基于OpenFlow的虚拟机流量检测系统的设计与实现

doi:10.11772/j.issn.1001-9081.2014.04.1034

计算机应用 ›› 2014, Vol. 34 ›› Issue (4): 1034-1037.DOI: 10.11772/j.issn.1001-9081.2014.04.1034

基于OpenFlow的虚拟机流量检测系统的设计与实现

邵国林,陈兴蜀,尹学渊,张峰伟

四川大学计算机学院,成都 610065

收稿日期:2013-08-30 修回日期:2013-11-09 出版日期:2014-04-01 发布日期:2014-04-29
通讯作者: 陈兴蜀
作者简介:邵国林(1991-),男,江西鄱阳人,硕士研究生，CCF会员，主要研究方向:信息安全、计算机络;
陈兴蜀(1968-),女,四川成都人,教授，博士生导师，博士，主要研究方向:云计算、信息安全、计算机网络;
尹学渊(1988-),男,云南巧家人,博士研究生，主要研究方向:信息安全、计算机网络;
张峰伟(1989-),男,四川内江人,硕士研究生，主要研究方向:信息安全、计算机网络。
基金资助:
国家自然科学基金资助项目;国家2012年移动重大03专项

Design and implementation of virtual machine traffic detection system based on OpenFlow

SHAO Guolin,CHEN Xingshu,YIN Xueyuan,ZHANG Fengwei

College of Computer Science, Sichuan University, Chengdu Sichuan 610065, China

Received:2013-08-30 Revised:2013-11-09 Online:2014-04-01 Published:2014-04-29
Contact: CHEN Xingshu

摘要/Abstract

摘要：

云平台下的虚拟机在物理机内部交互流量，而不通过防火墙等安全组件。针对这类流量无法在网络边界被获取并检测的问题，分析了OpenFlow技术的原理，提出了一种基于OpenFlow技术将虚拟机流量重定向到入侵检测系统进行检测的方案。方案使用OpenFlow虚拟交换机和控制器替代传统交换机，然后基于OpenFlow技术控制流量转发过程，将其导向外部的安全组件进行处理，并构建了由虚拟交换机、控制单元、入侵检测和系统配置管理4个模块组成的流量检测系统。实验结果表明，系统能够在满足虚拟机网络正常使用的前提下，将待监管流量导向入侵检测系统进行处理，而且能够同时提供交换机级及虚拟机级两种粒度的流量重定向控制。通过对虚拟机引流的方式实现在传统场景中解决云计算环境下流量检测问题，同时能够基于OpenFlow轻松实现流量处理的扩展操作。

Abstract:

The virtual machines in cloud computing platform exchange data in the shared memory of physical machine. In view of the problem that the traffic cannot be captured and detected in firewall or other security components, the OpenFlow technology was analyzed, and a traffic redirection method based on OpenFlow was presented. To control traffic forwarding process and redirect it to security components, the method provided network connection for virtual machines with OpenFlow controller and virtual switches instead of physical switches, and built a traffic detection system composed of four modules including virtual switch, control unit, intrusion detection and system configuration management. The experimental results show that the proposed scheme can realize traffic redirection and the subsequent detection processing, and the system can provide switch-level and host-level control granularity. It also solves traffic detection problem under cloud computing environment in traditional scene by traffic redirection, and provides great expansion of the traffic processing based on OpenFlow.

中图分类号:

TP393.08

邵国林陈兴蜀尹学渊张峰伟. 基于OpenFlow的虚拟机流量检测系统的设计与实现[J]. 计算机应用, 2014, 34(4): 1034-1037.

SHAO Guolin CHEN Xingshu YIN Xueyuan ZHANG Fengwei. Design and implementation of virtual machine traffic detection system based on OpenFlow[J]. Journal of Computer Applications, 2014, 34(4): 1034-1037.

