適應(yīng)變頻數(shù)據(jù)采集策略[J]. 計(jì)算機(jī)應(yīng)用研究, 2018, 35(3): 769-772.

    ZENG W X, KU S P, ZHENG H. Strategy of self-adaptive frequency conversion data acquisition based on swing door trending algorithm[J]. Application Research of Computers, 2018, 35(3): 769-772.

    [9] LIN H Q, YAN Z, FU Y L. Adaptive security-related data collection with context awareness[J]. Journal of Network and Computer Applications, 2019, 126: 88-103.

    [10] 陳雷. 基于數(shù)據(jù)聚合的無(wú)線傳感器網(wǎng)絡(luò)主動(dòng)管理機(jī)制研究[D]. 長(zhǎng)沙: 湖南大學(xué), 2011.

    CHEN L. Research of initiative management scheme for sensor networks based on data aggregation[D]. Changsha: Hunan University, 2011.

    [11] CHEN L W, PENG Y H, TSENG Y C, et al. Cooperative sensing data collection and distribution with packet collision avoidance in mobile long-thin networks[J]. Sensors (Basel, Switzerland), 2018, 18(10): 3588.

    [12] SAFARA F, SOURI A, SERRIZADEH M. Improved intrusion detection method for communication networks using association rule mining and artificial neural networks[J]. IET Communications, 2020, 14(7): 1192-1197.

    [13] 章堅(jiān)武, 黃佳森, 周迪. 基于模糊理論與關(guān)聯(lián)規(guī)則的入侵檢測(cè)模型[J]. 電信科學(xué), 2019, 35(5): 59-69.

    ZHANG J W, HUANG J S, ZHOU D. Intrusion detection model based on fuzzy theory and association rules[J]. Telecommunications Science, 2019, 35(5): 59-69.

    [14] 王慧, 王宇, 邵翀. 網(wǎng)絡(luò)入侵檢測(cè)中群關(guān)聯(lián)模型的設(shè)計(jì)與分析[J].中國(guó)人民公安大學(xué)學(xué)報(bào)(自然科學(xué)版), 2018, 24(4): 74-77.

    WANG H, WANG Y, SHAO C. Design and analysis of group association model in network intrusion detection[J]. Journal of People's Public Security University of China (Science and Technology), 2018, 24(4): 74-77.

    [15] HU W, LI J, CHENG J, et al. Security monitoring of heterogeneous networks for big data based on distributed association algorithm[J]. Computer Communications, 2020, 152: 206-214.

    [16] NGUYEN M T. Distributed compressive and collaborative sensing data collection in mobile sensor networks[J]. Internet of Things, 2020, 9: 100156.

    [17] SHA C, SONG D D, YANG R, et al. A type of energy-balanced tree based data collection strategy for sensor network with mobile sink[J]. IEEE Access, 2019, 7: 85226-85240.

    [18] DOUDOU M, DJENOURI D, BARCELO-ORDINAS J M, et al. Cost effective node deployment strategy for energy-balanced and delay-efficient data collection in wireless sensor networks[C]// Proceedings of 2014 IEEE Wireless Communications and Networking Conference (WCNC). 2014: 2868-2873.

    [19] SARNO R, SINAGA F, SUNGKONO K R. Anomaly detection in business processes using process mining and fuzzy association rule learning[J]. Journal of Big Data, 2020, 7: 5.

    [20] 郭濤敏. 基于輕量化關(guān)聯(lián)規(guī)則挖掘的安全日志審計(jì)技術(shù)研究[J]. 現(xiàn)代電子技術(shù), 2019, 42(15): 83-85, 90.

    GUO T M. Research on security log audit technology based on lightweight association rules mining[J]. Modern Electronics Technique, 2019, 42(15): 83-85, 90.

    [21] PAN D W, LIU D T, ZHOU J, et al. Anomaly detection for satellite power subsystem with associated rules based on Kernel Principal Component Analysis[J]. Microelectronics Reliability, 2015, 55(9/10): 2082-2086.

    [22] B?HMER K, RINDERLE-MA S. Mining association rules for anomaly detection in dynamic process runtime behavior and explaining the root cause to users[J]. Information Systems, 2020, 90: 101438.

    [23] 李鳳華, 李子孚, 李凌, 等. 復(fù)雜網(wǎng)絡(luò)環(huán)境下面向威脅監(jiān)測(cè)的采集策略精化方法[J]. 通信學(xué)報(bào), 2019, 40(4): 49-61.

    LI F H, LI Z F, LI L, et al. Collection policy refining method for threat monitoring in complex network environment[J]. Journal on Communications, 2019, 40(4): 49-61.

    Using rule association to generate data collection policies

    CHEN Pei1,2, LI Fenghua1,2, LI Zifu1,2, GUO Yunchuan1,2, CHENG Lin3

    1. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China 2. School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China 3. China Information Technology Security Evaluation Center, Beijing 100085, China

    Collecting security-related data of devices effectively is the foundation of analyzing network threats accurately. Existing data collection methods (full data collection, sampling based data collection and adaptive data collection) do not consider the validity of the collected data and their correlation, which will consume too much collection resources, resulting in low collection yield. To address this problem, considering the factors (relationship between node attributes, network topology relationship, threat status, node resource and node similarity) that impact collection costs and benefits, a rule association method to generate collection policies was designed. In the method, two types of association rules (inter-node association rules and inter-event association rules) were adopted to generate candidate data collection items and reduced the scope of data collection. Then, a multi-objective program was designed to maximize collection benefits and minimize collection costs. Further, a genetic algorithm was designed to solve this program. Proposed method was compared with existing data collection methods. The experimental results show that the number of the collected data records of proposed method is 1 000~3 000 less than that of others per 12 hours, and the validity of the collected data of proposed method is about 4%~10% higher than others, which proves the effectiveness of the proposed method.

    policy optimization generation, multi-objective optimization, collaborative data collection, multiple class-association rules mining

    TP393

    A

    10.11959/j.issn.2096?109x.2021085

    2020?07?20;

    2021?02?01

    李子孚,lizifu@iie.ac.cn

    國(guó)家重點(diǎn)研發(fā)計(jì)劃(2016QY06X1203);國(guó)家自然科學(xué)基金(U1836203);山東省重點(diǎn)研發(fā)計(jì)劃(重大科技創(chuàng)新工程)項(xiàng)目(2019JZZY020127)

    The National Key R&D Program of China (2016QY06X1203),The National Natural Science Foundation of China (U1836203), Shandong Provincial Key Research and Development Program (2019JZZY020127)

    陳佩, 李鳳華, 李子孚, 等. 基于規(guī)則關(guān)聯(lián)的安全數(shù)據(jù)采集策略生成[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2021, 7(5): 132-148.

    CHEN P, LI F H, LI Z F, et al. Using rule association to generate data collection policies[J]. Chinese Journal of Network and Information Security, 2021, 7(5): 132-148.

    陳佩(1993?),男,河南南陽(yáng)人,中國(guó)科學(xué)院信息工程研究所碩士生,主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全。

    李鳳華(1966?),男,湖北浠水人,博士,中國(guó)科學(xué)院信息工程研究所研究員、博士生導(dǎo)師,主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、信息保護(hù)、隱私計(jì)算。

    李子孚(1992?),女,內(nèi)蒙古赤峰人,博士,中國(guó)科學(xué)院信息工程研究所工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、訪問(wèn)控制。

    郭云川(1977?),男,四川營(yíng)山人,博士,中國(guó)科學(xué)院信息工程研究所正高級(jí)工程師、博士生導(dǎo)師,主要研究方向?yàn)樵L問(wèn)控制、網(wǎng)絡(luò)安全。

    成林(1983?),男,博士,中國(guó)信息安全測(cè)評(píng)中心助理研究員,主要研究方向?yàn)槊艽a學(xué)、云計(jì)算、大數(shù)據(jù)。

    猜你喜歡
    安全事件適應(yīng)度關(guān)聯(lián)
    改進(jìn)的自適應(yīng)復(fù)制、交叉和突變遺傳算法
    “一帶一路”遞進(jìn),關(guān)聯(lián)民生更緊
    奇趣搭配
    智趣
    讀者(2017年5期)2017-02-15 18:04:18
    基于空調(diào)導(dǎo)風(fēng)板成型工藝的Kriging模型適應(yīng)度研究
    食品安全事件的價(jià)格沖擊效應(yīng)
    公交車(chē)公共安全事件調(diào)查
    2013卡巴斯基三大安全事件
    少數(shù)民族大學(xué)生文化適應(yīng)度調(diào)查
    英國(guó):公布食品安全事件年度報(bào)告
    中文字幕人妻熟人妻熟丝袜美| 亚洲经典国产精华液单| av不卡在线播放| 一本—道久久a久久精品蜜桃钙片| 国产伦理片在线播放av一区| 免费看av在线观看网站| 精品午夜福利在线看| av播播在线观看一区| 99热这里只有精品一区| 精品少妇久久久久久888优播| 亚洲成色77777| 国产在线男女| 国产高清国产精品国产三级 | 全区人妻精品视频| 久久国产精品男人的天堂亚洲 | 亚洲综合色惰| 国产亚洲欧美精品永久| 九九在线视频观看精品| av视频免费观看在线观看| 国产91av在线免费观看| 国产精品熟女久久久久浪| 狂野欧美激情性xxxx在线观看| 亚洲欧美精品自产自拍| 狂野欧美激情性bbbbbb| 青春草亚洲视频在线观看| 精品人妻视频免费看| 国产成人freesex在线| 国产成人a区在线观看| 精品人妻熟女av久视频| 大片电影免费在线观看免费| 国产一区二区在线观看日韩| 午夜福利在线观看免费完整高清在| 亚洲精品乱码久久久v下载方式| 下体分泌物呈黄色| 国产精品欧美亚洲77777| 91久久精品电影网| 秋霞伦理黄片| 国产v大片淫在线免费观看| 中文乱码字字幕精品一区二区三区| 男女国产视频网站| 日韩制服骚丝袜av| 精品久久久久久久久亚洲| 中文资源天堂在线| 丝袜脚勾引网站| 夜夜骑夜夜射夜夜干| 久久精品国产亚洲网站| 直男gayav资源| 国产成人一区二区在线| 国产精品一区二区性色av| 亚洲美女黄色视频免费看| 九九久久精品国产亚洲av麻豆| 欧美少妇被猛烈插入视频| 亚洲欧美日韩卡通动漫| 免费观看性生交大片5| 国产黄色视频一区二区在线观看| 日韩一区二区三区影片| 亚洲精品成人av观看孕妇| 日韩成人av中文字幕在线观看| 久久久国产一区二区| 亚洲精品日韩av片在线观看| 国产在线免费精品| 人人妻人人爽人人添夜夜欢视频 | 少妇人妻 视频| 两个人的视频大全免费| 国产精品一区二区三区四区免费观看| 国产成人精品一,二区| 久久久久久久大尺度免费视频| 日本欧美国产在线视频| 天天躁日日操中文字幕| 丰满人妻一区二区三区视频av| 亚洲欧美精品专区久久| 熟女电影av网| 日韩电影二区| 久久久久久人妻| 久久久久性生活片| 久久久色成人| 国产成人aa在线观看| 亚洲精品国产色婷婷电影| 亚洲综合色惰| av国产免费在线观看| 中文欧美无线码| 亚洲av欧美aⅴ国产| 人体艺术视频欧美日本| 99国产精品免费福利视频| 在线观看一区二区三区激情| 简卡轻食公司| 日韩免费高清中文字幕av| 免费大片18禁| 国产精品三级大全| 国产精品人妻久久久影院| 久久久午夜欧美精品| 我的老师免费观看完整版| 人体艺术视频欧美日本| 国产av码专区亚洲av| 联通29元200g的流量卡| 欧美极品一区二区三区四区| 五月开心婷婷网| 乱码一卡2卡4卡精品| 极品教师在线视频| 少妇 在线观看| 久久精品久久精品一区二区三区| 国产成人91sexporn| 大又大粗又爽又黄少妇毛片口| 欧美性感艳星| 亚洲av男天堂| av国产免费在线观看| 自拍偷自拍亚洲精品老妇| 永久网站在线| 精品国产一区二区三区久久久樱花 | 激情五月婷婷亚洲| 美女xxoo啪啪120秒动态图| 欧美国产精品一级二级三级 | 91aial.com中文字幕在线观看| 国内少妇人妻偷人精品xxx网站| 在线天堂最新版资源| 九草在线视频观看| 精品少妇黑人巨大在线播放| 成年女人在线观看亚洲视频| 久热这里只有精品99| 高清毛片免费看| 嘟嘟电影网在线观看| 免费在线观看成人毛片| 啦啦啦啦在线视频资源| 亚洲四区av| 能在线免费看毛片的网站| 久久6这里有精品| 欧美性感艳星| 成人影院久久| 亚洲国产欧美人成| 男女下面进入的视频免费午夜| 伦理电影大哥的女人| 极品少妇高潮喷水抽搐| 日本欧美国产在线视频| 嫩草影院新地址| 国产亚洲最大av| 激情 狠狠 欧美| 日韩强制内射视频| 亚洲国产欧美在线一区| 伊人久久精品亚洲午夜| 在线播放无遮挡| 久久久亚洲精品成人影院| 美女国产视频在线观看| 免费av中文字幕在线| 啦啦啦视频在线资源免费观看| 我要看黄色一级片免费的| 午夜精品国产一区二区电影| 国产v大片淫在线免费观看| 欧美成人午夜免费资源| 亚洲图色成人| 老女人水多毛片| 国产一区有黄有色的免费视频| 亚洲精品一区蜜桃| 亚洲人成网站在线播| 啦啦啦啦在线视频资源| 亚洲av综合色区一区| 久久精品久久久久久久性| 国产乱来视频区| 高清不卡的av网站| 色视频在线一区二区三区| 黄色怎么调成土黄色| 久久人人爽av亚洲精品天堂 | 一级毛片aaaaaa免费看小| 精品视频人人做人人爽| 久久精品熟女亚洲av麻豆精品| 男人添女人高潮全过程视频| 联通29元200g的流量卡| 成人一区二区视频在线观看| 国产精品不卡视频一区二区| 亚洲av二区三区四区| 99re6热这里在线精品视频| 女人久久www免费人成看片| 国产高清不卡午夜福利| 伦理电影大哥的女人| 人体艺术视频欧美日本| 亚洲国产高清在线一区二区三| 成年美女黄网站色视频大全免费 | 毛片女人毛片| 水蜜桃什么品种好| 热99国产精品久久久久久7| 下体分泌物呈黄色| 99热全是精品| 久久久久久久久久久丰满| 极品少妇高潮喷水抽搐| 丝袜喷水一区| 精品视频人人做人人爽| 国产成人午夜福利电影在线观看| 人人妻人人爽人人添夜夜欢视频 | 午夜福利影视在线免费观看| 中文字幕av成人在线电影| 精品熟女少妇av免费看| 午夜福利高清视频| 国产午夜精品久久久久久一区二区三区| 欧美一区二区亚洲| 久久ye,这里只有精品| 建设人人有责人人尽责人人享有的 | 国产av精品麻豆| 国产成人精品久久久久久| 高清黄色对白视频在线免费看 | 人人妻人人澡人人爽人人夜夜| 99精国产麻豆久久婷婷| 国产免费福利视频在线观看| 免费人妻精品一区二区三区视频| 最新中文字幕久久久久| 看非洲黑人一级黄片| 精品午夜福利在线看| 欧美一区二区亚洲| 国产av国产精品国产| 久久99热这里只频精品6学生| 午夜福利影视在线免费观看| 狂野欧美白嫩少妇大欣赏| 亚洲国产色片| 少妇 在线观看| 国产乱来视频区| 国产深夜福利视频在线观看| 国产伦在线观看视频一区| 男人爽女人下面视频在线观看| 久久人人爽人人爽人人片va| 一级二级三级毛片免费看| 性色avwww在线观看| 少妇 在线观看| 麻豆乱淫一区二区| 欧美丝袜亚洲另类| 精品人妻熟女av久视频| 国产精品99久久99久久久不卡 | 天天躁日日操中文字幕| av不卡在线播放| 国产成人freesex在线| 亚洲,欧美,日韩| 九九在线视频观看精品| 国产白丝娇喘喷水9色精品| 亚洲av欧美aⅴ国产| 亚洲精品日韩av片在线观看| 美女国产视频在线观看| 男女国产视频网站| 久久国产亚洲av麻豆专区| 国产片特级美女逼逼视频| 韩国高清视频一区二区三区| 美女视频免费永久观看网站| 丝袜喷水一区| 午夜视频国产福利| 久久久久国产网址| 人妻夜夜爽99麻豆av| 国产精品无大码| 97超视频在线观看视频| 大码成人一级视频| 中国国产av一级| 久久97久久精品| 天堂俺去俺来也www色官网| a 毛片基地| 国产视频首页在线观看| 国产精品久久久久久av不卡| 丝袜脚勾引网站| 中文字幕制服av| 成人一区二区视频在线观看| 国产一区二区三区综合在线观看 | 综合色丁香网| 免费大片18禁| 亚洲四区av| 国产精品国产三级国产专区5o| 国产精品久久久久久久久免| 最近最新中文字幕大全电影3| 欧美日本视频| 蜜桃在线观看..| 你懂的网址亚洲精品在线观看| 亚洲真实伦在线观看| 一级毛片 在线播放| 深爱激情五月婷婷| 卡戴珊不雅视频在线播放| 性色av一级| 国产日韩欧美亚洲二区| 精品一区二区三卡| 在线观看一区二区三区激情| 精品视频人人做人人爽| 久久精品久久久久久噜噜老黄| 久久毛片免费看一区二区三区| 好男人视频免费观看在线| 欧美+日韩+精品| 超碰av人人做人人爽久久| 午夜福利在线观看免费完整高清在| 高清毛片免费看| 欧美一区二区亚洲| 内射极品少妇av片p| 2021少妇久久久久久久久久久| 亚洲精品,欧美精品| 大又大粗又爽又黄少妇毛片口| 亚洲aⅴ乱码一区二区在线播放| videossex国产| 蜜臀久久99精品久久宅男| 18禁动态无遮挡网站| 偷拍熟女少妇极品色| 汤姆久久久久久久影院中文字幕| 欧美日韩国产mv在线观看视频 | a 毛片基地| 国产精品三级大全| 精品人妻偷拍中文字幕| 中文字幕久久专区| 五月天丁香电影| 免费久久久久久久精品成人欧美视频 | 午夜福利在线观看免费完整高清在| videos熟女内射| 久久午夜福利片| 日韩不卡一区二区三区视频在线| 国产精品一区二区三区四区免费观看| 天堂俺去俺来也www色官网| 国产精品一区二区在线不卡| 日韩av在线免费看完整版不卡| 男女无遮挡免费网站观看| 亚洲情色 制服丝袜| 久9热在线精品视频| 欧美激情极品国产一区二区三区| 欧美日韩精品网址| 在线观看国产h片| 国产有黄有色有爽视频| 久久性视频一级片| 99re6热这里在线精品视频| 亚洲精品第二区| 爱豆传媒免费全集在线观看| 国产成人精品久久二区二区91| 亚洲国产看品久久| 大香蕉久久成人网| 人妻 亚洲 视频| 建设人人有责人人尽责人人享有的| 日本猛色少妇xxxxx猛交久久| 男女边摸边吃奶| 在线精品无人区一区二区三| 亚洲精品国产av蜜桃| 亚洲欧美一区二区三区久久| 777米奇影视久久| 久久精品成人免费网站| 99国产精品免费福利视频| 在线亚洲精品国产二区图片欧美| 在线观看免费高清a一片| 各种免费的搞黄视频| 男女边摸边吃奶| 国产一区二区激情短视频 | 可以免费在线观看a视频的电影网站| 满18在线观看网站| 午夜福利,免费看| 精品人妻1区二区| 一级a爱视频在线免费观看| 美女国产高潮福利片在线看| 亚洲欧美一区二区三区久久| 女人被躁到高潮嗷嗷叫费观| 韩国高清视频一区二区三区| 久久久久精品国产欧美久久久 | 精品一区在线观看国产| 制服诱惑二区| 2018国产大陆天天弄谢| 99久久综合免费| 老司机靠b影院| av天堂在线播放| 久久久国产精品麻豆| 久久性视频一级片| 国产片内射在线| 97人妻天天添夜夜摸| 