• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于API調(diào)用管理的SDN應(yīng)用層DDoS攻擊防御機(jī)制

    2022-04-18 01:22:42王洋湯光明王碩楚江
    關(guān)鍵詞:信譽(yù)度應(yīng)用層合法

    王洋,湯光明,王碩,楚江

    (1.信息工程大學(xué),河南 鄭州 450001;2.中國西安衛(wèi)星測控中心,陜西 西安 710043)

    0 引言

    軟件定義網(wǎng)絡(luò)(SDN,software defined network)及其相關(guān)技術(shù)已經(jīng)成為未來網(wǎng)絡(luò)發(fā)展的重要方向之一[1-3]。然而,隨著軟件定義網(wǎng)絡(luò)的不斷發(fā)展和實踐應(yīng)用,SDN面臨諸多安全問題,極大地影響了其發(fā)展進(jìn)程[4]。事實上,由于SDN架構(gòu)的核心在于將網(wǎng)絡(luò)控制任務(wù)交給控制器處理,控制器自然而然成為整個網(wǎng)絡(luò)架構(gòu)的大腦,但這同時導(dǎo)致控制器成為網(wǎng)絡(luò)攻擊的焦點。特別地,攻擊者往往會發(fā)動針對控制器的分布式拒絕服務(wù)(DDoS,distributed denial-of-service)攻擊,從而使控制器資源耗盡,最終導(dǎo)致整個網(wǎng)絡(luò)癱瘓。因此,研究抵抗面向SDN的DDoS攻擊及檢測技術(shù)成為當(dāng)前SDN安全問題的研究熱點[5]。

    分析現(xiàn)有研究可知,針對SDN的DDoS攻擊及檢測技術(shù)集中于數(shù)據(jù)層和控制層,其發(fā)動攻擊的原理在于利用OpenFlow協(xié)議中的漏洞,通過持續(xù)發(fā)送特定數(shù)據(jù)包使交換機(jī)流表溢出或控制器資源耗盡。具體地,在數(shù)據(jù)層,攻擊者通過增加僵尸節(jié)點個數(shù)等手段使交換機(jī)流表空間溢出而無法正常工作[6]。在控制層,攻擊者通過向控制器持續(xù)發(fā)送packet-in數(shù)據(jù)包,導(dǎo)致控制器資源耗盡而拒絕服務(wù)[7]。針對該類型的DDoS檢測方法可分為三類(基于規(guī)則的檢測方法、基于統(tǒng)計信息的檢測方法和基于機(jī)器學(xué)習(xí)的檢測方法)[8],其本質(zhì)是對SDN中的流量進(jìn)行約束和測量。近年來,隨著深度學(xué)習(xí)技術(shù)的不斷發(fā)展,其相關(guān)技術(shù)廣泛應(yīng)用于DDoS攻擊檢測[9-12]。而針對該種類型的防御機(jī)制,主要依托于限速和遷移。Kandoi等[13]提出利用一種通過限制數(shù)據(jù)傳輸速率來緩解數(shù)據(jù)層或控制層DDoS攻擊的方法。喬思祎等[14]對OpenFlow交換機(jī)流表溢出問題的緩解機(jī)制進(jìn)行了深入研究,提出流表共享(FTS,flow table sharing)方法,完善了流表溢出處理機(jī)制。武澤慧等[15]提出基于OpenFlow交換機(jī)洗牌的DDoS攻擊動態(tài)防御方法,來緩解交換機(jī)遭遇的DDoS攻擊。

    事實上,SDN控制層北向接口(NBI,northbound interface)的安全性同樣對SDN的正常運行起關(guān)鍵作用。北向接口,作為控制層與應(yīng)用層的通道,隨著SDN應(yīng)用的廣泛普及,必然會受到越來越多攻擊者的關(guān)注。然而,針對北向接口的防御研究還比較少,主要集中在利用訪問控制來隔離攻擊者。Wen等[16]將控制器上的應(yīng)用程序和控制器內(nèi)核進(jìn)行隔離,提出一個應(yīng)用程序訪問權(quán)限管理系統(tǒng),實現(xiàn)對應(yīng)用程序權(quán)限的細(xì)粒度訪問控制。與之類似的,還有Klaedtke等[17]的工作。然而,一些攻擊者會通過研究訪問控制規(guī)則,設(shè)計相應(yīng)的繞過機(jī)制,從而使該類型的防御機(jī)制失效。鑒于此,本文研究主要針對SDN應(yīng)用層DDoS攻擊的防御,結(jié)合北向接口發(fā)展特點[18-20],提出一種基于應(yīng)用程序接口(API,application programming interface)惡意調(diào)用的SDN應(yīng)用層DDoS攻擊場景。進(jìn)一步地,為了防御該種類型攻擊,提出基于API調(diào)用管理的SDN應(yīng)用層DDoS防御機(jī)制,該機(jī)制通過在SDN應(yīng)用層和控制層之間增加一層App管理層,進(jìn)而通過對App的信譽(yù)管理、初始審查、映射分配、異常檢測和識別遷移,來抵抗惡意App對SDN的攻擊。

    1 SDN架構(gòu)及應(yīng)用層DDoS攻擊場景

    SDN架構(gòu)的核心思想是通過分離網(wǎng)絡(luò)控制與數(shù)據(jù)處理,賦予網(wǎng)絡(luò)可編程性,提高網(wǎng)絡(luò)的智能化與靈活性,最終提高網(wǎng)絡(luò)的整體運行效率。當(dāng)前,SDN的經(jīng)典架構(gòu)分為應(yīng)用層、控制層和數(shù)據(jù)層。

    應(yīng)用層主要指實現(xiàn)特定功能的SDN應(yīng)用程序。從當(dāng)前發(fā)展來看,SDN應(yīng)用程序大多是為了實現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡、拓?fù)錁?gòu)建以及安全管理等功能??刂茖幼鳛镾DN的核心,其主要依據(jù)SDN應(yīng)用需求,通過生成能夠用來控制細(xì)粒度網(wǎng)絡(luò)流量編排的流表,進(jìn)而實現(xiàn)對網(wǎng)絡(luò)的控制。數(shù)據(jù)層主要負(fù)責(zé)基于控制層下發(fā)流表的數(shù)據(jù)轉(zhuǎn)發(fā)。上述三層由兩個接口連接,北向接口用于連接應(yīng)用層與控制層,而南向接口(SBI,southbound interface)用于連接控制層與數(shù)據(jù)層。

    事實上,OpenFlow已成為當(dāng)前南向接口的標(biāo)準(zhǔn),針對南向接口的研究相對成熟,其安全性也得到很多學(xué)者的關(guān)注。然而,學(xué)者對北向接口的研究較少,目前還沒有形成得到廣泛認(rèn)可的標(biāo)準(zhǔn),其安全威脅更令人擔(dān)憂。隨著SDN技術(shù)的不斷發(fā)展,其應(yīng)用必定會更加豐富多樣,而北向接口作為開放給用戶的端口,是用戶通過可編程來實現(xiàn)自定義功能的重要通道。依據(jù)當(dāng)前SDN技術(shù)的發(fā)展潮流,靈活性將是SDN技術(shù)的靈魂。因此,設(shè)計北向接口的關(guān)鍵在于接口的可編程性與調(diào)用管理的便捷性。表征狀態(tài)轉(zhuǎn)移(REST,representational state transfer)作為設(shè)計開放靈活接口的約束準(zhǔn)則,受到研究者的普遍關(guān)注。越來越多的學(xué)者傾向于利用REST架構(gòu)來定義SDN應(yīng)用所需的各種API,進(jìn)而使SDN應(yīng)用層的應(yīng)用程序能夠直接調(diào)用API來實現(xiàn)應(yīng)用程序的高效開發(fā),最終推動SDN技術(shù)的快速普及。基于該種技術(shù),SDN應(yīng)用層可事先實現(xiàn)安全狀態(tài)信息收集、鏈路流量信息收集、流量規(guī)則沖突分析、流規(guī)則超時回調(diào)、流規(guī)則修改、交換機(jī)配置信息獲取、控制器配置信息獲取、IP地址跳變等API,進(jìn)一步以這些API為接口提供給SDN應(yīng)用調(diào)用。軟件定義網(wǎng)絡(luò)中應(yīng)用層工作時API調(diào)用時間序列示例如圖1所示。