参考文献

［1］ZHANG H. Virtual switch research and design based on Xen ［D］. Tianjin: Tianjin University, 2012.(张洪素.基于Xen的虚拟交换技术的研究与设计［D］.天津：天津大学,2012.)
［2］XIANG G. Research on security monitoring technology in virtualcomputing environment ［D］. Wuhan: Huazhong University of Science and Technology, 2012.(项国富.虚拟计算环境的安全监控技术研究［D］.武汉：华中科技大学,2012.)
［3］LIU Z, MU D. Secure virtualization-based fine-grained process execution monitoring ［J］. Journal of Xidian University, 2012, 39(6): 181-186.(刘哲元,慕德俊.安全虚拟环境中的进程执行精确监控［J］.西安电子科技大学学报,2012,39(6):181-186.)
［4］LIU Q, WANG G, WENG C, et al.A mandatory access controlframework in virtual machine system with respect to multi-level security I: theory ［J］. China Communications, 2010(4): 137-143.(刘谦,王观海,翁楚良,等.一种虚拟机系统中关于多级安全的强制访问控制框架Ⅰ:理论［J］.中国通信,2010(4):137-143.)
［5］LIU Q, WANG G, WENG C, et al.A mandatory access controlframework in virtual machine system with respect to multi-level security II: implementation ［J］. China Communications, 2011(2): 86-94.(刘谦,王观海,翁楚良,等.一种虚拟机系统下关于多级安全的强制访问控制框架Ⅱ:实现［J］.中国通信,2011(2):86-94.)
［6］McKEOWN N, ANDERSON T, BALAKRISHNAN H, et al.OpenFlow: enabling innovation in campus networks ［J］. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74.
［7］ELLIOTT C. GENI: opening up new classes of experiments in global networking ［J］. IEEE Internet Computing, 2010, 14(1): 39-42.
［8］CHUN B, CULLER D, ROSCOE T, et al.PlanetLab: an overlay testbed for broad-coverage services ［J］. ACM SIGCOMM Computer Communication Review, 2003, 33(3): 3-12.
［9］GAVRAS A, KARILA A, FDIDA S, et al.Future Internet research and experimentation: the FIRE initiative ［J］. ACM SIGCOMM Computer Communication Review, 2007, 37(3): 89-92.
［10］CoreLab Project. CoreLab home page ［EB/OL］. ［2013-08-20］. http://www.corelab.jp/.
［11］NAOUS J, ERICKSON D, COVINGTON G A, et al.Implementing an OpenFlow switch on the NetFPGA platform ［C］// Proceedings of the 4th ACM/IEEE Symposium on Architectures for Networking and Communications Systems. New York: ACM, 2008: 1-9.
［12］ZUO Q, CHEN M, ZHAO G, et al.Research on OpenFlow-based SDN technologies ［J］. Journal of Software, 2013, 24(5): 1078-1097.(左青云,陈鸣,赵广松,等.基于OpenFlow的SDN技术研究［J］.软件学报,2013,24(5):1078-1097.)
［13］OpenFlow Consortium. The OpenFlow switch specification ［EB/OL］. ［2013-08-20］. http://archive.openflow.org/documents/openflow-spec-v1.1.0.pdf.
［14］Open vSwitch home page ［EB/OL］. ［2013-08-20］. http://openvswitch.org/.
［15］NOX home page ［EB/OL］. ［2013-08-20］. http://www.noxrepo.org.
［16］GUDE N, KOPONEN T, PETTIT J, et al.NOX: towards an operating system for networks ［J］. ACM SIGCOMM Computer Communication Review, 2008, 38(3): 105-110.
［17］YANG H, ZHU D, XIE F, et al.Survey of anomaly intrusion detection research ［J］. Journal of University of Electronic Science and Technology of China, 2009, 38(5): 587-596.(杨宏宇,朱丹,谢丰,等.入侵异常检测研究综述［J］.电子科技大学学报,2009,38(5):587-596.)
［18］WU X. The research and application of intrusion detection system based on Snort ［D］. Changchun: Jilin University, 2011.(武旭东.Snort入侵检测系统研究与应用［D］.长春:吉林大学,2011.)

[1]	毕文婷林海涛张立群. 基于多阶段演化信号博弈模型的移动目标防御决策算法[J]. 计算机应用, 0, (): 0-0.
[2]	朱玉娜, 张玉涛, 闫少阁, 范钰丹, 陈韩托. 基于半监督子空间聚类的协议识别方法[J]. 计算机应用, 2021, 41(10): 2900-2904.
[3]	肖跃雷, 邓小凡. 基于证书的有线局域网安全关联方案改进与分析[J]. 计算机应用, 2021, 41(7): 1970-1976.
[4]	杜心雨, 王化群. LTE-A网络中基于动态组的有效的身份认证和密钥协商方案[J]. 计算机应用, 2021, 41(6): 1715-1722.
[5]	王垚, 孙国梓. 基于聚类和实例硬度的入侵检测过采样方法[J]. 计算机应用, 2021, 41(6): 1709-1714.
[6]	葛丽娜, 胡雨谷, 张桂芬, 陈园园. 云计算环境基于客体属性匹配的逆向混合访问控制方案[J]. 计算机应用, 2021, 41(6): 1604-1610.
[7]	陈权李莉陈永乐段跃兴. 面向深度学习可解释性的对抗攻击算法[J]. 计算机应用, 0, (): 0-0.
[8]	郭帅, 苏旸. 基于数据流的加密流量分类方法[J]. 计算机应用, 2021, 41(5): 1386-1391.
[9]	张全龙, 王怀彬. 基于膨胀卷积和门控循环单元组合的入侵检测模型[J]. 计算机应用, 2021, 41(5): 1372-1377.
[10]	唐延强, 李成海, 宋亚飞. 基于改进粒子群优化和极限学习机的网络安全态势预测[J]. 计算机应用, 2021, 41(3): 768-773.
[11]	杭梦鑫, 陈伟, 张仁杰. 基于改进的一维卷积神经网络的异常流量检测[J]. 计算机应用, 2021, 41(2): 433-440.
[12]	欧彬利, 钟夏汝, 代建华, 杨田. 基于变精度覆盖粗糙集的入侵检测方法[J]. 计算机应用, 2020, 40(12): 3465-3470.
[13]	杨建喜, 张媛利, 蒋华, 朱晓辰. 边缘计算中基于深度Q网络的物理层假冒攻击检测方法[J]. 计算机应用, 2020, 40(11): 3229-3235.
[14]	陈旖, 张美璟, 许发见. 基于一维卷积神经网络的HTTP慢速DoS攻击检测方法[J]. 计算机应用, 2020, 40(10): 2973-2979.
[15]	赵国新, 丁若凡, 游建舟, 吕世超, 彭锋, 李菲, 孙利民. 基于工控业务仿真的高交互可编程逻辑控制器蜜罐系统设计实现[J]. 计算机应用, 2020, 40(9): 2650-2656.

基于OpenFlow的虚拟机流量检测系统的设计与实现

Design and implementation of virtual machine traffic detection system based on OpenFlow

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics