• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于API調(diào)用管理的SDN應(yīng)用層DDoS攻擊防御機(jī)制

    2022-04-18 01:22:42王洋湯光明王碩楚江
    關(guān)鍵詞:信譽(yù)度應(yīng)用層合法

    王洋,湯光明,王碩,楚江

    (1.信息工程大學(xué),河南 鄭州 450001;2.中國西安衛(wèi)星測控中心,陜西 西安 710043)

    0 引言

    軟件定義網(wǎng)絡(luò)(SDN,software defined network)及其相關(guān)技術(shù)已經(jīng)成為未來網(wǎng)絡(luò)發(fā)展的重要方向之一[1-3]。然而,隨著軟件定義網(wǎng)絡(luò)的不斷發(fā)展和實踐應(yīng)用,SDN面臨諸多安全問題,極大地影響了其發(fā)展進(jìn)程[4]。事實上,由于SDN架構(gòu)的核心在于將網(wǎng)絡(luò)控制任務(wù)交給控制器處理,控制器自然而然成為整個網(wǎng)絡(luò)架構(gòu)的大腦,但這同時導(dǎo)致控制器成為網(wǎng)絡(luò)攻擊的焦點。特別地,攻擊者往往會發(fā)動針對控制器的分布式拒絕服務(wù)(DDoS,distributed denial-of-service)攻擊,從而使控制器資源耗盡,最終導(dǎo)致整個網(wǎng)絡(luò)癱瘓。因此,研究抵抗面向SDN的DDoS攻擊及檢測技術(shù)成為當(dāng)前SDN安全問題的研究熱點[5]。

    分析現(xiàn)有研究可知,針對SDN的DDoS攻擊及檢測技術(shù)集中于數(shù)據(jù)層和控制層,其發(fā)動攻擊的原理在于利用OpenFlow協(xié)議中的漏洞,通過持續(xù)發(fā)送特定數(shù)據(jù)包使交換機(jī)流表溢出或控制器資源耗盡。具體地,在數(shù)據(jù)層,攻擊者通過增加僵尸節(jié)點個數(shù)等手段使交換機(jī)流表空間溢出而無法正常工作[6]。在控制層,攻擊者通過向控制器持續(xù)發(fā)送packet-in數(shù)據(jù)包,導(dǎo)致控制器資源耗盡而拒絕服務(wù)[7]。針對該類型的DDoS檢測方法可分為三類(基于規(guī)則的檢測方法、基于統(tǒng)計信息的檢測方法和基于機(jī)器學(xué)習(xí)的檢測方法)[8],其本質(zhì)是對SDN中的流量進(jìn)行約束和測量。近年來,隨著深度學(xué)習(xí)技術(shù)的不斷發(fā)展,其相關(guān)技術(shù)廣泛應(yīng)用于DDoS攻擊檢測[9-12]。而針對該種類型的防御機(jī)制,主要依托于限速和遷移。Kandoi等[13]提出利用一種通過限制數(shù)據(jù)傳輸速率來緩解數(shù)據(jù)層或控制層DDoS攻擊的方法。喬思祎等[14]對OpenFlow交換機(jī)流表溢出問題的緩解機(jī)制進(jìn)行了深入研究,提出流表共享(FTS,flow table sharing)方法,完善了流表溢出處理機(jī)制。武澤慧等[15]提出基于OpenFlow交換機(jī)洗牌的DDoS攻擊動態(tài)防御方法,來緩解交換機(jī)遭遇的DDoS攻擊。

    事實上,SDN控制層北向接口(NBI,northbound interface)的安全性同樣對SDN的正常運行起關(guān)鍵作用。北向接口,作為控制層與應(yīng)用層的通道,隨著SDN應(yīng)用的廣泛普及,必然會受到越來越多攻擊者的關(guān)注。然而,針對北向接口的防御研究還比較少,主要集中在利用訪問控制來隔離攻擊者。Wen等[16]將控制器上的應(yīng)用程序和控制器內(nèi)核進(jìn)行隔離,提出一個應(yīng)用程序訪問權(quán)限管理系統(tǒng),實現(xiàn)對應(yīng)用程序權(quán)限的細(xì)粒度訪問控制。與之類似的,還有Klaedtke等[17]的工作。然而,一些攻擊者會通過研究訪問控制規(guī)則,設(shè)計相應(yīng)的繞過機(jī)制,從而使該類型的防御機(jī)制失效。鑒于此,本文研究主要針對SDN應(yīng)用層DDoS攻擊的防御,結(jié)合北向接口發(fā)展特點[18-20],提出一種基于應(yīng)用程序接口(API,application programming interface)惡意調(diào)用的SDN應(yīng)用層DDoS攻擊場景。進(jìn)一步地,為了防御該種類型攻擊,提出基于API調(diào)用管理的SDN應(yīng)用層DDoS防御機(jī)制,該機(jī)制通過在SDN應(yīng)用層和控制層之間增加一層App管理層,進(jìn)而通過對App的信譽(yù)管理、初始審查、映射分配、異常檢測和識別遷移,來抵抗惡意App對SDN的攻擊。

    1 SDN架構(gòu)及應(yīng)用層DDoS攻擊場景

    SDN架構(gòu)的核心思想是通過分離網(wǎng)絡(luò)控制與數(shù)據(jù)處理,賦予網(wǎng)絡(luò)可編程性,提高網(wǎng)絡(luò)的智能化與靈活性,最終提高網(wǎng)絡(luò)的整體運行效率。當(dāng)前,SDN的經(jīng)典架構(gòu)分為應(yīng)用層、控制層和數(shù)據(jù)層。

    應(yīng)用層主要指實現(xiàn)特定功能的SDN應(yīng)用程序。從當(dāng)前發(fā)展來看,SDN應(yīng)用程序大多是為了實現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡、拓?fù)錁?gòu)建以及安全管理等功能??刂茖幼鳛镾DN的核心,其主要依據(jù)SDN應(yīng)用需求,通過生成能夠用來控制細(xì)粒度網(wǎng)絡(luò)流量編排的流表,進(jìn)而實現(xiàn)對網(wǎng)絡(luò)的控制。數(shù)據(jù)層主要負(fù)責(zé)基于控制層下發(fā)流表的數(shù)據(jù)轉(zhuǎn)發(fā)。上述三層由兩個接口連接,北向接口用于連接應(yīng)用層與控制層,而南向接口(SBI,southbound interface)用于連接控制層與數(shù)據(jù)層。

    事實上,OpenFlow已成為當(dāng)前南向接口的標(biāo)準(zhǔn),針對南向接口的研究相對成熟,其安全性也得到很多學(xué)者的關(guān)注。然而,學(xué)者對北向接口的研究較少,目前還沒有形成得到廣泛認(rèn)可的標(biāo)準(zhǔn),其安全威脅更令人擔(dān)憂。隨著SDN技術(shù)的不斷發(fā)展,其應(yīng)用必定會更加豐富多樣,而北向接口作為開放給用戶的端口,是用戶通過可編程來實現(xiàn)自定義功能的重要通道。依據(jù)當(dāng)前SDN技術(shù)的發(fā)展潮流,靈活性將是SDN技術(shù)的靈魂。因此,設(shè)計北向接口的關(guān)鍵在于接口的可編程性與調(diào)用管理的便捷性。表征狀態(tài)轉(zhuǎn)移(REST,representational state transfer)作為設(shè)計開放靈活接口的約束準(zhǔn)則,受到研究者的普遍關(guān)注。越來越多的學(xué)者傾向于利用REST架構(gòu)來定義SDN應(yīng)用所需的各種API,進(jìn)而使SDN應(yīng)用層的應(yīng)用程序能夠直接調(diào)用API來實現(xiàn)應(yīng)用程序的高效開發(fā),最終推動SDN技術(shù)的快速普及。基于該種技術(shù),SDN應(yīng)用層可事先實現(xiàn)安全狀態(tài)信息收集、鏈路流量信息收集、流量規(guī)則沖突分析、流規(guī)則超時回調(diào)、流規(guī)則修改、交換機(jī)配置信息獲取、控制器配置信息獲取、IP地址跳變等API,進(jìn)一步以這些API為接口提供給SDN應(yīng)用調(diào)用。軟件定義網(wǎng)絡(luò)中應(yīng)用層工作時API調(diào)用時間序列示例如圖1所示。

    圖1 軟件定義網(wǎng)絡(luò)中應(yīng)用層工作時API調(diào)用時間序列示例 Figure 1 Example of API call time sequence when SDN application layer works

    由以上分析可知,SDN北向接口的安全性直接關(guān)系到整個SDN正常運行。當(dāng)前,針對SDN北向接口安全性的研究還比較少,缺乏嚴(yán)格的訪問控制、身份認(rèn)證及異常調(diào)用檢測等機(jī)制,這可能導(dǎo)致一些攻擊者故意開發(fā)惡意的應(yīng)用程序,造成北向接口API的濫用,以此實現(xiàn)對SDN的攻擊。鑒于此,本文研究主要針對SDN應(yīng)用層DDoS攻擊的防御。結(jié)合SDN網(wǎng)絡(luò)架構(gòu),模擬兩種攻擊者利用惡意的API調(diào)用實現(xiàn)SDN應(yīng)用層的DDoS攻擊場景,如圖2所示。

    圖2 軟件定義網(wǎng)絡(luò)中應(yīng)用層DDoS攻擊場景 Figure 2 DDoS attack scenario in SDN application layer

    攻擊場景1:在該攻擊場景下,攻擊者設(shè)計惡意App,繞過北向接口的安全審查,對某些API進(jìn)行短時間大量調(diào)用,進(jìn)而導(dǎo)致控制器崩潰,使整個網(wǎng)絡(luò)癱瘓。

    攻擊場景2:在該攻擊場景下,攻擊者以某個合法SDN應(yīng)用程序作為攻擊目標(biāo),對該應(yīng)用程序所需用的特定API進(jìn)行短時間大量調(diào)用,使該合法App無法正常調(diào)用API,進(jìn)而使該合法App無法正常工作。與場景1相比,該種攻擊相對比較隱蔽。

    2 API可信調(diào)用機(jī)制

    由上文可知,為抵抗攻擊者利用惡意的API調(diào)用實現(xiàn)SDN應(yīng)用層的DDoS攻擊,對北向接口的安全管理成為防御的關(guān)鍵。鑒于此,本文提出一種基于API調(diào)用管理的SDN應(yīng)用層DDoS防御機(jī)制,該機(jī)制通過在SDN應(yīng)用層和控制層之間增加一層App管理層,進(jìn)而通過對App的信譽(yù)管理、初始審查、映射分配、異常檢測和識別遷移,來抵抗惡意App對SDN的攻擊,整個架構(gòu)如圖3所示。App管理層各個模塊之間的協(xié)同關(guān)系如圖4所示。

    由圖3和圖4可知,為了實現(xiàn)對SDN北向接口的安全調(diào)用,提出的App管理層主要分為App運行前的合法審查、App與控制器映射分配、App運行時實時的異常檢測、非法App的識別遷移以及App信譽(yù)度評分5個主要模塊。其中,App運行前的合法審查、App與控制器映射分配、App運行時實時的異常檢測與惡意App的識別遷移是按App能夠正常運行在SDN中的邏輯先后順序劃分的:只有通過合法審查的App才能運行在SDN中;運行之前,需要App與控制器映射分配,以實現(xiàn)運行效率的最大化;運行過程中,需要對其進(jìn)行實時的異常檢測;一旦發(fā)現(xiàn)異常,則需要惡意App的識別遷移,以保證網(wǎng)絡(luò)重新正常運行。App信譽(yù)度評分則能夠為App運行前的合法審查以及App與控制器映射分配提供依據(jù)。

    圖3 軟件定義網(wǎng)絡(luò)中應(yīng)用層DDoS防御架構(gòu) Figure 3 DDoS defense architecture of SDN application layer

    圖4 App管理層各個模塊之間的協(xié)同關(guān)系 Figure 4 Synergy between modules of App management layer

    (1)App運行前的合法審查

    對于SDN應(yīng)用層中的每一個App,在其運行之前,均需要對其的API調(diào)用序列進(jìn)行合法性檢測,檢測結(jié)果判定為合法或不合法。經(jīng)判定不合法的App無法在應(yīng)用層運行。

    (2)App與控制器映射分配

    隨著SDN的不斷發(fā)展,SDN應(yīng)用不斷豐富,單一的控制器網(wǎng)絡(luò)架構(gòu)往往無法滿足網(wǎng)絡(luò)實際需求,而多個控制器協(xié)同工作是SDN控制層發(fā)展的必然趨勢。在此情況下,SDN的應(yīng)用層存在App與控制器映射分配的問題,即通過將當(dāng)前網(wǎng)絡(luò)所有運行的App合理分配給不同的控制器,實現(xiàn)控制器資源的最大化利用。

    (3)App運行時實時的異常檢測

    盡管每一個App在SDN應(yīng)用層運行之前均需進(jìn)行合法性審查,然而事實上,任何審查均存在一定的漏報率和誤報率。此外,由上文描述的攻擊場景2可知,一些攻擊者會精心設(shè)計惡意App,使它們能夠通過合法性審查而依然可對SDN實施攻擊。鑒于此,SDN需要實時對App運行狀況進(jìn)行異常檢測。進(jìn)一步分析可知,SDN的應(yīng)用層DDoS攻擊最終均會導(dǎo)致控制器資源耗盡,從而使合法用戶無法正常調(diào)用API。因此,通過對控制器運行狀態(tài)的監(jiān)視,能夠及時發(fā)現(xiàn)當(dāng)前SDN狀態(tài)的異常。

    (4)惡意App的識別遷移

    由合法審查和異常檢測模型可知,當(dāng)惡意App繞過審查而運行在SDN應(yīng)用層時,最終會導(dǎo)致控制器運行異常。本文僅考慮SDN應(yīng)用層的攻擊,即假定SND的控制層以及數(shù)據(jù)層不再遭遇其他類型的攻擊。由映射分配模塊可知,運行在同一個控制器上的App可能有多個,當(dāng)該控制器異常時,反映出連接在該控制器上的App存在惡意App,則非法App的識別遷移模塊對這些App進(jìn)行識別,即判斷出哪些App是合法的而哪些App是惡意的,在此基礎(chǔ)上,進(jìn)一步暫停惡意App運行而保證合法App的正常運行。

    (5)App信譽(yù)度評分

    通過對上述模塊分析可知,增加App管理層的目的是對惡意App的識別封禁,以保證合法App在SDN應(yīng)用層的正常運行。在此過程中,防御者可對所有App進(jìn)行統(tǒng)一的信譽(yù)度評分,對惡意App的來源進(jìn)行標(biāo)記,通過信譽(yù)度評分來提高對惡意App的檢測效率。