    圖1 軟件定義網(wǎng)絡(luò)中應(yīng)用層工作時API調(diào)用時間序列示例 Figure 1 Example of API call time sequence when SDN application layer works

    由以上分析可知,SDN北向接口的安全性直接關(guān)系到整個SDN正常運行。當(dāng)前,針對SDN北向接口安全性的研究還比較少,缺乏嚴(yán)格的訪問控制、身份認(rèn)證及異常調(diào)用檢測等機(jī)制,這可能導(dǎo)致一些攻擊者故意開發(fā)惡意的應(yīng)用程序,造成北向接口API的濫用,以此實現(xiàn)對SDN的攻擊。鑒于此,本文研究主要針對SDN應(yīng)用層DDoS攻擊的防御。結(jié)合SDN網(wǎng)絡(luò)架構(gòu),模擬兩種攻擊者利用惡意的API調(diào)用實現(xiàn)SDN應(yīng)用層的DDoS攻擊場景,如圖2所示。

    圖2 軟件定義網(wǎng)絡(luò)中應(yīng)用層DDoS攻擊場景 Figure 2 DDoS attack scenario in SDN application layer

    攻擊場景1:在該攻擊場景下,攻擊者設(shè)計惡意App,繞過北向接口的安全審查,對某些API進(jìn)行短時間大量調(diào)用,進(jìn)而導(dǎo)致控制器崩潰,使整個網(wǎng)絡(luò)癱瘓。

    攻擊場景2:在該攻擊場景下,攻擊者以某個合法SDN應(yīng)用程序作為攻擊目標(biāo),對該應(yīng)用程序所需用的特定API進(jìn)行短時間大量調(diào)用,使該合法App無法正常調(diào)用API,進(jìn)而使該合法App無法正常工作。與場景1相比,該種攻擊相對比較隱蔽。

    2 API可信調(diào)用機(jī)制

    由上文可知,為抵抗攻擊者利用惡意的API調(diào)用實現(xiàn)SDN應(yīng)用層的DDoS攻擊,對北向接口的安全管理成為防御的關(guān)鍵。鑒于此,本文提出一種基于API調(diào)用管理的SDN應(yīng)用層DDoS防御機(jī)制,該機(jī)制通過在SDN應(yīng)用層和控制層之間增加一層App管理層,進(jìn)而通過對App的信譽(yù)管理、初始審查、映射分配、異常檢測和識別遷移,來抵抗惡意App對SDN的攻擊,整個架構(gòu)如圖3所示。App管理層各個模塊之間的協(xié)同關(guān)系如圖4所示。

    由圖3和圖4可知,為了實現(xiàn)對SDN北向接口的安全調(diào)用,提出的App管理層主要分為App運行前的合法審查、App與控制器映射分配、App運行時實時的異常檢測、非法App的識別遷移以及App信譽(yù)度評分5個主要模塊。其中,App運行前的合法審查、App與控制器映射分配、App運行時實時的異常檢測與惡意App的識別遷移是按App能夠正常運行在SDN中的邏輯先后順序劃分的:只有通過合法審查的App才能運行在SDN中;運行之前,需要App與控制器映射分配,以實現(xiàn)運行效率的最大化;運行過程中,需要對其進(jìn)行實時的異常檢測;一旦發(fā)現(xiàn)異常,則需要惡意App的識別遷移,以保證網(wǎng)絡(luò)重新正常運行。App信譽(yù)度評分則能夠為App運行前的合法審查以及App與控制器映射分配提供依據(jù)。

    圖3 軟件定義網(wǎng)絡(luò)中應(yīng)用層DDoS防御架構(gòu) Figure 3 DDoS defense architecture of SDN application layer

    圖4 App管理層各個模塊之間的協(xié)同關(guān)系 Figure 4 Synergy between modules of App management layer

    (1)App運行前的合法審查

    對于SDN應(yīng)用層中的每一個App,在其運行之前,均需要對其的API調(diào)用序列進(jìn)行合法性檢測,檢測結(jié)果判定為合法或不合法。經(jīng)判定不合法的App無法在應(yīng)用層運行。

    (2)App與控制器映射分配

    隨著SDN的不斷發(fā)展,SDN應(yīng)用不斷豐富,單一的控制器網(wǎng)絡(luò)架構(gòu)往往無法滿足網(wǎng)絡(luò)實際需求,而多個控制器協(xié)同工作是SDN控制層發(fā)展的必然趨勢。在此情況下,SDN的應(yīng)用層存在App與控制器映射分配的問題,即通過將當(dāng)前網(wǎng)絡(luò)所有運行的App合理分配給不同的控制器,實現(xiàn)控制器資源的最大化利用。

    (3)App運行時實時的異常檢測

    盡管每一個App在SDN應(yīng)用層運行之前均需進(jìn)行合法性審查,然而事實上,任何審查均存在一定的漏報率和誤報率。此外,由上文描述的攻擊場景2可知,一些攻擊者會精心設(shè)計惡意App,使它們能夠通過合法性審查而依然可對SDN實施攻擊。鑒于此,SDN需要實時對App運行狀況進(jìn)行異常檢測。進(jìn)一步分析可知,SDN的應(yīng)用層DDoS攻擊最終均會導(dǎo)致控制器資源耗盡,從而使合法用戶無法正常調(diào)用API。因此,通過對控制器運行狀態(tài)的監(jiān)視,能夠及時發(fā)現(xiàn)當(dāng)前SDN狀態(tài)的異常。

    (4)惡意App的識別遷移

    由合法審查和異常檢測模型可知,當(dāng)惡意App繞過審查而運行在SDN應(yīng)用層時,最終會導(dǎo)致控制器運行異常。本文僅考慮SDN應(yīng)用層的攻擊,即假定SND的控制層以及數(shù)據(jù)層不再遭遇其他類型的攻擊。由映射分配模塊可知,運行在同一個控制器上的App可能有多個,當(dāng)該控制器異常時,反映出連接在該控制器上的App存在惡意App,則非法App的識別遷移模塊對這些App進(jìn)行識別,即判斷出哪些App是合法的而哪些App是惡意的,在此基礎(chǔ)上,進(jìn)一步暫停惡意App運行而保證合法App的正常運行。

    (5)App信譽(yù)度評分

    通過對上述模塊分析可知,增加App管理層的目的是對惡意App的識別封禁,以保證合法App在SDN應(yīng)用層的正常運行。在此過程中,防御者可對所有App進(jìn)行統(tǒng)一的信譽(yù)度評分,對惡意App的來源進(jìn)行標(biāo)記,通過信譽(yù)度評分來提高對惡意App的檢測效率。

    通過以上分析可知,App運行時的異常檢測可通過對控制器運行狀態(tài)的監(jiān)視來實現(xiàn),而當(dāng)前針對SDN控制器異常檢測的研究很多,本文不做重點研究。此外,針對App信譽(yù)度評分的研究,可參考類似的信譽(yù)度評價相關(guān)模型[21-23],與SDN特性關(guān)聯(lián)性不強(qiáng)。本文將App信譽(yù)度評分設(shè)定為0到10分,且將小于5分的App設(shè)為惡意App,在此基礎(chǔ)上,分別提出基于滑動時間窗口的API調(diào)用合法性審查、基于信譽(yù)度排序的SDN應(yīng)用映射分配和惡意App清洗分離,以此實現(xiàn)完整的App管理層模塊。針對多控制器之間的管理與通信研究較多[3,24],這里不做深入探討。

    需要注意的是,軟件定義網(wǎng)絡(luò)應(yīng)用層DDoS攻擊與軟件定義網(wǎng)絡(luò)中SDN控制器是否是分布式的沒有任何關(guān)系。即無論軟件定義網(wǎng)絡(luò)中SDN控制器是單個還是多個,攻擊者均可對其發(fā)動應(yīng)用層DDoS攻擊。而本文強(qiáng)調(diào)的多控制器的目的是防御該種DDoS攻擊的需要:當(dāng)軟件定義網(wǎng)絡(luò)中的控制器僅有一個時,一旦攻擊者對其發(fā)動應(yīng)用層DDoS攻擊,整個網(wǎng)絡(luò)便會癱瘓;而當(dāng)軟件定義網(wǎng)絡(luò)中的控制器有多個時,防御者可通過對惡意App清洗分離來保證整個網(wǎng)絡(luò)的正常運行。

    2.1 基于滑動時間窗口的API調(diào)用合法性審查

    由上文可知,SDN應(yīng)用通過北向接口調(diào)用豐富的API以實現(xiàn)不同特定的功能。而針對SDN應(yīng)用層的DDoS攻擊,往往會開發(fā)惡意的App,進(jìn)而對某些API進(jìn)行短時間大量調(diào)用,以此耗盡控制器資源,使整個網(wǎng)絡(luò)崩潰。通過深入分析攻擊過程可知,為了避免API被惡意調(diào)用而導(dǎo)致SDN的崩潰,需要使所有App在調(diào)用API時滿足以下兩個約束條件。

    (1)同一個API之間的調(diào)用周期約束Tapix≥不妨假設(shè)北向接口中共有n個可供調(diào)用的API,API={api1,api2,api3,…,apin}。為了使SDN正常運行,每個API設(shè)定一個最小調(diào)用周期限制,以保證應(yīng)用的正常運行,即apix的最小調(diào)用周期為,如對于“IP地址跳變”API來說,當(dāng)過于頻繁調(diào)用該API時,SDN中的節(jié)點地址跳變過于頻繁,不能保證正常業(yè)務(wù)的運行。

    (2)不同API之間的調(diào)用資源約束R(T)≤Rmax(T)

    在SDN中,由于控制器的高度集中性,特別對于單控制器SDN,控制器具有一定的資源上限,若時間間隔T內(nèi),調(diào)用的API所需資源高于控制器資源上限,則控制器將無法正常運行,即R(T)≥Rmax(T)。不妨對每個API調(diào)用時所需資源進(jìn)行量化,設(shè)調(diào)用apix時所需資源為。進(jìn)一步假設(shè)SDN正常運行時,某一T時間內(nèi)調(diào)用的API序列為API(T)={api1,api2,api3,…,apim},則易知

    以上兩個約束條件從API本身特性及其對資源需求角度對其正常調(diào)用進(jìn)行了規(guī)定。顯然,符合兩個約束條件的App為合法App,不符合的則為惡意App。

    進(jìn)一步,本文以上述兩個約束條件為依據(jù),提出了基于滑動時間窗口的API調(diào)用合法性審查算法,如算法1所示。

    算法1基于滑動時間窗口的API調(diào)用合法性審查算法

    輸入某個Appm的API調(diào)用時間序列,各個API的最小調(diào)用周期,控制器調(diào)用資源約束Rmax(T)

    輸出 Result=Yes or No—Appm是否合法

    2.2 基于信譽(yù)度排序的SDN應(yīng)用映射分配

    為滿足日益增長的SDN應(yīng)用層需要,SDN控制平面往往會采取多個控制器協(xié)同工作的方式,且多個控制器實現(xiàn)負(fù)載均衡[25-26]。在此情況下,需要將所有SDN應(yīng)用映射分配到不同的控制器,使整個SDN負(fù)載均衡,最終實現(xiàn)網(wǎng)絡(luò)資源利用的最優(yōu)化,SDN應(yīng)用映射分配示例如圖5所示。

    由圖5可知,同一個控制器上往往分配有多個App,顯然,這些App同時運行時需要滿足算法1的兩個約束條件,才能保證控制器的正常運行。事實上,對App的合法性審查本質(zhì)上是對其調(diào)用的API時間序列進(jìn)行審查。由圖1可知,將多個App的API調(diào)用時間序列進(jìn)行合并,并依據(jù)API調(diào)用時間由小到大排列,可形成多個App共同運行時的API調(diào)用時間序列。由此可知,利用算法1能夠?qū)崿F(xiàn)對多個App能否共同運行做出判斷。此外,為了使整個控制平面實現(xiàn)負(fù)載均衡,從資源利用的角度,各個控制器映射分配過程需要考慮控制器負(fù)載。鑒于此,本文提出基于信譽(yù)度排序的SDN應(yīng)用層映射分配算法。

    圖5 SDN應(yīng)用映射分配示例 Figure 5 Example of SDN application mapping allocation

    算法2基于信譽(yù)度排序的SDN應(yīng)用層映射分配算法

    輸入目前待映射分配的SDN應(yīng)用集合APP={app1,app2,app3,… ,appm},控 制 器 集 合C= {c1, c2,c3,…, cn},控制器調(diào)用資源約束Rmax(T)。

    輸出SDN應(yīng)用集合與控制器集合間的映射分配關(guān)系A(chǔ)pp →C

    1) 將待映射分配的SDN應(yīng)用集合中的app按信譽(yù)度排序

    2) for每一個appl∈ APP //令Seq(appl)表示應(yīng)用appl的API調(diào)用時間序列

    3) for每一個ci∈C//假定將appl映射分配至控制器ci,此時控制器ci運行的app集合記為 ci(app),則其 API調(diào)用時間序列記為 Seq(ci)

    在算法2中,整個SDN中的負(fù)載均衡用diff表示,其可從兩個方面進(jìn)行量化:一是同一個控制器中運行的App構(gòu)成的API序列調(diào)用相對平滑;二是不同控制器間資源利用相對均衡。具體量化方法如下。

    (1)設(shè)Rk為時間序列,用于表示控制器在不同時間間隔T所占用的資源,用 diff1(Rk)來量化該時間序列的平穩(wěn)度,其值越小,說明控制器運行越平穩(wěn),負(fù)載均衡越好。通過實際SDN運行分析可知, diff1(Rk)的確定方法如下。

