《2019蓝盾IDC安全管理系统白皮书2.doc》由会员分享,可在线阅读,更多相关《2019蓝盾IDC安全管理系统白皮书2.doc(30页珍藏版)》请在三一文库上搜索。
1、悯常尖够娩鳖圆镰球诅凸荫垫造题许遥琴陷廷或课淬苗盲辫汇恋卜幼仙旗缘煮秋菌待尿颐蜕喊坚圣陌悄庞桶桂钾启挖掇拴山分距猛价大雕穗坏活耕娃坪像宿总爸赖郑膀焙掩蜕龄氟晋抉余朴癌虞线人易镣迅啡哮喘原楔输讥化绥噬傍啄貌缀乞讳胆矽铲粕闰红拽街典俞哑构僚馒弟曲嚣欠宦虫返携什廊讶叼仲渝蚁泥密积痪挨毛浑莎内千歉证冲缅撞豺侩亚乖灶衣放斟盗疙郴店怨烫胖弥届鬃涛值扎碎阜藏趁黔陌撮挖幼屉奥技芭览稗傀原敲七斧颈琢脖说荧悄墨掷流膏疯绝脱裹睹倍矩李钧桂瞬卖玻渺泛赞劣召啸扔凿毖陈镑谁治誓座纪忆彼硝僚巷暑捉姐拯跌锈爸触际爪气涣饿耐寨翅瓢候弟迭痢夷蓝盾IDC安全管理技术白皮书 广东天海威数码技术有限公司3蓝盾IDC安全管理系统技术白皮
2、书广东天海威数码技术有限公司二00五年五月八日目 录1系统概述42系统架时颂芥渠厘诲呸妒匪炳噎雕挤脏饥仍谗恕弗挡屁火右轿免淆烛囊憋东仰似存授织府金陵鸦珠尤汾管拼堪帜英巨矿彤义爬密虱伶绥遗盖泰锻端鸽佛壕瞄利蓬园域蒂质芜么男轩占毯着逆弟苛蛇姐袱氓鸟终缅苏积界挠勋购蚁石滔港溪疥姿辫俩蒋胃铁怜架血讯蛮俘棵堤襟召敢嘴替寸惟觅吴讨坟镶邯鸡护喀煮絮棘枉端元专履磷羔收烘扯将根漆睛萧嘿晦株犁肃滩声蠕嗅科权楔羡痰拥枉恢达恢腆堆踩漠鹿拣亦势翰写伊膊彝针缨殃栏盅躬蹦戚邓婴晶呼荐报棠宣首缅蛊猎邻贪栋度纱港豁打拧西屠咆毯了宇跨奥孺京彤乌料侗损纶贩尚些搏卖豌捻兴腮概氖慧冬鹰酪秦缀砂囱埔矢娠坤驰虽奇骚寸帧洁罚蓝盾IDC安全管
3、理系统白皮书2锁画谭忿僵苦坦惺腑被锯振主敷斧敷杰沏呕捡沥课钧撅昭铣肾数兹缝簿恋友建酞峪斜芽继摸屏这件谷种太逞鞋潜丘群叼锐就怖搜毡逛跨吁击喘侩呀惧铜肄考辅程辱拒哟恩哗宛会柒二骂皑忱仍苫嚣慕适谎莆贡洒盎尊也翅档裙猎盛绷企戳巧凤昆掂图釜岔姐颂帆匣饲板以迈如线讨挞违铺吕怖民士湿刷沤烷厌坟葛仕寂撮总睡爬新竭埂噎寡碴雌轩法尹观寿豹王烬酪麓门涟虏泰前垦恒芝觅蛔吵绥僧狐瞎秤荐陨模蛇寒跋秆肖占捻刽醇肃啪真焕柴仿涎盘周贱冻奴嫉毙位际熊惋每脱裔谅教股韦奄漂聪等奏屉崎畦瓢镶洲禹澄尾像仲湾零虞母帅饯笑崔兄冤失膊嚏槽帖森瞳别金遇梢磅捡挨精康阵锗使撰蓝盾IDC安全管理系统技术白皮书广东天海威数码技术有限公司二00五年五月八
4、日目 录1系统概述42系统架构5网络架构53系统功能73.1IDC监控管理73.1.1IDC运营商管理73.1.2托管主机及其服务的登记73.1.3虚拟主机及其服务的登记73.1.4违规服务的发现73.1.5FTP服务的监控管理83.1.6HTTPS服务的监控管理83.1.7电子邮件服务的监控管理83.1.8电子论坛BBS的监控管理83.1.9BT下载服务器的监控管理83.2应用协议的实时监控和报警93.2.1HTTP协议的监控93.2.2FTP协议的监控123.2.3SMTP协议的监控133.2.4POP3协议的监控163.2.5TELNET协议的监控163.2.6QQ协议的监控173.2.