    通過以上分析可知,App運行時的異常檢測可通過對控制器運行狀態(tài)的監(jiān)視來實現(xiàn),而當(dāng)前針對SDN控制器異常檢測的研究很多,本文不做重點研究。此外,針對App信譽(yù)度評分的研究,可參考類似的信譽(yù)度評價相關(guān)模型[21-23],與SDN特性關(guān)聯(lián)性不強(qiáng)。本文將App信譽(yù)度評分設(shè)定為0到10分,且將小于5分的App設(shè)為惡意App,在此基礎(chǔ)上,分別提出基于滑動時間窗口的API調(diào)用合法性審查、基于信譽(yù)度排序的SDN應(yīng)用映射分配和惡意App清洗分離,以此實現(xiàn)完整的App管理層模塊。針對多控制器之間的管理與通信研究較多[3,24],這里不做深入探討。

    需要注意的是,軟件定義網(wǎng)絡(luò)應(yīng)用層DDoS攻擊與軟件定義網(wǎng)絡(luò)中SDN控制器是否是分布式的沒有任何關(guān)系。即無論軟件定義網(wǎng)絡(luò)中SDN控制器是單個還是多個,攻擊者均可對其發(fā)動應(yīng)用層DDoS攻擊。而本文強(qiáng)調(diào)的多控制器的目的是防御該種DDoS攻擊的需要:當(dāng)軟件定義網(wǎng)絡(luò)中的控制器僅有一個時,一旦攻擊者對其發(fā)動應(yīng)用層DDoS攻擊,整個網(wǎng)絡(luò)便會癱瘓;而當(dāng)軟件定義網(wǎng)絡(luò)中的控制器有多個時,防御者可通過對惡意App清洗分離來保證整個網(wǎng)絡(luò)的正常運行。

    2.1 基于滑動時間窗口的API調(diào)用合法性審查

    由上文可知,SDN應(yīng)用通過北向接口調(diào)用豐富的API以實現(xiàn)不同特定的功能。而針對SDN應(yīng)用層的DDoS攻擊,往往會開發(fā)惡意的App,進(jìn)而對某些API進(jìn)行短時間大量調(diào)用,以此耗盡控制器資源,使整個網(wǎng)絡(luò)崩潰。通過深入分析攻擊過程可知,為了避免API被惡意調(diào)用而導(dǎo)致SDN的崩潰,需要使所有App在調(diào)用API時滿足以下兩個約束條件。

    (1)同一個API之間的調(diào)用周期約束Tapix≥不妨假設(shè)北向接口中共有n個可供調(diào)用的API,API={api1,api2,api3,…,apin}。為了使SDN正常運行,每個API設(shè)定一個最小調(diào)用周期限制,以保證應(yīng)用的正常運行,即apix的最小調(diào)用周期為,如對于“IP地址跳變”API來說,當(dāng)過于頻繁調(diào)用該API時,SDN中的節(jié)點地址跳變過于頻繁,不能保證正常業(yè)務(wù)的運行。

    (2)不同API之間的調(diào)用資源約束R(T)≤Rmax(T)

    在SDN中,由于控制器的高度集中性,特別對于單控制器SDN,控制器具有一定的資源上限,若時間間隔T內(nèi),調(diào)用的API所需資源高于控制器資源上限,則控制器將無法正常運行,即R(T)≥Rmax(T)。不妨對每個API調(diào)用時所需資源進(jìn)行量化,設(shè)調(diào)用apix時所需資源為。進(jìn)一步假設(shè)SDN正常運行時,某一T時間內(nèi)調(diào)用的API序列為API(T)={api1,api2,api3,…,apim},則易知

    以上兩個約束條件從API本身特性及其對資源需求角度對其正常調(diào)用進(jìn)行了規(guī)定。顯然,符合兩個約束條件的App為合法App,不符合的則為惡意App。

    進(jìn)一步,本文以上述兩個約束條件為依據(jù),提出了基于滑動時間窗口的API調(diào)用合法性審查算法,如算法1所示。

    算法1基于滑動時間窗口的API調(diào)用合法性審查算法

    輸入某個Appm的API調(diào)用時間序列,各個API的最小調(diào)用周期,控制器調(diào)用資源約束Rmax(T)

    輸出 Result=Yes or No—Appm是否合法

    2.2 基于信譽(yù)度排序的SDN應(yīng)用映射分配

    為滿足日益增長的SDN應(yīng)用層需要,SDN控制平面往往會采取多個控制器協(xié)同工作的方式,且多個控制器實現(xiàn)負(fù)載均衡[25-26]。在此情況下,需要將所有SDN應(yīng)用映射分配到不同的控制器,使整個SDN負(fù)載均衡,最終實現(xiàn)網(wǎng)絡(luò)資源利用的最優(yōu)化,SDN應(yīng)用映射分配示例如圖5所示。

    由圖5可知,同一個控制器上往往分配有多個App,顯然,這些App同時運行時需要滿足算法1的兩個約束條件,才能保證控制器的正常運行。事實上,對App的合法性審查本質(zhì)上是對其調(diào)用的API時間序列進(jìn)行審查。由圖1可知,將多個App的API調(diào)用時間序列進(jìn)行合并,并依據(jù)API調(diào)用時間由小到大排列,可形成多個App共同運行時的API調(diào)用時間序列。由此可知,利用算法1能夠?qū)崿F(xiàn)對多個App能否共同運行做出判斷。此外,為了使整個控制平面實現(xiàn)負(fù)載均衡,從資源利用的角度,各個控制器映射分配過程需要考慮控制器負(fù)載。鑒于此,本文提出基于信譽(yù)度排序的SDN應(yīng)用層映射分配算法。

    圖5 SDN應(yīng)用映射分配示例 Figure 5 Example of SDN application mapping allocation

    算法2基于信譽(yù)度排序的SDN應(yīng)用層映射分配算法

    輸入目前待映射分配的SDN應(yīng)用集合APP={app1,app2,app3,… ,appm},控 制 器 集 合C= {c1, c2,c3,…, cn},控制器調(diào)用資源約束Rmax(T)。

    輸出SDN應(yīng)用集合與控制器集合間的映射分配關(guān)系A(chǔ)pp →C

    1) 將待映射分配的SDN應(yīng)用集合中的app按信譽(yù)度排序

    2) for每一個appl∈ APP //令Seq(appl)表示應(yīng)用appl的API調(diào)用時間序列

    3) for每一個ci∈C//假定將appl映射分配至控制器ci,此時控制器ci運行的app集合記為 ci(app),則其 API調(diào)用時間序列記為 Seq(ci)

    在算法2中,整個SDN中的負(fù)載均衡用diff表示,其可從兩個方面進(jìn)行量化:一是同一個控制器中運行的App構(gòu)成的API序列調(diào)用相對平滑;二是不同控制器間資源利用相對均衡。具體量化方法如下。

    (1)設(shè)Rk為時間序列,用于表示控制器在不同時間間隔T所占用的資源,用 diff1(Rk)來量化該時間序列的平穩(wěn)度,其值越小,說明控制器運行越平穩(wěn),負(fù)載均衡越好。通過實際SDN運行分析可知, diff1(Rk)的確定方法如下。

    (2)用 diff2(C)表示不同控制器中負(fù)載均衡程度。為簡單起見,本文采用不同控制器的時間序列Rk中的元素均值之間方差來進(jìn)行量 化,即

    (3)依據(jù)不同SDN實際需求,分別為上述兩個要素設(shè)定不同的權(quán)重,進(jìn)而利用權(quán)重和得到diff。

    其中,α和β分別為上述兩要素的權(quán)重,滿足α+β=1。

    2.3 惡意App清洗分離

    當(dāng)一個SDN控制器上運行有惡意App時,該SDN控制器由于資源耗盡而無法正常服務(wù),該SDN控制器被稱為受攻擊控制器。在該種情況下,由于該控制器上運行著多個App,防御者無法分辨哪些App是惡意的,哪些App是合法的。鑒于此,如何對受攻擊控制器上運行的App進(jìn)行快速清洗以分離出惡意App,并進(jìn)一步對合法App重新分配控制器以保證其正常運行,是一個值得研究的問題。SDN應(yīng)用層惡意App清洗分離過程示例如圖6所示。

    圖6 SDN應(yīng)用層惡意App清洗分離過程示例 Figure 6 Example of cleaning and separating malicious App in SDN application layer

    圖6中共有9個SDN應(yīng)用,其中包含兩個惡意的App,即app5和app7,控制平面有3個控制器。經(jīng)過初始的映射分配,app1、app2和app3分配到控制器c1,app4、app5和app6分配到控制器c2,app7、app8和app9分配到控制器c3。當(dāng)SDN運行時,由于惡意App的存在,控制器c2和c3無法正常工作。而防御者無法識別連接到這兩個App上的應(yīng)用程序哪些是合法的,哪些是惡意的,如圖6(a)所示。在此情況下,防御者實施惡意App清洗分離過程,如圖6(b)所示,隨機(jī)將app5分配到控制器c3,而將app8分配到控制器c2。在此情況下,控制器c2將恢復(fù)正常運行,而控制器c3將依然無法正常運行。由此可知,在SDN遭遇攻擊時,惡意App清洗分離能有效分離出合法App和惡意App。為了最大化清洗分離效率,本文對此過程進(jìn)行如下建模。

    設(shè)需要清洗分離的App集合為A,可供清洗分離的SDN控制器集合為C,控制器編號為1到|C|,其中|C|為控制器數(shù)量。每一輪的清洗分離可看作一個映射f。對于任一個控制器ci∈C,分配給該控制器的App集合記為Ai=f(ci),顯然Ai∈A。由于每一個App只能分配給一個控制器,則

    進(jìn)一步,設(shè)惡意App數(shù)量為Nv,設(shè)經(jīng)過一輪清洗分離操作后,仍有Na個合法的App無法正常運行(被攻擊),而有Nu個合法App可以正常運行,顯然,|A|=Na+Nu+Nv,其中|A|為所有待分配App數(shù)量。本文的目標(biāo)是設(shè)計最優(yōu)的清洗分離方法f,以使在各種條件下Nu的E(Nu)期望最大。如前文所述,對于任一個控制器ci∈C,分配給該控制器的App集合記為Ai=f(ci),進(jìn)一步,不妨設(shè)。由于只有當(dāng)一個控制器上分配的所有App均為合法App時,該控制器才能正常工作。相反,只要一個控制器上分配有一個惡意App,該控制器便無法正常工作,則控制器ci能正常工作的概率記為

    經(jīng)過Ai=f(ci)操作后,能夠分離出來的合法App數(shù)量的期望為pi?|Ai|。進(jìn)一步,易知

    由于控制器資源的限制,當(dāng)將App集合Ai分配給該控制器ci時,存在即使所有Ai中的App均為合法App而控制器也無法正常工作的情況,即控制器ci無法滿足App集合Ai中所有App同時正常運行。鑒于此,在清洗分離過程中,需要保證分配給控制器的App集合不能超出該控制器的資源限制。該條件可由算法1來判斷,即可表示為

    綜上所述可知,對惡意App清洗分離問題可視為一個最優(yōu)化問題,其目標(biāo)函數(shù)為方程(8),變量為分配方案f,約束條件為式(9)。直觀上,可供清洗分離的SDN控制器數(shù)量越多,則經(jīng)過每一輪清洗分離后合法App被分離出來的數(shù)量越多。若|C|≥|A|,則每一個App都能被分配到一個專有的 SDN 控制器上,在該種情況下,E(Nu)=|A| ?Nv,它意味著所有合法的App均能正常運行,而所有惡意的App均被一輪清洗分離而分離出來。然而,在實際的SDN中,控制器的數(shù)量一般較少,甚至是一個控制器的情況,而App的個數(shù)一般遠(yuǎn)遠(yuǎn)多于控制器的個數(shù)。考慮到此,如何設(shè)計清洗分離算法使盡快識別出惡意App是十分重要的。對于|C|≥1時,目標(biāo)函數(shù)是非線性的,且該類問題是NP難問題。對于該問題,本文利用貪心思想計算得出該方案的接近最優(yōu)解,其具有多項式時間。該惡意App清洗分離算法如下。

    算法3惡意App清洗分離算法

    輸入目前待清洗分離的SDN應(yīng)用集合A,可用的控制器集合C

    輸出各個控制器上分配的SDN應(yīng)用集合,用f表示,即f(ci)表示控制器上分配的App集合

    1) 將待映射分配的SDN應(yīng)用集合A中的所有app按信譽(yù)度排序形成Applist

    2) if length(AppList)≤|C|

    3) 為每一個App分配一個控制器

    4) else

    5) fori=1:|C|do //|C|表示集合C中的元素總個數(shù)

    6)f(ci)=Appassign(ci, Applist)

    7) AppList=AppListf(ci)//將當(dāng)前已分配完成的App從列表中刪除

    8) end

    1) Function Appassign(ControlID, AppList)//ControlID表示需要分配App的控制器,AppList表示當(dāng)前所有待清洗分離的App列表,該列表以App信譽(yù)度評分從高到低排列

    由此,可依據(jù)每一輪分配后的控制器能否正常工作,來清洗分離出惡意App。經(jīng)過多輪的清洗分離操作,最終將會使所有惡意App均被分離識別。

    此外,SDN中的惡意App數(shù)量越多,越要保證清洗分離盡快完成,則需要越多可供分配的控制器。因此,清洗之前,對SDN中的惡意App數(shù)量進(jìn)行評估,能夠為設(shè)定合適的控制器數(shù)量提供依據(jù)。需要注意的是,若一個控制器上所有的App均為合法App,則該控制器正常運行,不參加惡意App的清理分離任務(wù);若一個控制器上至少存在一個惡意App,則該控制器上的其他合法App也無法正常工作,而通過不斷的清洗分離,這些合法的App將被分配至其他的控制器,最終得以正常工作。由此可見,惡意App清洗分離過程可能會導(dǎo)致無法正常工作的合法App頻繁切換控制器,但不會對本身正常運行的合法App造成影響。

    不妨設(shè)appl的信譽(yù)度評分為 creditappl,則一個App為惡意的概率可記為

    一個App為正常的概率為

    于是

    進(jìn)一步,利用最大似然估計原理,可得

    其中,X*表示控制器ci上惡意App數(shù)量的估計值。

    3 實驗與驗證

    針對SDN應(yīng)用層的研究比較少,基于REST API調(diào)用的SDN應(yīng)用較缺乏。本文借鑒已被學(xué)者認(rèn)可的大規(guī)模網(wǎng)絡(luò)端地址跳變實現(xiàn)機(jī)理[27],通過仿真實現(xiàn)了一個使目標(biāo)SDN所有終端地址跳變的API。具體地,借助Mininet創(chuàng)建SDN拓?fù)?,RYU作為控制器,如圖7所示。

    圖7 實驗網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu) Figure 7 Topology of experimental network

    圖7所示實驗網(wǎng)絡(luò)中的終端數(shù)量可動態(tài)調(diào)整,正常情況下,各終端之間能夠維持通信,從而保證正常的業(yè)務(wù)活動。當(dāng)SDN應(yīng)用程序調(diào)用跳變API時,該網(wǎng)絡(luò)中所有終端的IP地址會發(fā)生跳變,而后該SDN仍能正常工作。然而事實上,若攻擊者制作一個惡意App,該App短時間大量調(diào)用跳變API,顯然會造成網(wǎng)絡(luò)崩潰,這種情況相當(dāng)于攻擊者從SDN應(yīng)用層發(fā)起了DDoS攻擊。本文實驗部分所配置的控制器個數(shù)是動態(tài)變化的,而圖7為了便于畫圖需要,又為體現(xiàn)多個物理控制器的邏輯集中,故用一個控制器代替。為了進(jìn)一步驗證SDN應(yīng)用層攻擊會為網(wǎng)絡(luò)正常運行造成影響,首先對網(wǎng)絡(luò)正常運行的條件進(jìn)行定量表示:模擬SDN業(yè)務(wù)需求,設(shè)定兩臺主機(jī)維持運行服務(wù)4 h,每隔10 min服務(wù)一次,每次服務(wù)需要維持一定的服務(wù)時間(ST,service time)。若網(wǎng)絡(luò)達(dá)到該要求,即可認(rèn)為網(wǎng)絡(luò)正常運行。進(jìn)一步,通過仿真得到,不同條件下SDN服務(wù)正常運行率與跳變API調(diào)用頻率(次數(shù)/小時)之間的關(guān)系如圖8所示。

    圖8 不同條件下SDN服務(wù)正常運行率與 跳變API調(diào)用頻率之間的關(guān)系 Figure 8 Relationship between normal operation rate of SDN service and call frequency of hopping API under different conditions

    由圖8可知,對于不同的服務(wù)時間要求,SDN服務(wù)正常運行率均隨跳變API調(diào)用頻率的增大而減小,且當(dāng)跳變API調(diào)用頻率達(dá)到一定值后,SDN服務(wù)正常運行率會變得很小,即不能正常工作。由此可見,當(dāng)SDN應(yīng)用通過短時間內(nèi)高頻率的調(diào)用API能夠使SDN運行的正常服務(wù)癱瘓,即造成SDN應(yīng)用層DDoS攻擊。由此,可通過對具體的SDN進(jìn)行實際運行測試,以此來準(zhǔn)確設(shè)定參數(shù)和Rmax(T)的值。

    通過對現(xiàn)有文獻(xiàn)進(jìn)行分析,針對SDN北向接口安全性的研究比較少,Oktian等[28]提出了一種針對SDN北向接口API身份認(rèn)證的方法。但其存在兩方面缺陷:一是認(rèn)證方法僅是理論上的且設(shè)計相對簡單,實際的應(yīng)用效果并不明確;二是對于前文提出的攻擊場景2中攻擊方法無效,一些攻擊者會采用分布式的攻擊方法,通過構(gòu)造多個看似合法的App(每個App都能通過身份認(rèn)證),并利用這些App同時調(diào)用同一個API,以實現(xiàn)對SDN應(yīng)用層的攻擊。事實上,本文提出的基于API調(diào)用管理的SDN應(yīng)用層DDoS攻擊防御機(jī)制,側(cè)重于在攻擊發(fā)生前對惡意App進(jìn)行事先審查,以避免攻擊的發(fā)生。其次,若攻擊發(fā)生,需要對合法App和惡意App進(jìn)行快速清洗分離。本文算法對上文提出的兩個攻擊場景均有較好的防御效果。此外,算法的運行效率是驗證該防御機(jī)制有效性的關(guān)鍵。鑒于此,對上一節(jié)所示3個算法運行效率進(jìn)行了仿真測試。API序列長度對API調(diào)用合法性檢查所用時間的影響如圖9所示。

    圖9 API序列長度對API調(diào)用合法性檢查所用時間的影響 Figure 9 The influence of API sequence length on the time for checking the validity of API calls

    在本文實驗中,App序列長度指的是SDN應(yīng)用程序所調(diào)用的API數(shù)量,如某一App的調(diào)用API序列為API={api1,api2,api3,…,apim},則稱該App序列長度為m,即App序列長度可認(rèn)為是該App調(diào)用的API序列長度。顯然,App序列長度對算法運行效率有較大的影響。由圖9實驗結(jié)果知,當(dāng)API序列長度小于600時,API調(diào)用合法性檢查算法所需時間在100 s以內(nèi)。事實上,該審查算法一般在App運行之前進(jìn)行,對實時性要求不高;其次,通過分析已有的SDN應(yīng)用,其API調(diào)用長度一般在100以內(nèi)。綜上可知,本文所提算法能夠滿足實用要求。

    進(jìn)一步,當(dāng)設(shè)定App數(shù)量為100、SDN控制器數(shù)量為4時,API序列長度對映射分配所用時間的影響如圖10所示;當(dāng)設(shè)定App數(shù)量為100、App序列長度為10時,SDN控制器個數(shù)對映射分配所用時間的影響如圖11所示;當(dāng)設(shè)定App序列長度10、SDN控制器數(shù)量為4時,App個數(shù)對映射分配所用時間的影響如圖12所示。

    圖10 API序列長度對映射分配所用時間的影響 Figure 10 Influence of API sequence length on mapping allocation time

    圖11 SDN控制器個數(shù)對映射分配所用時間的影響 Figure 11 Influence of SDN controller number on mapping allocation time

    圖12 App個數(shù)對映射分配所用時間的影響 Figure 12 Influence of the number of Apps on the time of mapping and allocation

    圖10~圖12中所示的API序列長度指的是所有App序列長度均保持一致。由圖10可知,當(dāng)API序列長度維持在300以內(nèi)時,映射分配所用時間維持在1 000 s以內(nèi),而當(dāng)API序列長度繼續(xù)增長時,映射分配所用時間呈指數(shù)增加;由圖11可知,當(dāng)API序列長度、App數(shù)量一定時,映射分配所用時間隨SDN控制器數(shù)量近似呈線性增加;同樣地,由圖12可知,當(dāng)API序列長度、SDN控制器數(shù)量一定時,映射分配所用時間隨App數(shù)量近似呈線性增加。由上述3個圖可知,App序列長度對映射分配所用時間的影響最大。事實上,對于SDN來說,正常運行時,App數(shù)量一般不會超過200,API序列長度不會超過100。在該種情況下,無論SDN控制器數(shù)量多少,映射分配所用時間均在可接受時間內(nèi),能夠滿足實際網(wǎng)絡(luò)需求。

    最后,本文對惡意App清洗分離算法進(jìn)行了仿真測試,設(shè)定正常App數(shù)量為100,惡意App數(shù)量為10,App序列長度為10,則得出SDN控制器個數(shù)對清洗分離次數(shù)的影響如圖13所示,SDN控制器個數(shù)對清洗分離所需時間的影響如圖14所示。

    圖13 SDN控制器個數(shù)對清洗分離次數(shù)的影響 Figure 13 Influence of the number of SDN controllers on cleaning and separation times

    由圖13和圖14可知,當(dāng)SDN中正常App數(shù)量、惡意App數(shù)量以及App序列長度一定時,清洗分離次數(shù)以及清洗分離所需時間均隨SDN控制器個數(shù)的增加而降低,且清洗分離所需時間低于1 000 s。由此可知,在SDN中,通過部署多個SDN控制器,能夠加快清洗分離所需時間,降低DDoS攻擊對目標(biāo)網(wǎng)絡(luò)的影響。

    圖14 SDN控制器個數(shù)對清洗分離所需時間的影響 Figure 14 Influence of the number of SDN controllers on the time required for cleaning and separation

    4 結(jié)束語

    針對DDoS攻擊對北向接口造成的威脅日益擴(kuò)大的問題,本文模擬了對其可能的DDoS攻擊樣態(tài),并據(jù)此建立了基于API調(diào)用管理的SDN應(yīng)用層DDoS防御機(jī)制。該機(jī)制通過在SDN應(yīng)用層和控制層之間增加一層App管理層,進(jìn)而通過對App的信譽(yù)管理、初始審查、映射分配、異常檢測和識別遷移,來抵抗惡意App對SDN的攻擊。實驗結(jié)果表明,本文提出的安全防御方案能夠有效地對SDN應(yīng)用層的DDoS攻擊進(jìn)行防御。

    猜你喜歡
    信譽(yù)度應(yīng)用層合法
    合法兼職受保護(hù)
    被賴賬討薪要合法
    公民與法治(2020年3期)2020-05-30 12:29:56
    合法外衣下的多重阻撓
    中國外匯(2019年14期)2019-10-14 00:58:32
    基于分級保護(hù)的OA系統(tǒng)應(yīng)用層訪問控制研究
    找個人來替我懷孕一一代孕該合法嗎?
    媽媽寶寶(2017年2期)2017-02-21 01:21:22
    新一代雙向互動電力線通信技術(shù)的應(yīng)用層協(xié)議研究
    蚌埠市住宿場所衛(wèi)生信譽(yù)度A級單位各項指標(biāo)得分情況分析
    物聯(lián)網(wǎng)技術(shù)在信息機(jī)房制冷系統(tǒng)中的應(yīng)用
    賣“信譽(yù)度”的財富
    黨員文摘(2014年11期)2014-11-04 10:42:47
    云環(huán)境下基于信譽(yù)度的評估模型的研究
    国产淫片久久久久久久久 | 国产免费一级a男人的天堂| eeuss影院久久| 欧美一区二区亚洲| 99久久精品国产亚洲精品| 亚洲欧美日韩高清在线视频| 亚洲色图av天堂| 免费看光身美女| 国产精品综合久久久久久久免费| 午夜福利在线在线| 亚洲内射少妇av| 高清毛片免费观看视频网站| 国产av一区在线观看免费| 国内精品一区二区在线观看| 亚洲国产精品sss在线观看| 欧美性猛交黑人性爽| 啪啪无遮挡十八禁网站| 毛片女人毛片| 午夜精品在线福利| 桃红色精品国产亚洲av| 在线看三级毛片| av片东京热男人的天堂| 久久久国产成人精品二区| 久99久视频精品免费| 久99久视频精品免费| 99精品久久久久人妻精品| 成人av在线播放网站| 国产成人aa在线观看| 欧美色欧美亚洲另类二区| 久久精品国产99精品国产亚洲性色| 校园春色视频在线观看| 国产av一区在线观看免费| 欧美一级a爱片免费观看看| 久久久久久久久中文| 无限看片的www在线观看| 在线a可以看的网站| 国产一区在线观看成人免费| 色播亚洲综合网| 欧美成人免费av一区二区三区| 久久精品国产综合久久久| 成人国产一区最新在线观看| 香蕉丝袜av| aaaaa片日本免费| 久久久久久久久中文| 国内少妇人妻偷人精品xxx网站| 免费电影在线观看免费观看| 麻豆国产av国片精品| xxx96com| av在线蜜桃| 亚洲av免费在线观看| a在线观看视频网站| 黄色丝袜av网址大全| 国产精品98久久久久久宅男小说| 色吧在线观看| 国产真实乱freesex| 国内精品久久久久精免费| 日本黄大片高清| 国产成年人精品一区二区| 国产成人影院久久av| 国产av一区在线观看免费| 黄色日韩在线| 亚洲18禁久久av| 日本一二三区视频观看| 午夜视频国产福利| 无遮挡黄片免费观看| av在线天堂中文字幕| 国产视频内射| 成年版毛片免费区| 精品国产三级普通话版| 午夜福利在线观看吧| 国产高清videossex| 日本成人三级电影网站| 日本精品一区二区三区蜜桃| 1024手机看黄色片| 欧美高清成人免费视频www| 婷婷精品国产亚洲av在线| 90打野战视频偷拍视频| 女人被狂操c到高潮| 两性午夜刺激爽爽歪歪视频在线观看| 欧美在线黄色| 黄片大片在线免费观看| 午夜视频国产福利| 国产三级中文精品| 最近最新中文字幕大全免费视频| av黄色大香蕉| 精品一区二区三区视频在线观看免费| 色综合站精品国产| 最新在线观看一区二区三区| 欧美激情久久久久久爽电影| 丰满人妻一区二区三区视频av | 91九色精品人成在线观看| 久久欧美精品欧美久久欧美| 成人午夜高清在线视频| 级片在线观看| 国产精品综合久久久久久久免费| 超碰av人人做人人爽久久 | 91字幕亚洲| 九九热线精品视视频播放| e午夜精品久久久久久久| 成人永久免费在线观看视频| 黄色女人牲交| 亚洲人成电影免费在线| 久久精品亚洲精品国产色婷小说| 久久久成人免费电影| 性色avwww在线观看| 国产色爽女视频免费观看| 午夜福利在线观看免费完整高清在 | 1000部很黄的大片| 国产欧美日韩精品亚洲av| 亚洲成人久久爱视频| 亚洲午夜理论影院| 午夜a级毛片| 午夜老司机福利剧场| 亚洲人成网站高清观看| av中文乱码字幕在线| 日本免费a在线| 欧美极品一区二区三区四区| 夜夜看夜夜爽夜夜摸| 亚洲av美国av| 日本黄色片子视频| 国产视频一区二区在线看| 亚洲国产欧洲综合997久久,| xxxwww97欧美| 又黄又爽又免费观看的视频| 亚洲精品色激情综合| 精品熟女少妇八av免费久了| 久久久久国产精品人妻aⅴ院| 国产精品久久久人人做人人爽| 国产亚洲精品久久久com| 国产av麻豆久久久久久久| 国产三级中文精品| 夜夜爽天天搞| av专区在线播放| 国产极品精品免费视频能看的| 亚洲熟妇中文字幕五十中出| 狂野欧美激情性xxxx| 亚洲色图av天堂| 在线免费观看的www视频| 欧美乱妇无乱码| 天堂av国产一区二区熟女人妻| 女人高潮潮喷娇喘18禁视频| 岛国在线免费视频观看| 国产色婷婷99| 日本五十路高清| 69av精品久久久久久| 一本精品99久久精品77| 欧美又色又爽又黄视频| 午夜老司机福利剧场| 国产色婷婷99| 搡老岳熟女国产| 免费看十八禁软件| 人人妻人人看人人澡| 亚洲精品成人久久久久久| 最后的刺客免费高清国语| 国产探花在线观看一区二区| 每晚都被弄得嗷嗷叫到高潮| 成人午夜高清在线视频| 99热精品在线国产| 久久精品夜夜夜夜夜久久蜜豆| 桃红色精品国产亚洲av| 搞女人的毛片| 国产av不卡久久| 欧美丝袜亚洲另类 | 欧美日本视频| 久久中文看片网| 久99久视频精品免费| 一个人看视频在线观看www免费 | 一本综合久久免费| 国产成年人精品一区二区| 一级黄片播放器| 手机成人av网站| 亚洲,欧美精品.| 在线免费观看不下载黄p国产 | a级一级毛片免费在线观看| 日本与韩国留学比较| 男女视频在线观看网站免费| 中文字幕久久专区| 一区福利在线观看| 狂野欧美白嫩少妇大欣赏| 欧美精品啪啪一区二区三区| 欧美黑人欧美精品刺激| 久久草成人影院| 国产精品久久久久久久电影 | 国产黄片美女视频| 国产欧美日韩精品亚洲av| 最新在线观看一区二区三区| 在线a可以看的网站| 国产精品日韩av在线免费观看| 美女高潮的动态| 九九在线视频观看精品| 日本a在线网址| 国产成人a区在线观看| 日本与韩国留学比较| 欧美成人一区二区免费高清观看| 中文字幕av在线有码专区| av欧美777| 国产欧美日韩一区二区精品| 国产乱人伦免费视频| 国产一区二区在线av高清观看| 欧美3d第一页| 每晚都被弄得嗷嗷叫到高潮| 69人妻影院| 一本精品99久久精品77| 999久久久精品免费观看国产| 久久婷婷人人爽人人干人人爱| 亚洲狠狠婷婷综合久久图片| 国产中年淑女户外野战色| 激情在线观看视频在线高清| 国产一区二区三区在线臀色熟女| 精品久久久久久久久久免费视频| 日韩 欧美 亚洲 中文字幕| 亚洲欧美日韩高清专用| 欧美+日韩+精品| 丰满人妻一区二区三区视频av | 欧美日韩黄片免| 免费看美女性在线毛片视频| 欧美大码av| 午夜影院日韩av| 十八禁人妻一区二区| 91在线观看av| 天堂√8在线中文| 欧美日韩亚洲国产一区二区在线观看| 12—13女人毛片做爰片一| 久久6这里有精品| 免费在线观看日本一区| 国产伦精品一区二区三区视频9 | 伊人久久大香线蕉亚洲五| 亚洲av熟女| 美女被艹到高潮喷水动态| 国产精品香港三级国产av潘金莲| 99久久精品国产亚洲精品| 全区人妻精品视频| 最近最新中文字幕大全免费视频| 中文字幕av在线有码专区| 国产欧美日韩一区二区三| 国产视频内射| 亚洲一区二区三区色噜噜| 欧美成人性av电影在线观看| 91九色精品人成在线观看| 欧美黄色片欧美黄色片| 久久草成人影院| 每晚都被弄得嗷嗷叫到高潮| 午夜老司机福利剧场| 成人永久免费在线观看视频| 床上黄色一级片| 日本三级黄在线观看| 男人舔奶头视频| 亚洲精品久久国产高清桃花| 少妇高潮的动态图| 午夜亚洲福利在线播放| 亚洲午夜理论影院| 久久香蕉国产精品| 亚洲在线观看片| 男人舔女人下体高潮全视频| 两人在一起打扑克的视频| 日本黄色视频三级网站网址| 一区二区三区免费毛片| 国产熟女xx| 五月玫瑰六月丁香| 国产又黄又爽又无遮挡在线| avwww免费| 老司机午夜十八禁免费视频| 日本免费一区二区三区高清不卡| 十八禁人妻一区二区| 亚洲va日本ⅴa欧美va伊人久久| 少妇的逼好多水| 欧洲精品卡2卡3卡4卡5卡区| 免费看a级黄色片| 国产欧美日韩一区二区精品| 在线天堂最新版资源| 国产伦人伦偷精品视频| 丁香六月欧美| 天堂√8在线中文| 国产av一区在线观看免费| 欧美日本亚洲视频在线播放| 国产中年淑女户外野战色| 国产极品精品免费视频能看的| 久久6这里有精品| 免费av观看视频| 欧美黄色片欧美黄色片| 99久久成人亚洲精品观看| 日韩成人在线观看一区二区三区| 国产精品美女特级片免费视频播放器| 亚洲电影在线观看av| 丝袜美腿在线中文| 免费看光身美女| 淫秽高清视频在线观看| 怎么达到女性高潮| 88av欧美| 国产久久久一区二区三区| 午夜影院日韩av| 中国美女看黄片| 亚洲欧美日韩东京热| 久久久久久大精品| 亚洲av中文字字幕乱码综合| 19禁男女啪啪无遮挡网站| 国产综合懂色| 热99在线观看视频| 人妻久久中文字幕网| 午夜免费成人在线视频| 女警被强在线播放| 亚洲专区中文字幕在线| av女优亚洲男人天堂| 九九在线视频观看精品| 亚洲国产精品成人综合色| 久久精品国产综合久久久| 国产国拍精品亚洲av在线观看 | 丁香欧美五月| x7x7x7水蜜桃| 国产爱豆传媒在线观看| www.www免费av| 精品国内亚洲2022精品成人| 亚洲美女黄片视频| 俄罗斯特黄特色一大片| av视频在线观看入口| 国产精品,欧美在线| 无人区码免费观看不卡| 成人国产综合亚洲| 麻豆国产97在线/欧美| 亚洲人成网站在线播| 三级国产精品欧美在线观看| 亚洲av一区综合| 制服人妻中文乱码| 伊人久久大香线蕉亚洲五| 精品久久久久久久末码| 99热这里只有精品一区| 身体一侧抽搐| 最近最新中文字幕大全免费视频| 国内久久婷婷六月综合欲色啪| 91字幕亚洲| 亚洲aⅴ乱码一区二区在线播放| 欧美日韩亚洲国产一区二区在线观看| 国产欧美日韩精品一区二区| 人人妻人人澡欧美一区二区| 欧美性感艳星| 欧美一级毛片孕妇| 国产毛片a区久久久久| 91麻豆精品激情在线观看国产| 一区二区三区免费毛片| 一级毛片高清免费大全| 两个人的视频大全免费| 亚洲av一区综合| 亚洲一区高清亚洲精品| 91九色精品人成在线观看| 国产极品精品免费视频能看的| 国内毛片毛片毛片毛片毛片| 日本三级黄在线观看| 老熟妇仑乱视频hdxx| 国产精品久久久久久精品电影| 午夜福利视频1000在线观看| 亚洲欧美精品综合久久99| 国产午夜精品论理片| 国产精品久久久久久亚洲av鲁大| 国产三级黄色录像| e午夜精品久久久久久久| 亚洲精品乱码久久久v下载方式 | 两个人视频免费观看高清| 狂野欧美激情性xxxx| 激情在线观看视频在线高清| 床上黄色一级片| 欧美中文日本在线观看视频| 国语自产精品视频在线第100页| 国产欧美日韩精品亚洲av| 精品久久久久久成人av| 亚洲精品亚洲一区二区| 国模一区二区三区四区视频| 免费一级毛片在线播放高清视频| avwww免费| 一进一出抽搐动态| 白带黄色成豆腐渣| 久久香蕉国产精品| 欧美一级毛片孕妇| 午夜福利在线观看免费完整高清在 | 人妻丰满熟妇av一区二区三区| 精品久久久久久,| tocl精华| www日本在线高清视频| 哪里可以看免费的av片| 亚洲avbb在线观看| 神马国产精品三级电影在线观看| 18禁裸乳无遮挡免费网站照片| 欧美日本视频| 深夜精品福利| 蜜桃亚洲精品一区二区三区| 大型黄色视频在线免费观看| 一本久久中文字幕| 成人高潮视频无遮挡免费网站| 国产一区二区在线av高清观看| 69av精品久久久久久| 无人区码免费观看不卡| h日本视频在线播放| or卡值多少钱| 精品一区二区三区av网在线观看| 一级a爱片免费观看的视频| 99riav亚洲国产免费| 亚洲五月婷婷丁香| 久久久久免费精品人妻一区二区| 中文字幕人妻丝袜一区二区| 日韩欧美在线二视频| 日韩欧美国产一区二区入口| 18禁裸乳无遮挡免费网站照片| 香蕉久久夜色| 亚洲精品色激情综合| 性欧美人与动物交配| 校园春色视频在线观看| 男女午夜视频在线观看| 可以在线观看的亚洲视频| 精品国产超薄肉色丝袜足j| 老鸭窝网址在线观看| 两性午夜刺激爽爽歪歪视频在线观看| 久久久国产精品麻豆| 国内精品久久久久精免费| 国产91精品成人一区二区三区| 亚洲av电影不卡..