    (2)用 diff2(C)表示不同控制器中負(fù)載均衡程度。為簡單起見,本文采用不同控制器的時間序列Rk中的元素均值之間方差來進(jìn)行量 化,即

    (3)依據(jù)不同SDN實際需求,分別為上述兩個要素設(shè)定不同的權(quán)重,進(jìn)而利用權(quán)重和得到diff。

    其中,α和β分別為上述兩要素的權(quán)重,滿足α+β=1。

    2.3 惡意App清洗分離

    當(dāng)一個SDN控制器上運行有惡意App時,該SDN控制器由于資源耗盡而無法正常服務(wù),該SDN控制器被稱為受攻擊控制器。在該種情況下,由于該控制器上運行著多個App,防御者無法分辨哪些App是惡意的,哪些App是合法的。鑒于此,如何對受攻擊控制器上運行的App進(jìn)行快速清洗以分離出惡意App,并進(jìn)一步對合法App重新分配控制器以保證其正常運行,是一個值得研究的問題。SDN應(yīng)用層惡意App清洗分離過程示例如圖6所示。

    圖6 SDN應(yīng)用層惡意App清洗分離過程示例 Figure 6 Example of cleaning and separating malicious App in SDN application layer

    圖6中共有9個SDN應(yīng)用,其中包含兩個惡意的App,即app5和app7,控制平面有3個控制器。經(jīng)過初始的映射分配,app1、app2和app3分配到控制器c1,app4、app5和app6分配到控制器c2,app7、app8和app9分配到控制器c3。當(dāng)SDN運行時,由于惡意App的存在,控制器c2和c3無法正常工作。而防御者無法識別連接到這兩個App上的應(yīng)用程序哪些是合法的,哪些是惡意的,如圖6(a)所示。在此情況下,防御者實施惡意App清洗分離過程,如圖6(b)所示,隨機(jī)將app5分配到控制器c3,而將app8分配到控制器c2。在此情況下,控制器c2將恢復(fù)正常運行,而控制器c3將依然無法正常運行。由此可知,在SDN遭遇攻擊時,惡意App清洗分離能有效分離出合法App和惡意App。為了最大化清洗分離效率,本文對此過程進(jìn)行如下建模。

    設(shè)需要清洗分離的App集合為A,可供清洗分離的SDN控制器集合為C,控制器編號為1到|C|,其中|C|為控制器數(shù)量。每一輪的清洗分離可看作一個映射f。對于任一個控制器ci∈C,分配給該控制器的App集合記為Ai=f(ci),顯然Ai∈A。由于每一個App只能分配給一個控制器,則

    進(jìn)一步,設(shè)惡意App數(shù)量為Nv,設(shè)經(jīng)過一輪清洗分離操作后,仍有Na個合法的App無法正常運行(被攻擊),而有Nu個合法App可以正常運行,顯然,|A|=Na+Nu+Nv,其中|A|為所有待分配App數(shù)量。本文的目標(biāo)是設(shè)計最優(yōu)的清洗分離方法f,以使在各種條件下Nu的E(Nu)期望最大。如前文所述,對于任一個控制器ci∈C,分配給該控制器的App集合記為Ai=f(ci),進(jìn)一步,不妨設(shè)。由于只有當(dāng)一個控制器上分配的所有App均為合法App時,該控制器才能正常工作。相反,只要一個控制器上分配有一個惡意App,該控制器便無法正常工作,則控制器ci能正常工作的概率記為

    經(jīng)過Ai=f(ci)操作后,能夠分離出來的合法App數(shù)量的期望為pi?|Ai|。進(jìn)一步,易知

    由于控制器資源的限制,當(dāng)將App集合Ai分配給該控制器ci時,存在即使所有Ai中的App均為合法App而控制器也無法正常工作的情況,即控制器ci無法滿足App集合Ai中所有App同時正常運行。鑒于此,在清洗分離過程中,需要保證分配給控制器的App集合不能超出該控制器的資源限制。該條件可由算法1來判斷,即可表示為

    綜上所述可知,對惡意App清洗分離問題可視為一個最優(yōu)化問題,其目標(biāo)函數(shù)為方程(8),變量為分配方案f,約束條件為式(9)。直觀上,可供清洗分離的SDN控制器數(shù)量越多,則經(jīng)過每一輪清洗分離后合法App被分離出來的數(shù)量越多。若|C|≥|A|,則每一個App都能被分配到一個專有的 SDN 控制器上,在該種情況下,E(Nu)=|A| ?Nv,它意味著所有合法的App均能正常運行,而所有惡意的App均被一輪清洗分離而分離出來。然而,在實際的SDN中,控制器的數(shù)量一般較少,甚至是一個控制器的情況,而App的個數(shù)一般遠(yuǎn)遠(yuǎn)多于控制器的個數(shù)。考慮到此,如何設(shè)計清洗分離算法使盡快識別出惡意App是十分重要的。對于|C|≥1時,目標(biāo)函數(shù)是非線性的,且該類問題是NP難問題。對于該問題,本文利用貪心思想計算得出該方案的接近最優(yōu)解,其具有多項式時間。該惡意App清洗分離算法如下。

    算法3惡意App清洗分離算法

    輸入目前待清洗分離的SDN應(yīng)用集合A,可用的控制器集合C

    輸出各個控制器上分配的SDN應(yīng)用集合,用f表示,即f(ci)表示控制器上分配的App集合

    1) 將待映射分配的SDN應(yīng)用集合A中的所有app按信譽(yù)度排序形成Applist

    2) if length(AppList)≤|C|

    3) 為每一個App分配一個控制器

    4) else

    5) fori=1:|C|do //|C|表示集合C中的元素總個數(shù)

    6)f(ci)=Appassign(ci, Applist)

    7) AppList=AppListf(ci)//將當(dāng)前已分配完成的App從列表中刪除

    8) end

    1) Function Appassign(ControlID, AppList)//ControlID表示需要分配App的控制器,AppList表示當(dāng)前所有待清洗分離的App列表,該列表以App信譽(yù)度評分從高到低排列

    由此,可依據(jù)每一輪分配后的控制器能否正常工作,來清洗分離出惡意App。經(jīng)過多輪的清洗分離操作,最終將會使所有惡意App均被分離識別。

    此外,SDN中的惡意App數(shù)量越多,越要保證清洗分離盡快完成,則需要越多可供分配的控制器。因此,清洗之前,對SDN中的惡意App數(shù)量進(jìn)行評估,能夠為設(shè)定合適的控制器數(shù)量提供依據(jù)。需要注意的是,若一個控制器上所有的App均為合法App,則該控制器正常運行,不參加惡意App的清理分離任務(wù);若一個控制器上至少存在一個惡意App,則該控制器上的其他合法App也無法正常工作,而通過不斷的清洗分離,這些合法的App將被分配至其他的控制器,最終得以正常工作。由此可見,惡意App清洗分離過程可能會導(dǎo)致無法正常工作的合法App頻繁切換控制器,但不會對本身正常運行的合法App造成影響。

    不妨設(shè)appl的信譽(yù)度評分為 creditappl,則一個App為惡意的概率可記為

    一個App為正常的概率為

    于是

    進(jìn)一步,利用最大似然估計原理,可得

    其中,X*表示控制器ci上惡意App數(shù)量的估計值。

    3 實驗與驗證

    針對SDN應(yīng)用層的研究比較少,基于REST API調(diào)用的SDN應(yīng)用較缺乏。本文借鑒已被學(xué)者認(rèn)可的大規(guī)模網(wǎng)絡(luò)端地址跳變實現(xiàn)機(jī)理[27],通過仿真實現(xiàn)了一個使目標(biāo)SDN所有終端地址跳變的API。具體地,借助Mininet創(chuàng)建SDN拓?fù)?,RYU作為控制器,如圖7所示。

    圖7 實驗網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu) Figure 7 Topology of experimental network

    圖7所示實驗網(wǎng)絡(luò)中的終端數(shù)量可動態(tài)調(diào)整,正常情況下,各終端之間能夠維持通信,從而保證正常的業(yè)務(wù)活動。當(dāng)SDN應(yīng)用程序調(diào)用跳變API時,該網(wǎng)絡(luò)中所有終端的IP地址會發(fā)生跳變,而后該SDN仍能正常工作。然而事實上,若攻擊者制作一個惡意App,該App短時間大量調(diào)用跳變API,顯然會造成網(wǎng)絡(luò)崩潰,這種情況相當(dāng)于攻擊者從SDN應(yīng)用層發(fā)起了DDoS攻擊。本文實驗部分所配置的控制器個數(shù)是動態(tài)變化的,而圖7為了便于畫圖需要,又為體現(xiàn)多個物理控制器的邏輯集中,故用一個控制器代替。為了進(jìn)一步驗證SDN應(yīng)用層攻擊會為網(wǎng)絡(luò)正常運行造成影響,首先對網(wǎng)絡(luò)正常運行的條件進(jìn)行定量表示:模擬SDN業(yè)務(wù)需求,設(shè)定兩臺主機(jī)維持運行服務(wù)4 h,每隔10 min服務(wù)一次,每次服務(wù)需要維持一定的服務(wù)時間(ST,service time)。若網(wǎng)絡(luò)達(dá)到該要求,即可認(rèn)為網(wǎng)絡(luò)正常運行。進(jìn)一步,通過仿真得到,不同條件下SDN服務(wù)正常運行率與跳變API調(diào)用頻率(次數(shù)/小時)之間的關(guān)系如圖8所示。

    圖8 不同條件下SDN服務(wù)正常運行率與 跳變API調(diào)用頻率之間的關(guān)系 Figure 8 Relationship between normal operation rate of SDN service and call frequency of hopping API under different conditions

    由圖8可知,對于不同的服務(wù)時間要求,SDN服務(wù)正常運行率均隨跳變API調(diào)用頻率的增大而減小,且當(dāng)跳變API調(diào)用頻率達(dá)到一定值后,SDN服務(wù)正常運行率會變得很小,即不能正常工作。由此可見,當(dāng)SDN應(yīng)用通過短時間內(nèi)高頻率的調(diào)用API能夠使SDN運行的正常服務(wù)癱瘓,即造成SDN應(yīng)用層DDoS攻擊。由此,可通過對具體的SDN進(jìn)行實際運行測試,以此來準(zhǔn)確設(shè)定參數(shù)和Rmax(T)的值。

    通過對現(xiàn)有文獻(xiàn)進(jìn)行分析,針對SDN北向接口安全性的研究比較少,Oktian等[28]提出了一種針對SDN北向接口API身份認(rèn)證的方法。但其存在兩方面缺陷:一是認(rèn)證方法僅是理論上的且設(shè)計相對簡單,實際的應(yīng)用效果并不明確;二是對于前文提出的攻擊場景2中攻擊方法無效,一些攻擊者會采用分布式的攻擊方法,通過構(gòu)造多個看似合法的App(每個App都能通過身份認(rèn)證),并利用這些App同時調(diào)用同一個API,以實現(xiàn)對SDN應(yīng)用層的攻擊。事實上,本文提出的基于API調(diào)用管理的SDN應(yīng)用層DDoS攻擊防御機(jī)制,側(cè)重于在攻擊發(fā)生前對惡意App進(jìn)行事先審查,以避免攻擊的發(fā)生。其次,若攻擊發(fā)生,需要對合法App和惡意App進(jìn)行快速清洗分離。本文算法對上文提出的兩個攻擊場景均有較好的防御效果。此外,算法的運行效率是驗證該防御機(jī)制有效性的關(guān)鍵。鑒于此,對上一節(jié)所示3個算法運行效率進(jìn)行了仿真測試。API序列長度對API調(diào)用合法性檢查所用時間的影響如圖9所示。

    圖9 API序列長度對API調(diào)用合法性檢查所用時間的影響 Figure 9 The influence of API sequence length on the time for checking the validity of API calls

    在本文實驗中,App序列長度指的是SDN應(yīng)用程序所調(diào)用的API數(shù)量,如某一App的調(diào)用API序列為API={api1,api2,api3,…,apim},則稱該App序列長度為m,即App序列長度可認(rèn)為是該App調(diào)用的API序列長度。顯然,App序列長度對算法運行效率有較大的影響。由圖9實驗結(jié)果知,當(dāng)API序列長度小于600時,API調(diào)用合法性檢查算法所需時間在100 s以內(nèi)。事實上,該審查算法一般在App運行之前進(jìn)行,對實時性要求不高;其次,通過分析已有的SDN應(yīng)用,其API調(diào)用長度一般在100以內(nèi)。綜上可知,本文所提算法能夠滿足實用要求。

    進(jìn)一步,當(dāng)設(shè)定App數(shù)量為100、SDN控制器數(shù)量為4時,API序列長度對映射分配所用時間的影響如圖10所示;當(dāng)設(shè)定App數(shù)量為100、App序列長度為10時,SDN控制器個數(shù)對映射分配所用時間的影響如圖11所示;當(dāng)設(shè)定App序列長度10、SDN控制器數(shù)量為4時,App個數(shù)對映射分配所用時間的影響如圖12所示。

    圖10 API序列長度對映射分配所用時間的影響 Figure 10 Influence of API sequence length on mapping allocation time

    圖11 SDN控制器個數(shù)對映射分配所用時間的影響 Figure 11 Influence of SDN controller number on mapping allocation time

    圖12 App個數(shù)對映射分配所用時間的影響 Figure 12 Influence of the number of Apps on the time of mapping and allocation

    圖10~圖12中所示的API序列長度指的是所有App序列長度均保持一致。由圖10可知,當(dāng)API序列長度維持在300以內(nèi)時,映射分配所用時間維持在1 000 s以內(nèi),而當(dāng)API序列長度繼續(xù)增長時,映射分配所用時間呈指數(shù)增加;由圖11可知,當(dāng)API序列長度、App數(shù)量一定時,映射分配所用時間隨SDN控制器數(shù)量近似呈線性增加;同樣地,由圖12可知,當(dāng)API序列長度、SDN控制器數(shù)量一定時,映射分配所用時間隨App數(shù)量近似呈線性增加。由上述3個圖可知,App序列長度對映射分配所用時間的影響最大。事實上,對于SDN來說,正常運行時,App數(shù)量一般不會超過200,API序列長度不會超過100。在該種情況下,無論SDN控制器數(shù)量多少,映射分配所用時間均在可接受時間內(nèi),能夠滿足實際網(wǎng)絡(luò)需求。

    最后,本文對惡意App清洗分離算法進(jìn)行了仿真測試,設(shè)定正常App數(shù)量為100,惡意App數(shù)量為10,App序列長度為10,則得出SDN控制器個數(shù)對清洗分離次數(shù)的影響如圖13所示,SDN控制器個數(shù)對清洗分離所需時間的影響如圖14所示。

    圖13 SDN控制器個數(shù)對清洗分離次數(shù)的影響 Figure 13 Influence of the number of SDN controllers on cleaning and separation times

    由圖13和圖14可知,當(dāng)SDN中正常App數(shù)量、惡意App數(shù)量以及App序列長度一定時,清洗分離次數(shù)以及清洗分離所需時間均隨SDN控制器個數(shù)的增加而降低,且清洗分離所需時間低于1 000 s。由此可知,在SDN中,通過部署多個SDN控制器,能夠加快清洗分離所需時間,降低DDoS攻擊對目標(biāo)網(wǎng)絡(luò)的影響。

    圖14 SDN控制器個數(shù)對清洗分離所需時間的影響 Figure 14 Influence of the number of SDN controllers on the time required for cleaning and separation

    4 結(jié)束語

    針對DDoS攻擊對北向接口造成的威脅日益擴(kuò)大的問題,本文模擬了對其可能的DDoS攻擊樣態(tài),并據(jù)此建立了基于API調(diào)用管理的SDN應(yīng)用層DDoS防御機(jī)制。該機(jī)制通過在SDN應(yīng)用層和控制層之間增加一層App管理層,進(jìn)而通過對App的信譽(yù)管理、初始審查、映射分配、異常檢測和識別遷移,來抵抗惡意App對SDN的攻擊。實驗結(jié)果表明,本文提出的安全防御方案能夠有效地對SDN應(yīng)用層的DDoS攻擊進(jìn)行防御。

    猜你喜歡
    信譽(yù)度應(yīng)用層合法
    合法兼職受保護(hù)
    被賴賬討薪要合法
    公民與法治(2020年3期)2020-05-30 12:29:56
    合法外衣下的多重阻撓
    中國外匯(2019年14期)2019-10-14 00:58:32
    基于分級保護(hù)的OA系統(tǒng)應(yīng)用層訪問控制研究
    找個人來替我懷孕一一代孕該合法嗎?
    媽媽寶寶(2017年2期)2017-02-21 01:21:22
    新一代雙向互動電力線通信技術(shù)的應(yīng)用層協(xié)議研究
    蚌埠市住宿場所衛(wèi)生信譽(yù)度A級單位各項指標(biāo)得分情況分析
    物聯(lián)網(wǎng)技術(shù)在信息機(jī)房制冷系統(tǒng)中的應(yīng)用
    賣“信譽(yù)度”的財富
    黨員文摘(2014年11期)2014-11-04 10:42:47
    云環(huán)境下基于信譽(yù)度的評估模型的研究
    制服诱惑二区| 亚洲人成77777在线视频| 三级国产精品片| 久久精品国产鲁丝片午夜精品| xxxhd国产人妻xxx| 久久久久人妻精品一区果冻| 亚洲人与动物交配视频| 国产成人午夜福利电影在线观看| 蜜臀久久99精品久久宅男| 欧美精品一区二区免费开放| 日本猛色少妇xxxxx猛交久久| videossex国产| 精品久久久精品久久久| 欧美国产精品va在线观看不卡| 亚洲综合精品二区| 久热久热在线精品观看| 精品99又大又爽又粗少妇毛片| 我要看黄色一级片免费的| 最近2019中文字幕mv第一页| 侵犯人妻中文字幕一二三四区| 久久韩国三级中文字幕| 午夜免费鲁丝| 十分钟在线观看高清视频www| 成年美女黄网站色视频大全免费| 久久久久国产网址| 国产女主播在线喷水免费视频网站| 亚洲国产av影院在线观看| 亚洲美女视频黄频| 日本wwww免费看| 日韩大片免费观看网站| 亚洲精品国产色婷婷电影| 亚洲av男天堂| 精品午夜福利在线看| 精品一区在线观看国产| 亚洲色图综合在线观看| 久久热在线av| 久久午夜福利片| 女性被躁到高潮视频| 日日爽夜夜爽网站| 啦啦啦在线观看免费高清www| 伦理电影免费视频| 七月丁香在线播放| 蜜臀久久99精品久久宅男| 欧美日韩成人在线一区二区| 精品久久国产蜜桃| 卡戴珊不雅视频在线播放| 亚洲国产色片| 热re99久久精品国产66热6| 一个人免费看片子| 免费少妇av软件| 亚洲国产日韩一区二区| 大陆偷拍与自拍| 最近中文字幕2019免费版| av有码第一页| 免费高清在线观看日韩| 免费女性裸体啪啪无遮挡网站| 亚洲av日韩在线播放| 天天操日日干夜夜撸| 丝袜人妻中文字幕| 国产极品天堂在线| 香蕉国产在线看| 亚洲国产av影院在线观看| 日韩大片免费观看网站| 国产激情久久老熟女| 大片电影免费在线观看免费| 伦理电影免费视频| 男男h啪啪无遮挡| 日韩免费高清中文字幕av| 大香蕉97超碰在线| 国产精品久久久久久精品古装| 一个人免费看片子| 考比视频在线观看| 91精品三级在线观看| 在线天堂最新版资源| 丝袜人妻中文字幕| 亚洲美女视频黄频| 好男人视频免费观看在线| 久久人人97超碰香蕉20202| 另类亚洲欧美激情| 一区二区日韩欧美中文字幕 | 少妇人妻久久综合中文| 日韩大片免费观看网站| 国产日韩一区二区三区精品不卡| 色视频在线一区二区三区| 欧美亚洲 丝袜 人妻 在线| 各种免费的搞黄视频| 国产日韩一区二区三区精品不卡| 国产亚洲精品久久久com| 精品国产国语对白av| 看免费av毛片| 日日摸夜夜添夜夜爱| 久久午夜福利片| 精品少妇久久久久久888优播| 中国国产av一级| 青青草视频在线视频观看| 夜夜骑夜夜射夜夜干| 色婷婷久久久亚洲欧美| 少妇熟女欧美另类| 中文字幕亚洲精品专区| 夜夜爽夜夜爽视频| 久久久久久久亚洲中文字幕| 女人被躁到高潮嗷嗷叫费观| 成人二区视频| av有码第一页| 女人精品久久久久毛片| 一二三四在线观看免费中文在 | 亚洲成av片中文字幕在线观看 | 美女国产视频在线观看| 亚洲欧美中文字幕日韩二区| 在线精品无人区一区二区三| 色吧在线观看| 一级毛片我不卡| av黄色大香蕉| 大话2 男鬼变身卡| www.熟女人妻精品国产 | 日本wwww免费看| 午夜老司机福利剧场| 99久久人妻综合| 国产av码专区亚洲av| 国产男人的电影天堂91| 久久精品夜色国产| 久久av网站| 成人手机av| 亚洲精品av麻豆狂野| 丝瓜视频免费看黄片| 黄色配什么色好看| 国产精品人妻久久久影院| 国产片特级美女逼逼视频| av视频免费观看在线观看| 香蕉国产在线看| 91精品国产国语对白视频| 乱人伦中国视频| 中文字幕另类日韩欧美亚洲嫩草| 国产高清国产精品国产三级| 国产在线一区二区三区精| 九九在线视频观看精品| 狂野欧美激情性xxxx在线观看| 国产成人aa在线观看| 欧美老熟妇乱子伦牲交| av免费在线看不卡| 黄色视频在线播放观看不卡| www.av在线官网国产| 免费观看a级毛片全部| 丰满乱子伦码专区| 国产精品人妻久久久影院| 一级毛片黄色毛片免费观看视频| 22中文网久久字幕| 成人国产麻豆网| 9色porny在线观看| 下体分泌物呈黄色| 久久久久久久大尺度免费视频| 免费黄频网站在线观看国产| 亚洲丝袜综合中文字幕| 婷婷色综合www| 亚洲成国产人片在线观看| 精品少妇久久久久久888优播| 亚洲成人一二三区av| 亚洲第一av免费看| 一级,二级,三级黄色视频| 国产片内射在线| 久久精品夜色国产| 巨乳人妻的诱惑在线观看| 不卡视频在线观看欧美| freevideosex欧美| 精品久久久久久电影网| 久久久久久久精品精品| 天天躁夜夜躁狠狠躁躁| 色94色欧美一区二区| 国产精品国产三级国产av玫瑰| 国产在视频线精品| 男女午夜视频在线观看 | 少妇的丰满在线观看| 91精品国产国语对白视频| 午夜精品国产一区二区电影| 日韩,欧美,国产一区二区三区| 男人操女人黄网站| 一二三四中文在线观看免费高清| 一边摸一边做爽爽视频免费| 成年动漫av网址| 伊人亚洲综合成人网| 有码 亚洲区| 亚洲国产色片| 亚洲三级黄色毛片| 精品国产一区二区三区久久久樱花| 两性夫妻黄色片 | 一边亲一边摸免费视频| 丰满迷人的少妇在线观看| 黄色毛片三级朝国网站| 各种免费的搞黄视频| 最新的欧美精品一区二区| 国产 一区精品| 少妇的逼好多水| 国内精品宾馆在线| www日本在线高清视频| 下体分泌物呈黄色| 国产成人午夜福利电影在线观看| 男女边摸边吃奶| xxx大片免费视频| 久久久久精品性色| 国产深夜福利视频在线观看| 欧美+日韩+精品| 黄片无遮挡物在线观看| 搡老乐熟女国产| 啦啦啦中文免费视频观看日本| 成年人午夜在线观看视频| 国产亚洲精品第一综合不卡 | 在线观看国产h片| 国产一区二区在线观看日韩| 亚洲欧美成人综合另类久久久| 超色免费av| 国国产精品蜜臀av免费| 精品国产国语对白av| 亚洲国产精品成人久久小说| 精品久久国产蜜桃| 两个人看的免费小视频| 啦啦啦视频在线资源免费观看| 精品一区二区三卡| 亚洲,欧美精品.| 亚洲精品日本国产第一区| 国产亚洲精品久久久com| 97人妻天天添夜夜摸| 菩萨蛮人人尽说江南好唐韦庄| 国产欧美日韩综合在线一区二区| 五月玫瑰六月丁香| 十分钟在线观看高清视频www| 夫妻性生交免费视频一级片| 亚洲经典国产精华液单| 成人手机av| 天堂8中文在线网| 免费黄色在线免费观看| 日韩一区二区视频免费看| 日本黄大片高清| 色吧在线观看| 国产在视频线精品| 亚洲图色成人| 性高湖久久久久久久久免费观看| 日本av免费视频播放| 男女高潮啪啪啪动态图| 国内精品宾馆在线| 国产淫语在线视频| 日韩一本色道免费dvd| av又黄又爽大尺度在线免费看| 99热网站在线观看| 亚洲欧美精品自产自拍| 日本av免费视频播放| 少妇的逼好多水| 久久人人爽人人片av| 国产伦理片在线播放av一区| 男女啪啪激烈高潮av片| 色视频在线一区二区三区| 女的被弄到高潮叫床怎么办| 亚洲精品美女久久久久99蜜臀 | 久久精品久久久久久噜噜老黄| 国产精品欧美亚洲77777| 99热全是精品| 伦精品一区二区三区| 亚洲一区二区三区欧美精品| 亚洲精品久久午夜乱码| 性色av一级| 国产一区有黄有色的免费视频| 久久久久久久久久成人| 水蜜桃什么品种好| 国产精品久久久久久精品古装| 丝袜喷水一区| 国产一区二区三区综合在线观看 | 国产视频首页在线观看| 最近的中文字幕免费完整| 久久毛片免费看一区二区三区| 亚洲av欧美aⅴ国产| 亚洲av男天堂| 一区二区三区乱码不卡18| 精品亚洲成国产av| 亚洲第一区二区三区不卡| av免费在线看不卡| av不卡在线播放| 国产成人精品一,二区| 亚洲国产精品一区二区三区在线| 18禁裸乳无遮挡动漫免费视频| a 毛片基地| 亚洲精品美女久久久久99蜜臀 | 日韩av不卡免费在线播放| 国产极品天堂在线| 少妇的逼好多水| 午夜91福利影院| 精品亚洲成a人片在线观看| 亚洲,欧美,日韩| 建设人人有责人人尽责人人享有的| 18禁国产床啪视频网站| 亚洲人成77777在线视频| 日韩伦理黄色片| 制服人妻中文乱码| 99热6这里只有精品| 亚洲少妇的诱惑av| 国产有黄有色有爽视频| 一本色道久久久久久精品综合| 国精品久久久久久国模美| 欧美 日韩 精品 国产| 久久精品人人爽人人爽视色| 少妇的逼好多水| 国产精品久久久久成人av| 97超碰精品成人国产| 99久久中文字幕三级久久日本| 在现免费观看毛片| 日韩一区二区视频免费看| 少妇人妻 视频| 国产黄色视频一区二区在线观看| 久久久国产精品麻豆| 夫妻午夜视频| 涩涩av久久男人的天堂| 成人手机av| 欧美人与性动交α欧美软件 | 寂寞人妻少妇视频99o| 国产视频首页在线观看| 久久久久网色| 日本黄色日本黄色录像| 国产激情久久老熟女| 国产精品久久久久久久久免| 亚洲第一区二区三区不卡| 九色成人免费人妻av| 黄网站色视频无遮挡免费观看| 国产精品.久久久| www.熟女人妻精品国产 | 如日韩欧美国产精品一区二区三区| 99热国产这里只有精品6| 成年美女黄网站色视频大全免费| 99香蕉大伊视频| 中国国产av一级| 国产精品久久久久久久久免| 国产福利在线免费观看视频| 亚洲色图综合在线观看| 日韩电影二区| 亚洲国产精品专区欧美| 曰老女人黄片| 久久av网站| 少妇人妻久久综合中文| 自拍欧美九色日韩亚洲蝌蚪91| 春色校园在线视频观看| 考比视频在线观看| 中文字幕人妻丝袜制服| 国产精品国产三级国产av玫瑰| 色婷婷久久久亚洲欧美| 亚洲国产看品久久| 黑丝袜美女国产一区| 亚洲国产成人一精品久久久| 午夜福利网站1000一区二区三区| 日韩av免费高清视频| 在线 av 中文字幕| 成人影院久久| 在线 av 中文字幕| 男人添女人高潮全过程视频| 人体艺术视频欧美日本| 91成人精品电影| 亚洲精品美女久久av网站| 国产精品无大码| av电影中文网址| 国产色爽女视频免费观看| 十八禁网站网址无遮挡| 亚洲国产av新网站| 久久97久久精品| 丝袜脚勾引网站| 岛国毛片在线播放| av又黄又爽大尺度在线免费看| 麻豆乱淫一区二区| 亚洲av电影在线进入| 久久人人爽人人爽人人片va| 欧美 日韩 精品 国产| 免费女性裸体啪啪无遮挡网站| 欧美少妇被猛烈插入视频| 久久久久久久国产电影| 欧美日韩一区二区视频在线观看视频在线| 亚洲内射少妇av| 狠狠精品人妻久久久久久综合| 日本-黄色视频高清免费观看| 国产毛片在线视频| 最近中文字幕2019免费版| 中文字幕人妻熟女乱码| 亚洲精品av麻豆狂野| 美女视频免费永久观看网站| 亚洲成人av在线免费| 一本色道久久久久久精品综合| 最近2019中文字幕mv第一页| 精品酒店卫生间| 日韩中文字幕视频在线看片| a级毛色黄片| 九九在线视频观看精品| 黑人猛操日本美女一级片| 中文字幕制服av| 国产精品 国内视频| 国产1区2区3区精品| 日韩一区二区视频免费看| 亚洲国产av新网站| 午夜激情av网站| 欧美最新免费一区二区三区| 国产日韩一区二区三区精品不卡| 亚洲美女搞黄在线观看| 中文天堂在线官网| 亚洲欧美清纯卡通| 高清视频免费观看一区二区| 久久人人爽人人爽人人片va| 欧美成人精品欧美一级黄| 午夜福利在线观看免费完整高清在| 黄片播放在线免费| 在线免费观看不下载黄p国产| 亚洲成av片中文字幕在线观看 | 国产免费视频播放在线视频| 丝袜喷水一区| 亚洲欧美成人综合另类久久久| 久热久热在线精品观看| 亚洲精品乱码久久久久久按摩| 亚洲高清免费不卡视频| 国产在线免费精品| 9色porny在线观看| 国产一区有黄有色的免费视频| 国产 一区精品| 亚洲人与动物交配视频| 日本免费在线观看一区| 视频中文字幕在线观看| 精品国产一区二区三区四区第35| 26uuu在线亚洲综合色| 少妇 在线观看| 亚洲国产精品一区二区三区在线| 午夜福利视频精品| 亚洲精品美女久久久久99蜜臀 | 免费av中文字幕在线| 久久久国产欧美日韩av| 日本午夜av视频| 亚洲欧美日韩另类电影网站| 你懂的网址亚洲精品在线观看| 亚洲,一卡二卡三卡| 欧美+日韩+精品| 777米奇影视久久| 啦啦啦啦在线视频资源| 亚洲激情五月婷婷啪啪| 美国免费a级毛片| 国产精品不卡视频一区二区| 国产精品人妻久久久影院| 中文字幕免费在线视频6| 欧美亚洲 丝袜 人妻 在线| 男人爽女人下面视频在线观看| 国产有黄有色有爽视频| 卡戴珊不雅视频在线播放| 国产又色又爽无遮挡免| 国产精品无大码| videossex国产| 夜夜爽夜夜爽视频| 久久久久久久大尺度免费视频| 免费av不卡在线播放| 久久久久视频综合| 少妇熟女欧美另类| 久久久国产精品麻豆| 大码成人一级视频| 九九爱精品视频在线观看| 2022亚洲国产成人精品| 亚洲四区av| 国产精品一区二区在线观看99| 久久午夜综合久久蜜桃| 又黄又爽又刺激的免费视频.| 一区二区av电影网| 在线观看www视频免费| 国产福利在线免费观看视频| 亚洲成人手机| 秋霞伦理黄片| 国产一区亚洲一区在线观看| 18禁观看日本| 91aial.com中文字幕在线观看| 最后的刺客免费高清国语| 久久久久国产网址| 男女高潮啪啪啪动态图| 成年动漫av网址| 精品久久蜜臀av无| 久久精品国产亚洲av天美| 欧美日韩视频精品一区| 少妇 在线观看| 久久久久久久久久久久大奶| 中文字幕精品免费在线观看视频 | 欧美成人午夜精品| 国产欧美日韩综合在线一区二区| 蜜桃国产av成人99| 日本色播在线视频| 成人二区视频| 久久精品久久久久久噜噜老黄| 晚上一个人看的免费电影| 免费观看a级毛片全部| 黄色 视频免费看| 国产黄色免费在线视频| 又黄又粗又硬又大视频| 亚洲经典国产精华液单| 国产精品女同一区二区软件| 久久婷婷青草| 亚洲综合色网址| 国产亚洲精品第一综合不卡 | a 毛片基地| 制服丝袜香蕉在线| 9191精品国产免费久久| 国产欧美亚洲国产| 综合色丁香网| 人妻一区二区av| 国产精品三级大全| 夜夜爽夜夜爽视频| 国产一区亚洲一区在线观看| 国产亚洲av片在线观看秒播厂| 日韩制服骚丝袜av| 久久人人97超碰香蕉20202| 免费观看a级毛片全部| 成人二区视频| 亚洲美女黄色视频免费看| 99热这里只有是精品在线观看| 一级,二级,三级黄色视频| 欧美精品亚洲一区二区| 中文天堂在线官网| 久久久久精品性色| 永久免费av网站大全| 我要看黄色一级片免费的| 国产一区二区三区综合在线观看 | 久久亚洲国产成人精品v| √禁漫天堂资源中文www| 国产免费又黄又爽又色| 日韩av免费高清视频| 日韩电影二区| av免费在线看不卡| 三上悠亚av全集在线观看| 成人手机av| 99热全是精品| 日本与韩国留学比较| 久久精品久久久久久久性| 国产精品成人在线| 国产乱来视频区| 亚洲av中文av极速乱| 99热6这里只有精品| 国产黄色免费在线视频| 一级黄片播放器| 视频在线观看一区二区三区| 亚洲精品第二区| 婷婷色麻豆天堂久久| 午夜激情av网站| 日韩一本色道免费dvd| 下体分泌物呈黄色| 欧美精品人与动牲交sv欧美| 黄色视频在线播放观看不卡| 1024视频免费在线观看| 欧美成人午夜精品| 国产精品偷伦视频观看了| 亚洲精品中文字幕在线视频| 哪个播放器可以免费观看大片| 精品亚洲成国产av| 在线观看美女被高潮喷水网站| 一级毛片黄色毛片免费观看视频| 韩国av在线不卡| 精品一区二区三区四区五区乱码 | 国产欧美另类精品又又久久亚洲欧美| 人妻一区二区av| 婷婷色综合www| 午夜av观看不卡| 在线观看一区二区三区激情| 国产成人av激情在线播放| 国产有黄有色有爽视频| 亚洲精品中文字幕在线视频| 高清av免费在线| www.av在线官网国产| 欧美精品亚洲一区二区| 亚洲伊人久久精品综合| kizo精华| 高清欧美精品videossex| 午夜av观看不卡| 美女中出高潮动态图| 日日爽夜夜爽网站| 91午夜精品亚洲一区二区三区| 久久人人97超碰香蕉20202| 国国产精品蜜臀av免费| 欧美最新免费一区二区三区| 97精品久久久久久久久久精品| 少妇人妻 视频| 两个人免费观看高清视频| 咕卡用的链子| 国产一区二区三区av在线| 免费少妇av软件| 天堂8中文在线网| 日本免费在线观看一区| 欧美日韩亚洲高清精品| 男女国产视频网站| 中文字幕另类日韩欧美亚洲嫩草| 国产精品久久久久久久久免| 国产精品欧美亚洲77777| 99国产综合亚洲精品| 婷婷成人精品国产| 国产精品免费大片| 亚洲经典国产精华液单| 性色av一级| 日韩av免费高清视频| 免费高清在线观看日韩| 亚洲av综合色区一区| 亚洲内射少妇av| 黑丝袜美女国产一区| 婷婷成人精品国产| 国产精品欧美亚洲77777| 熟女电影av网| 晚上一个人看的免费电影| av一本久久久久| 久久人妻熟女aⅴ| 天天躁夜夜躁狠狠躁躁| 亚洲国产精品一区三区| 午夜福利网站1000一区二区三区| 亚洲av在线观看美女高潮| 在线观看国产h片| 国产免费一级a男人的天堂| 亚洲精品一区蜜桃| 观看美女的网站| 久久久久久久久久久久大奶| 丁香六月天网| 看免费av毛片| 婷婷色麻豆天堂久久| 日本欧美视频一区| av卡一久久| 国产精品成人在线| 一区二区日韩欧美中文字幕 |