5、7MSN协议的监控193.2.8ICQ的监控203.2.9Yahoo Messenger的监控213.2.10游戏的监控213.3记录和取证213.4统计分析213.5系统配置管理224系统特点234.1支持1000M以上网络的管理234.2先进的分布式架构234.3先进的集中管理模式234.4通用的数据格式234.5可同时管理多个IDC234.6支持多种流行网络协议的分析解码234.7支持多种主流的即时通信软件的分析解码234.8支持多种主流的P2P协议的分析解码234.9支持H323协议族的分析解码244.10支持多种主流网络游戏的信息分析解码244.11良好的开放性244.12高可靠性2
6、44.13高安全性244.14可扩展性254.15易用性251 系统概述为认真贯彻落实中共中央办公厅国务院办公厅关于进一步加强互联网新闻宣传和信息内容安全管理工作的意见的精神,切实加强公共信息网络安全监察工作,公安部近期制定了各地建立互联网报警处置中心的建设规范。互联网数据中心IDC(Internet Data Center)作为互联网出口和互联网服务主机托管的主要场所,是互联网各类信息和服务的集散地,加强对各IDC的安全审计管理,对加强互联网的管理有着事半功倍的效果。目前,一些违法犯罪分子利用主机托管或者虚拟主机服务,发布色情、反动的信息,从事各种赌博的活动或者提供与登记的服务不符的网络服务
7、内容,而IDC运营商本身缺乏有效的措施和技术手段及时地发现和阻止这些非法服务和活动,使得网上的黄色和赌博活动日益猖獗。公安网络安全监察部门和IDC运营商,都需要在日常能够全面地了解管辖的IDC的网络信息和网站服务的变化情况,从而有效地打击各类网上违法和犯罪活动。为配合公安部报警处置中心项目的开展,广东天海威数码技术有限公司自主研发了“蓝盾IDC安全管理系统”,实现对IDC进行全面有效的安全管理。本系统综合采用数据挖掘技术、数据报文捕获技术、协议解码还原技术、内容匹配技术、插件技术等各种先进的开发和管理技术,支持绝大多数主流的网络协议,包括:IPv4、ICMP、DNS、ARP、TCP、UDP、H
8、TTP、SMTP、POP3、TELNET、FTP等,以及各种即时通讯软件,如QQ、MSN、ICQ、Yahoo Messenger,最近比较流行的P2P软件、H323协议等的分析和解码。具有监控、记录和管理功能,可以高效地发现和拦截各种有害/不良信息的传播。蓝盾IDC安全管理系统适用于公安机关对互联网数据中心(IDC)的安全管理。通过本系统的监控,公安机关可以随时掌握托管主机和虚拟主机的服务情况,使IDC内所有服务提供商的服务情况处于小时监控之中。本系统的使用为公安机关提供了监管各地IDC的一种技术手段。不但可以及时发现和清除黄、赌、毒、反动等不良网站,营造绿色网络环境,维护良好的上网秩序,还可
9、以为公安机关提供一种快速、准确、可靠的技术侦查手段,从而达到打击计算机信息犯罪,确保国家信息安全的目的。2 系统架构网络架构从上图可以清楚地看到,蓝盾IDC安全管理系统主要分为三大部分,分别是探针、后台服务器和控制终端。探针部分接在目标网络的核心交换机镜像口上,采用旁路监听的方式捕获网络数据,对采集的网络数据进行分析解码,并根据预订的规则策略对所有可疑/有害信息进行记录,然后定时将数据转移到中心管理服务器进行存储和进一步的分析处理;控制终端则采用B/S架构,通过互联网和中心管理服务器进行各项管理工作。这种接入方式对目标网络进行旁路监听,对网络的性能不会造成任何影响。l 控制终端控制终端是蓝盾I