国产精品麻豆人妻色哟哟久久| videosex国产| 国产一区二区三区av在线| 老司机深夜福利视频在线观看 | videos熟女内射| 满18在线观看网站| 啦啦啦视频在线资源免费观看| 国产一区有黄有色的免费视频| 天堂中文最新版在线下载| 青春草亚洲视频在线观看| 亚洲精品中文字幕在线视频| 欧美xxⅹ黑人| 青青草视频在线视频观看| 91成人精品电影| 美女大奶头黄色视频| 婷婷色综合www| 国产免费现黄频在线看| 亚洲av电影在线观看一区二区三区| 久久久国产欧美日韩av| 香蕉国产在线看| 一级黄色大片毛片| 黄频高清免费视频| 国产成人a∨麻豆精品| 人人妻人人爽人人添夜夜欢视频| www.精华液| 国产在线一区二区三区精| 久久精品亚洲av国产电影网| 女人爽到高潮嗷嗷叫在线视频| 欧美黑人欧美精品刺激| 性少妇av在线| 啦啦啦在线免费观看视频4| 999精品在线视频| 男女床上黄色一级片免费看| 久久性视频一级片| 欧美日韩视频高清一区二区三区二| 老司机亚洲免费影院| 日本91视频免费播放| 在线天堂中文资源库| 后天国语完整版免费观看| 亚洲精品久久午夜乱码| 亚洲国产欧美日韩在线播放| 男女床上黄色一级片免费看| 欧美日韩视频精品一区| 91老司机精品| 激情视频va一区二区三区| 91麻豆精品激情在线观看国产 | 欧美成人午夜精品| 久热这里只有精品99| 色网站视频免费| 一本色道久久久久久精品综合| 99国产精品一区二区三区| 精品视频人人做人人爽| 欧美黑人欧美精品刺激| 9191精品国产免费久久| 国产成人欧美| 91麻豆精品激情在线观看国产 | 夫妻午夜视频| 国产亚洲一区二区精品| 99re6热这里在线精品视频| 亚洲五月婷婷丁香| av在线播放精品| 在线亚洲精品国产二区图片欧美| 视频区欧美日本亚洲| 国产成人免费观看mmmm| 在现免费观看毛片| 男女无遮挡免费网站观看| 麻豆av在线久日| 黄色怎么调成土黄色| 成年av动漫网址| 久久精品人人爽人人爽视色| 欧美黄色淫秽网站| 国产精品熟女久久久久浪| 80岁老熟妇乱子伦牲交| 免费人妻精品一区二区三区视频| 免费在线观看日本一区| 黄色 视频免费看| 久久久国产精品麻豆| 少妇的丰满在线观看| 水蜜桃什么品种好| 深夜精品福利| 久久精品久久久久久噜噜老黄| 女人爽到高潮嗷嗷叫在线视频| 国产淫语在线视频| 国产成人精品无人区| 久久ye,这里只有精品| 999精品在线视频| 黑丝袜美女国产一区| 熟女少妇亚洲综合色aaa.| 天堂俺去俺来也www色官网| 成人免费观看视频高清| 首页视频小说图片口味搜索 | 美女脱内裤让男人舔精品视频| 亚洲国产欧美在线一区| 亚洲熟女毛片儿| 成人免费观看视频高清| 一本色道久久久久久精品综合| 色播在线永久视频| 国产精品久久久av美女十八| 色精品久久人妻99蜜桃| 成人18禁高潮啪啪吃奶动态图| 成年av动漫网址| 在线看a的网站| 久久热在线av| 新久久久久国产一级毛片| 日韩人妻精品一区2区三区| 精品少妇久久久久久888优播| 亚洲av在线观看美女高潮| 纵有疾风起免费观看全集完整版| 国产av国产精品国产| kizo精华| 国产激情久久老熟女| 少妇精品久久久久久久| 99热网站在线观看| 国产日韩欧美亚洲二区| 欧美日韩福利视频一区二区| 久久精品久久久久久久性| 国产精品av久久久久免费| 夫妻午夜视频| 国产爽快片一区二区三区| 亚洲精品第二区| 亚洲精品美女久久久久99蜜臀 | 亚洲三区欧美一区| 午夜福利免费观看在线| 爱豆传媒免费全集在线观看| 建设人人有责人人尽责人人享有的| 免费高清在线观看日韩| 欧美中文综合在线视频| 天天躁夜夜躁狠狠躁躁| 天天躁夜夜躁狠狠久久av| 