在线观看| 亚洲精品一区av在线观看| 中文字幕精品亚洲无线码一区| 亚洲人成网站在线播放欧美日韩| 国产精品久久视频播放| 老司机在亚洲福利影院| 国产高清有码在线观看视频| 在线播放无遮挡| 99精品欧美一区二区三区四区| 人妻久久中文字幕网| 国产真实伦视频高清在线观看 | 精品久久久久久成人av| 国产高潮美女av| 亚洲精品国产精品久久久不卡| 中文在线观看免费www的网站| 午夜福利欧美成人| 色视频www国产| 日本免费一区二区三区高清不卡| 精品一区二区三区视频在线 | 99riav亚洲国产免费| h日本视频在线播放| 欧美成人性av电影在线观看| 亚洲无线观看免费| 天堂动漫精品| 99热这里只有是精品50| 精品乱码久久久久久99久播| 欧美国产日韩亚洲一区| avwww免费| x7x7x7水蜜桃| 亚洲成人免费电影在线观看| 欧美黑人巨大hd| 国产精品一区二区三区四区免费观看 | 久久久成人免费电影| 精品熟女少妇八av免费久了| 日本黄大片高清| 国产亚洲av嫩草精品影院| 亚洲中文字幕日韩| 日韩欧美精品免费久久 | 好看av亚洲va欧美ⅴa在| 亚洲精品国产精品久久久不卡| 久久国产精品人妻蜜桃| 久久精品国产自在天天线| aaaaa片日本免费| 久久久久久人人人人人| 嫁个100分男人电影在线观看| 欧美最新免费一区二区三区 | 久久婷婷人人爽人人干人人爱| 成熟少妇高潮喷水视频| 久久国产乱子伦精品免费另类| 一级黄片播放器| 国产三级中文精品| 亚洲人与动物交配视频| 91久久精品电影网| 国产真实乱freesex| 亚洲成人久久性| 18美女黄网站色大片免费观看| 变态另类丝袜制服| 亚洲第一欧美日韩一区二区三区| 久久人人精品亚洲av| 国产美女午夜福利| 两个人的视频大全免费| 久久午夜亚洲精品久久| 国产极品精品免费视频能看的| 给我免费播放毛片高清在线观看| 激情在线观看视频在线高清| 亚洲欧美日韩卡通动漫| 国产单亲对白刺激| 亚洲av二区三区四区| 欧美成人a在线观看| 波野结衣二区三区在线 | 成人18禁在线播放| 搡女人真爽免费视频火全软件 | 国产精品永久免费网站| 搡老岳熟女国产| 免费看日本二区| av中文乱码字幕在线| xxxwww97欧美| 午夜福利高清视频| 在线观看日韩欧美| 亚洲国产高清在线一区二区三| 午夜免费激情av| 网址你懂的国产日韩在线| 男女视频在线观看网站免费| 婷婷亚洲欧美| 亚洲国产精品成人综合色| 搞女人的毛片| 两个人视频免费观看高清| 日韩精品中文字幕看吧| 国产精品 国内视频| 欧美日韩综合久久久久久 | 熟妇人妻久久中文字幕3abv| 嫩草影院精品99| 久久久久免费精品人妻一区二区| 极品教师在线免费播放| 香蕉久久夜色| 深爱激情五月婷婷| 成人永久免费在线观看视频| 国产黄色小视频在线观看| 伊人久久精品亚洲午夜| 香蕉丝袜av| 韩国av一区二区三区四区| 琪琪午夜伦伦电影理论片6080| 午夜精品一区二区三区免费看| 国产成年人精品一区二区| 中文字幕人妻熟人妻熟丝袜美 | 国产成人av激情在线播放| 亚洲精品色激情综合| 欧美一级a爱片免费观看看| 麻豆国产97在线/欧美| 中文字幕高清在线视频| a级毛片a级免费在线| 欧美日本视频| 亚洲av一区综合| 伊人久久精品亚洲午夜| 亚洲欧美日韩卡通动漫| 内射极品少妇av片p| 精品免费久久久久久久清纯| 国产精品乱码一区二三区的特点| 欧美激情在线99| 久久香蕉精品热| 禁无遮挡网站| 中文字幕av成人在线电影| 国产成人欧美在线观看| 午夜a级毛片| 久久久久久久亚洲中文字幕 | 久久久久久久精品吃奶| 757午夜福利合集在线观看| 欧美xxxx黑人xx丫x性爽| 999久久久精品免费观看国产| 精品欧美国产一区二区三| 此物有八面人人有两片| 成年免费大片在线观看| 国产成人系列免费观看| 亚洲第一欧美日韩一区二区三区| 国产免费av片在线观看野外av| 中文字幕人妻熟人妻熟丝袜美 | 国产探花在线观看一区二区| 长腿黑丝高跟| 少妇的逼水好多| 天美传媒精品一区二区| 国产黄片美女视频| 青草久久国产| 日韩精品青青久久久久久| www国产在线视频色| 黄色女人牲交| 亚洲不卡免费看| 99精品欧美一区二区三区四区| 中文字幕高清在线视频| 亚洲欧美一区二区三区黑人| 内射极品少妇av片p| 国模一区二区三区四区视频| 夜夜看夜夜爽夜夜摸| 麻豆国产av国片精品| 日韩欧美国产一区二区入口| 99久国产av精品| 草草在线视频免费看| 国产 一区 欧美 日韩| 九色成人免费人妻av| 欧美高清成人免费视频www| 听说在线观看完整版免费高清| 国产精品亚洲美女久久久| 女人十人毛片免费观看3o分钟| 一级黄色大片毛片| 久久午夜亚洲精品久久| 日韩欧美精品v在线| 99热精品在线国产| 最近最新免费中文字幕在线| 国产男靠女视频免费网站| 天堂网av新在线| 亚洲国产精品成人综合色| 男人舔奶头视频| 九色国产91popny在线| 国产高清有码在线观看视频| 欧美+亚洲+日韩+国产| 观看免费一级毛片| 岛国在线免费视频观看| 男人舔奶头视频| 日本一本二区三区精品| 丝袜美腿在线中文| 精品人妻1区二区| 欧美一级a爱片免费观看看| 国产精品久久久久久人妻精品电影| 午夜福利在线在线| 欧美一级a爱片免费观看看| 老鸭窝网址在线观看| 亚洲美女黄片视频| 99精品在免费线老司机午夜| 欧美xxxx黑人xx丫x性爽| 国产真实伦视频高清在线观看 | 在线播放国产精品三级| 观看美女的网站| 日韩人妻高清精品专区| 亚洲天堂国产精品一区在线| av视频在线观看入口| 人人妻,人人澡人人爽秒播| 99热这里只有是精品50| 91久久精品国产一区二区成人 | 亚洲成人久久爱视频| 久久中文看片网| 99久久九九国产精品国产免费| 亚洲欧美激情综合另类| 免费高清视频大片|