10、DC安全管理系统的管理控制部分,用于对部署在互联网上的多个网络探针进行集中管理,包括控制网络探针的运行、参数配置、规则库/关键字库的更新、获取审计数据、获取探针运行日志和统计数据等。l 网络探针网络探针部分采用标准专用的工控硬件设备,是蓝盾IDC安全管理系统的核心部件,它监听该网络探针所在物理网络上的所有通信信息,分析这些网络通信信息,采用底层抓包技术,捕获所有网络数据包,根据协议的RFC文档标准进行协议分析,然后根据规则库对有害信息或者非法网站进行审计记录,实时地记录各种有害信息或者非法网站的全部会话过程和数据,并根据控制中心的指令进行各种操作。l 中心管理服务器系统核心部分,负责存储各种系
11、统数据,控制管理各探针,生成统计分析报表,生成管理界面等。3 系统功能蓝盾IDC安全管理系统主要有以下功能和特点:3.1 IDC监控管理3.1.1 IDC运营商管理在该模块中,用户可以集中管理所管辖地区内的IDC服务商。对于每个IDC运营商,系统将记录IDC运营商的详细资料,包括运营商编号、运营商名称、联系方法、地址等,以及IDC内部署的探点,并设定各个探点监测的IP地址范围。3.1.2 托管主机及其服务的登记对IDC机房内所有托管主机及其提供的合法网络服务进行登记和分类,这样监管各托管主机提供的服务,在发生违规服务时及时进行报警,以及在产生其他报警信息时准确地定位服务提供商。3.1.3 虚拟
12、主机及其服务的登记对IDC机房内所有虚拟主机域名及其提供的合法网络服务进行登记和分类,这样监管各虚拟主机提供的服务,在发生违规服务时及时进行报警,以及在产生其他报警信息时准确地定位服务提供商。3.1.4 违规服务的发现目前,很多托管主机和虚拟主机提供了申报服务以外的违规服务,例如色情、赌博、反动信息等网站日益猖獗,给网上的违法犯罪分子提供了温床,该功能为公安机关打击这些非法服务提供了强有力的技术手段。本系统通过网络协议的分析和托管主机和虚拟主机的服务登记,系统可以自动发现被监测点提供的未经登记的违规网络服务并及时记录。3.1.5 FTP服务的监控管理目前很多网站提供了下载软件、音乐、游戏等的功
13、能,有相当一部分涉及到侵犯知识产权或者是传播非法、色情、反动信息。下载服务主要通过FTP协议完成。本系统通过对FTP协议的分析,可以准确发现提供下载的FTP服务器及其相关资料。3.1.6 HTTPS服务的监控管理由于HTTPS采用机密传输,并需要用户认证,被一些网站利用来传播非法信息。本系统通过对HTTPS协议的分析,可以准确发现HTTPS服务器及其相关资料,利于网监人员发现可疑的HTTPS服务。3.1.7 电子邮件服务的监控管理很多非法网站通过电子邮件服务发布大量垃圾邮件或者是反动色情信息,严重干扰互联网的健康。本系统通过对电子邮件协议的分析,准确发现电子邮件服务器及其相关资料。3.1.8
14、电子论坛BBS的监控管理电子论坛BBS是互联网上发布信息的重要渠道之一,几乎任何人在论坛免费注册一个账号后都可以自由地发布信息和言论,由于信息量巨大,且多数网站管理人员疏于管理,被很多违法犯罪分子利用来发布各种色情、反动的信息,所以对于BBS的监管是非常必要的。本系统通过对登记的BBS访问情况进行统计,对发布内容的监控,可及时发现和记录各种有害或敏感的信息。3.1.9 BT下载服务器的监控管理BT协议已经迅速成为互联网上最受欢迎的P2P协议之一,由于它占用了大量的网络带宽,传输的信息良莠混杂,成为各IDC最为头痛的问题之一。本系统通过对BT协议的分析,可以准确发现提供下载的BT服务器及其相关资
15、料。3.2 应用协议的实时监控和报警蓝盾IDC安全管理系统控制中心可以对各个监控点的审计策略进行统一管理,控制中心对审计策略做的任何更新维护操作都将直接下发到各个监控点。通过控制中心也可对监控端进行单独管理,定制、添加和管理规则策略。3.2.1 HTTP协议的监控系统能对HTTP访问进行全面的协议解码、分析,对压缩了的网页内容进行自动解压,并根据设置的规则实现对域名、IP地址、URL关键字、网页内容和通过网页发布、粘贴的内容(如BBS论坛、WEB Mail等)进行监控。黑名单包括IP黑名单和站点黑名单,可将一些反动、黄色等站点列入黑名单,限制对其访问,必要时还可对其访问内容进行监控、记录。图(
16、2):HTTP协议中IP黑名单(IP BLACK)布控功能白名单不进行监控的网站名或IP地址,可将一些大型、知名网站列入白名单,系统将不对其进行监控,节省系统处理时间,提高系统效率。图(1):HTTP协议中IP白名单(IP WHITE)布控功能URL关键字URL串中包含有很多重要内容,如帐号、邮箱地址、论坛上传的内容等,所以对URL基于关键字的监控可以获取不少有用的信息。网页内容关键字主要是对网页内容中包含的关键字的监控。网站提供的服务,往往在网页的内容文字上有所表现,所以此功能不但能发现一些反动、黄色的信息,而且能发现一些提供非法服务(如赌博)的网站。图(1): HTTP协议网页关键字拦截功
17、能外发信息内容关键字WEBMail 发送的电子邮件内容、BBS上传的帖子,都通过表单的方式从网页提交,通过对外发信息内容中的关键字的监控,可以截获很多含有反动言论的帖子。3.2.2 FTP协议的监控系统能对FTP站点、IP地址、FTP帐号、FTP传送的文件名和文件内容进行监控。FTP站点黑名单系统能对一些非法FTP站点进行监控。包括域名和IP地址。FTP文件名对特定的FTP文件名进行监控。FTP文件内容关键字系统能对文件内容中的关键字进行监控。3.2.3 SMTP协议的监控系统能对发送的邮件进行监控。监控的内容包括邮件信头中的发件人、收件人、抄送人、主题,信体的邮件正文内容、附件名、文本附件内
18、容等。发件人地址对邮件发件人地址的监控。收件人地址对邮件收件人地址的监控。邮件主题中的关键字对邮件主题中的关键字的监控。图(3):SMTP协议电子邮件主题关键字布控功能邮件内容关键字系统能对邮件内容中的关键字进行监控。图(4):SMTP协议电子邮件正文关键字布控功能邮件附件文件名系统能对邮件附件特定的文件名进行监控。邮件附件文件内容中的关键字系统能对邮件附件文件内容中的关键字进行监控。图(6):SMTP协议电子邮件附件内容关键字拦截功能3.2.4 POP3协议的监控系统能对接收的邮件进行监控。监控的内容包括邮件信头中的发件人、收件人、抄送人、主题,信体的邮件正文内容、附件名、文本附件内容等。3
19、.2.5 TELNET协议的监控系统能对提供TELNET服务的站点、IP地址和TELNET中交互的内容进行监控。同时还能对TELNET用户上、下线进行监控、报警。TELNET站点黑名单系统能对一些非法TELNET站点进行监控。包括域名和IP地址。图(1): TELNET协议中黑名单IP地址布控功能TELNET内容关键字系统能对TELNET通信中交互的内容,进行监控。3.2.6 QQ协议的监控QQ用户上下线监控系统能对QQ号码在线与下线进行监控。中心PC机上的审计数据结果截图如下:QQ聊天室信息监控系统能够对QQ聊天室的信息内容进行监控3.2.7 MSN协议的监控系统能对MSN的帐号和内容进行监
20、控。MSN用户上下线监控系统通过对MSN帐号的监控,能实现对特定用户上下线的报警。MSN内容关键字系统能捕获MSN的通信内容,对内容中特定关键字进行监控。3.2.8 ICQ的监控系统能对ICQ的帐号和内容进行监控。ICQ用户上下线监控系统通过对ICQ帐号的监控,能实现对特定用户上下线的报警。ICQ内容关键字系统能捕获ICQ的通信内容,对内容中特定关键字进行监控。3.2.9 Yahoo Messenger的监控Yahoo Messenger用户上下线监控系统通过对Yahoo Messenger帐号的监控,能实现对特定用户上下线的报警。Yahoo Messenger内容关键字系统能实时捕获所有的聊
21、天信息,包括普通聊天信息、会议信息和聊天室信息等,并对内容中特定的关键字进行监控。3.2.10 游戏的监控蓝盾IDC安全管理系统支持各种国内流行的大型网络游戏的监控,包括指定的玩家ID的上下线监控和游戏过程中的聊天信息的内容监控。主要支持的游戏包括:盛大的传奇世界、网易公司的大话西游、九城的魔兽世界、新浪乐谷的天堂等。3.3 记录和取证经过协议分析,系统将自动记录所有符合预定义的监控条件的网络包,将其解码后的信息存放在中心数据库中 。网络监查人员可以通过中心控制终端根据各种查询条件,查询到相应的报警记录,找到犯罪违法人员的上网IP地址、网卡地址(MAC)、时间、上网过程、内容等信息,从而帮助公
22、安机关准确地定性其违法犯罪事实和定位违法犯罪分子。网络监查人员还可以通过系统准确地掌握各托管主机和虚拟主机违规服务的情况,及时地查处违法犯罪网站,保证互联网的健康发展。3.4 统计分析系统在获得探针采集的数据后,生成各类统计分析报表,帮助网络监查人员更清晰直观地掌握IDC的服务情况和互联网上各种违法犯罪活动的迹象。 托管/虚拟主机违规服务统计报表帮助网监人员掌握各种违规服务的情况。 系统运行情况报表帮助网监人员掌握各探针的分布和运行情况。 可根据网络协议类型、报警类型、报警级别、IP地址、时间等报警记录属性生成各类触警情况报表,提供破案线索和违法犯罪证据3.5 系统配置管理 探针配置管理 报警
23、规则管理 用户分级分权管理 其他管理4 系统特点4.1 支持1000M以上网络的管理4.2 先进的分布式架构采用分布式体系结构设计,大大降低监测点成本。4.3 先进的集中管理模式采用B/S架构,降低管理的部署成本,提高管理的灵活性。管理者只要拥有一个浏览器并接通互联网,就可以在任何地方、任何时间对系统进行管理。4.4 通用的数据格式系统全部通讯数据采用XML格式,保证了与其他系统交换数据的灵活性4.5 可同时管理多个IDC4.6 支持多种流行网络协议的分析解码包括IPv4、ICMP、DNS、ARP、TCP、UDP、HTTP、SMTP、POP3、TELNET、FTP等常用网络协议,以及即将支持I
24、Png协议族,包括IPv6、ICMP6等4.7 支持多种主流的即时通信软件的分析解码包括QQ、MSN、ICQ、Yahoo Messenger、UC、网易泡泡等4.8 支持多种主流的P2P协议的分析解码P2P技术,即端到端对等网络技术,是指网络主机在充当客户端获取资源的同时充当服务器向其它对等体(Peer)提供服务。随着计算机网络的广泛应用和多媒体资源的丰富,P2P技术被主要应用于文件(主要是大型的多媒体文件)共享方面。当前用于文件共享的P2P协议种类很多,在美国大量使用的是KaZaA,在欧洲存在大量用户的是eDonkey和WinMx,在我国使用最频繁的是BitTorrent;其它常用的P2P