久久精品久久精品一区二区三区| 免费少妇av软件| 欧美精品一区二区免费开放| 国产精品久久久久成人av| 国产又色又爽无遮挡免| 国产精品秋霞免费鲁丝片| 久久国产精品影院| 亚洲中文av在线| 国产男人的电影天堂91| 日本五十路高清| 中文字幕色久视频| 国产成人系列免费观看| 亚洲av男天堂| 亚洲国产欧美日韩在线播放| 欧美精品一区二区大全| 久久综合国产亚洲精品| av在线老鸭窝| 亚洲人成电影免费在线| 欧美日韩av久久| 色网站视频免费| 欧美大码av| 国产亚洲精品第一综合不卡| 午夜av观看不卡| 亚洲一区中文字幕在线| 日韩熟女老妇一区二区性免费视频| 国产精品 欧美亚洲| 精品亚洲乱码少妇综合久久| 欧美日韩成人在线一区二区| 一级毛片我不卡| 欧美激情 高清一区二区三区| 在线av久久热| 精品国产超薄肉色丝袜足j| 色94色欧美一区二区| 亚洲国产精品一区三区| av在线老鸭窝| 日本一区二区免费在线视频| 男人爽女人下面视频在线观看| 久久女婷五月综合色啪小说| 美女扒开内裤让男人捅视频| 精品人妻1区二区| 亚洲美女黄色视频免费看| 成年人午夜在线观看视频| 大香蕉久久网| 久久影院123| 午夜影院在线不卡| 亚洲国产av新网站| 欧美亚洲日本最大视频资源| 国产精品国产三级专区第一集| 午夜两性在线视频| 最新的欧美精品一区二区| 免费看av在线观看网站| 久久人妻熟女aⅴ| 女性被躁到高潮视频| 亚洲欧美精品自产自拍| 精品卡一卡二卡四卡免费| 亚洲精品美女久久av网站| 国产精品三级大全| tube8黄色片| bbb黄色大片| 国产成人欧美| 丰满饥渴人妻一区二区三| 别揉我奶头~嗯~啊~动态视频 | 免费看av在线观看网站| 日韩大码丰满熟妇| 午夜激情av网站| 亚洲av日韩在线播放| av国产久精品久网站免费入址| 精品少妇黑人巨大在线播放| 一边亲一边摸免费视频| 少妇精品久久久久久久| 国产一区二区在线观看av| 美女视频免费永久观看网站| 18在线观看网站| 国产黄色视频一区二区在线观看| 性高湖久久久久久久久免费观看| 黄色a级毛片大全视频| 欧美变态另类bdsm刘玥| 久久久久国产一级毛片高清牌| 亚洲精品中文字幕在线视频| 嫁个100分男人电影在线观看 | 欧美日韩综合久久久久久| 国产1区2区3区精品| 久热这里只有精品99| 国产亚洲欧美精品永久| 极品少妇高潮喷水抽搐| 国产国语露脸激情在线看| 纯流量卡能插随身wifi吗| 嫁个100分男人电影在线观看 | 亚洲七黄色美女视频| 亚洲欧美清纯卡通| 99国产综合亚洲精品| 中文字幕高清在线视频| 日韩熟女老妇一区二区性免费视频| 日本av手机在线免费观看| 午夜福利,免费看| 中国国产av一级| 另类亚洲欧美激情| 啦啦啦在线观看免费高清www| 亚洲成人免费av在线播放| 日本wwww免费看| 三上悠亚av全集在线观看| 女警被强在线播放| 国产欧美日韩一区二区三区在线| 最黄视频免费看| 美女视频免费永久观看网站| 国产精品一国产av| 亚洲av综合色区一区| 欧美日韩成人在线一区二区| 欧美日韩黄片免| 亚洲国产av新网站| 日本欧美视频一区| 国产97色在线日韩免费| av在线老鸭窝| 久久久国产一区二区| 在线观看免费视频网站a站| 男女边吃奶边做爰视频| 日韩电影二区| 色综合欧美亚洲国产小说| 男人添女人高潮全过程视频| 中文精品一卡2卡3卡4更新| 亚洲av在线观看美女高潮| 日韩制服骚丝袜av| 精品亚洲乱码少妇综合久久| 七月丁香在线播放| 在线观看一区二区三区激情| 久久久国产一区二区| 午夜福利乱码中文字幕| 高清av免费在线| 在线观看免费视频网站a站| 国产高清videossex| 国产不卡av网站在线观看|