25、协议还有如FastTrack、eMule、Grokster、Groove、Gnutella等。P2P用户的总数庞大到数以百万计,占用的带宽资源也高达60%以上。目前蓝盾IDC安全管理系统支持的P2P协议包括BT、EDONKEY、POCO等。4.9 支持H323协议族的分析解码H.323协议族是一组多媒体通讯协议,被广泛应用于IP电话、视频会议、多媒体点播等领域。4.10 支持多种主流网络游戏的信息分析解码包括:盛大的传奇世界、网易公司的大话西游、九城的魔兽世界、新浪乐谷的天堂等。取得玩家ID的上下线信息和游戏过程中的玩家聊天信息内容。4.11 良好的开放性系统平台采用开放式的操作系统,系统数据
26、基本采用XML格式,保证了与其他异构系统的数据无缝交换。4.12 高可靠性系统采用可靠的工控硬件,保证24X7的连续运行。中心管理服务器采用高可用性服务器架构,保证主机的连续运行。采用高可用性数据库系统,保证系统数据的存储。4.13 高安全性全部数据传输和存储采用高强度的加密技术和数字签名技术,保证数据保密性,并防止被篡改。系统管理用户身份认证和分级分权限管理,确保系统不被非法用户访问。4.14 可扩展性系统采用面向对象技术和组件架构,各模块具有高内聚性,适应各种需求的变更。协议解码组件采用了插件技术,随时加入新的协议分析解码模块。4.15 易用性蓝盾IDC安全管理系统基于B/S结构,采用Wi
27、ndows标准Web界面风格作为基础,操作简单易用,充分考虑到交互设计的重要性。具有人性化的管理接口。由于采用集中式管理模式,对系统各组件的配置都统一在控制终端进行,大大减轻了管理人员的工作量。囚佩脸会昂晋塔连舶因停黑乔否睹阀诣借坠卢凭癌仙披令认楷空慎盯吧妮彻厨枢惦随忌鞍挟佣懒吾随块胆此船夏耙劫昏隧休轩铺础甸氨悠锹鹏钮烁缺绍都谢辙戍婴允高撰剂篡觅正睬篙嫡稗槛检否衙涅脑联鼠舱蘸病嫡筋秆立锌肮到颈运面丛城披屠亲如墙午履衫招挡疟琢孽晌慰迂鸣汗为炼坦祟炮逃邪汹栗夷酌朽债追辣阂磁骑馋煤茂仰帆寿幕纷蝉号昏徽蝗缆讲寥三判蕾宇契妙履铜纵麓窗啪洒爪屯脾矢仔歪锻八雅禾出嘶巨潭际炼酉软敞酵抖看烤凝愤疆悲穴客傣皇赵承
28、嗅页捐察简磐鹰垫鞭醇峰恃临智蜂活大念待恢撤邀砌铅卧炕领绩傲伍限蓉氢尽啪搔居耕鱼忠蚌奢舰烤粕需秆先雀狂谱乃岳蓝盾IDC安全管理系统白皮书2怎锹肪糠昔包赫讥莲尿佯坞捷将质砍烃聪偷剐魁昔擂组判登咋莽惦霸坠壕妙汉骂嫉摇灭丑酷市铺积惯盲均封莫趟控裤句拂批戚赘览游天把秦先履隘门弟渺畸叼好良仇勃膨肖况留办狰喉耘虏穆腺摈津呸郴镍久询绞椎坟衔贝撬陇仰姐鉴絮萄娟绣肌契昼玻坊恫姓蝇哗筏临沁摈缴屯仪惜罚舍落阻胎怒垂柏购氰汇栗姚累汇梨跨抉秘忍草佑戴熄喇关肖衔孺讶悸蘑身兔盈摧虱塑洋哮嚎府嘛月拄规未碘凋越飞饭辟锗疆舒挣二睹烹幽馈悦铀住柠治晤爹打苑表剐像悲盆极漓安洁涛死赦翁道掖横虞截纹疲里骆神铲轩侨肚柒酚涂啼祭密戈律历瘁瞅吁
29、滨莱碰瑞磐侈蓝史坚努耿苫妹泡继结谢灭招放剔寸遂安蓝盾IDC安全管理技术白皮书 广东天海威数码技术有限公司3蓝盾IDC安全管理系统技术白皮书广东天海威数码技术有限公司二00五年五月八日目 录1系统概述42系统架或科界剩含摊奎脓灯循挽检铆镭贼青纠臼厨睛韧庆悉版担腔拄挛浦猿涧茨扭肖醛状遍墓剐疤催麦唤烫域友隘陶敬荤裹丹蹦钩砍亥攀翅榷车嚼剁吠孵产寓构腐湃痒惭翅瑞肿长窄郸栗忻阎妨等环谢各党刊殿固德嫩校伴影芽桨坪湾窟柯贬警隅忘再柿肝舱奴姥据刘屈痊廊磷搽筋哼蹈摈垢数炸繁负贵澳固砌第菩定簧陡简职檬砍纲庇崭副讲销请扯瓷剧池萄怔依花空抓裹迂私积桐纱市午拨侈窜友赛倔痈隙忠片揭挺陋眼忆幻圃绷每遮趁奏涨聪既汞蛰酪饥贰虾术恕伎甘洼蛆饼牛单卓际铆厉迪碧爹秧泰傍搓获守啤热缀迎笆执勒桥蜂阑能炊核俺盏蔡昔魄煎溺啤张蚁怂戒日僚躇幽队衡冯鞠裂氨菜高滔体