基于OpenFlow的虚拟机流量检测系统的设计与实现

doi:10.11772/j.issn.1001-9081.2014.04.1034

计算机应用 ›› 2014, Vol. 34 ›› Issue (4): 1034-1037.DOI: 10.11772/j.issn.1001-9081.2014.04.1034

基于OpenFlow的虚拟机流量检测系统的设计与实现

邵国林,陈兴蜀,尹学渊,张峰伟

四川大学计算机学院,成都 610065

收稿日期:2013-08-30 修回日期:2013-11-09 发布日期:2014-04-29 出版日期:2014-04-01
通讯作者: 陈兴蜀
作者简介:邵国林(1991-),男,江西鄱阳人,硕士研究生，CCF会员，主要研究方向:信息安全、计算机络;
陈兴蜀(1968-),女,四川成都人,教授，博士生导师，博士，主要研究方向:云计算、信息安全、计算机网络;
尹学渊(1988-),男,云南巧家人,博士研究生，主要研究方向:信息安全、计算机网络;
张峰伟(1989-),男,四川内江人,硕士研究生，主要研究方向:信息安全、计算机网络。
基金资助:
国家自然科学基金资助项目;国家2012年移动重大03专项

Design and implementation of virtual machine traffic detection system based on OpenFlow

SHAO Guolin,CHEN Xingshu,YIN Xueyuan,ZHANG Fengwei

College of Computer Science, Sichuan University, Chengdu Sichuan 610065, China

Received:2013-08-30 Revised:2013-11-09 Online:2014-04-29 Published:2014-04-01
Contact: CHEN Xingshu

摘要/Abstract

摘要：

云平台下的虚拟机在物理机内部交互流量，而不通过防火墙等安全组件。针对这类流量无法在网络边界被获取并检测的问题，分析了OpenFlow技术的原理，提出了一种基于OpenFlow技术将虚拟机流量重定向到入侵检测系统进行检测的方案。方案使用OpenFlow虚拟交换机和控制器替代传统交换机，然后基于OpenFlow技术控制流量转发过程，将其导向外部的安全组件进行处理，并构建了由虚拟交换机、控制单元、入侵检测和系统配置管理4个模块组成的流量检测系统。实验结果表明，系统能够在满足虚拟机网络正常使用的前提下，将待监管流量导向入侵检测系统进行处理，而且能够同时提供交换机级及虚拟机级两种粒度的流量重定向控制。通过对虚拟机引流的方式实现在传统场景中解决云计算环境下流量检测问题，同时能够基于OpenFlow轻松实现流量处理的扩展操作。

Abstract:

The virtual machines in cloud computing platform exchange data in the shared memory of physical machine. In view of the problem that the traffic cannot be captured and detected in firewall or other security components, the OpenFlow technology was analyzed, and a traffic redirection method based on OpenFlow was presented. To control traffic forwarding process and redirect it to security components, the method provided network connection for virtual machines with OpenFlow controller and virtual switches instead of physical switches, and built a traffic detection system composed of four modules including virtual switch, control unit, intrusion detection and system configuration management. The experimental results show that the proposed scheme can realize traffic redirection and the subsequent detection processing, and the system can provide switch-level and host-level control granularity. It also solves traffic detection problem under cloud computing environment in traditional scene by traffic redirection, and provides great expansion of the traffic processing based on OpenFlow.

中图分类号:

TP393.08

邵国林陈兴蜀尹学渊张峰伟. 基于OpenFlow的虚拟机流量检测系统的设计与实现[J]. 计算机应用, 2014, 34(4): 1034-1037.

SHAO Guolin CHEN Xingshu YIN Xueyuan ZHANG Fengwei. Design and implementation of virtual machine traffic detection system based on OpenFlow[J]. Journal of Computer Applications, 2014, 34(4): 1034-1037.

参考文献

［1］ZHANG H. Virtual switch research and design based on Xen ［D］. Tianjin: Tianjin University, 2012.(张洪素.基于Xen的虚拟交换技术的研究与设计［D］.天津：天津大学,2012.)
［2］XIANG G. Research on security monitoring technology in virtualcomputing environment ［D］. Wuhan: Huazhong University of Science and Technology, 2012.(项国富.虚拟计算环境的安全监控技术研究［D］.武汉：华中科技大学,2012.)
［3］LIU Z, MU D. Secure virtualization-based fine-grained process execution monitoring ［J］. Journal of Xidian University, 2012, 39(6): 181-186.(刘哲元,慕德俊.安全虚拟环境中的进程执行精确监控［J］.西安电子科技大学学报,2012,39(6):181-186.)
［4］LIU Q, WANG G, WENG C, et al.A mandatory access controlframework in virtual machine system with respect to multi-level security I: theory ［J］. China Communications, 2010(4): 137-143.(刘谦,王观海,翁楚良,等.一种虚拟机系统中关于多级安全的强制访问控制框架Ⅰ:理论［J］.中国通信,2010(4):137-143.)
［5］LIU Q, WANG G, WENG C, et al.A mandatory access controlframework in virtual machine system with respect to multi-level security II: implementation ［J］. China Communications, 2011(2): 86-94.(刘谦,王观海,翁楚良,等.一种虚拟机系统下关于多级安全的强制访问控制框架Ⅱ:实现［J］.中国通信,2011(2):86-94.)
［6］McKEOWN N, ANDERSON T, BALAKRISHNAN H, et al.OpenFlow: enabling innovation in campus networks ［J］. ACM SIGCOMM Computer Communication Review, 2008, 38(2): 69-74.
［7］ELLIOTT C. GENI: opening up new classes of experiments in global networking ［J］. IEEE Internet Computing, 2010, 14(1): 39-42.
［8］CHUN B, CULLER D, ROSCOE T, et al.PlanetLab: an overlay testbed for broad-coverage services ［J］. ACM SIGCOMM Computer Communication Review, 2003, 33(3): 3-12.
［9］GAVRAS A, KARILA A, FDIDA S, et al.Future Internet research and experimentation: the FIRE initiative ［J］. ACM SIGCOMM Computer Communication Review, 2007, 37(3): 89-92.
［10］CoreLab Project. CoreLab home page ［EB/OL］. ［2013-08-20］. http://www.corelab.jp/.
［11］NAOUS J, ERICKSON D, COVINGTON G A, et al.Implementing an OpenFlow switch on the NetFPGA platform ［C］// Proceedings of the 4th ACM/IEEE Symposium on Architectures for Networking and Communications Systems. New York: ACM, 2008: 1-9.
［12］ZUO Q, CHEN M, ZHAO G, et al.Research on OpenFlow-based SDN technologies ［J］. Journal of Software, 2013, 24(5): 1078-1097.(左青云,陈鸣,赵广松,等.基于OpenFlow的SDN技术研究［J］.软件学报,2013,24(5):1078-1097.)
［13］OpenFlow Consortium. The OpenFlow switch specification ［EB/OL］. ［2013-08-20］. http://archive.openflow.org/documents/openflow-spec-v1.1.0.pdf.
［14］Open vSwitch home page ［EB/OL］. ［2013-08-20］. http://openvswitch.org/.
［15］NOX home page ［EB/OL］. ［2013-08-20］. http://www.noxrepo.org.
［16］GUDE N, KOPONEN T, PETTIT J, et al.NOX: towards an operating system for networks ［J］. ACM SIGCOMM Computer Communication Review, 2008, 38(3): 105-110.
［17］YANG H, ZHU D, XIE F, et al.Survey of anomaly intrusion detection research ［J］. Journal of University of Electronic Science and Technology of China, 2009, 38(5): 587-596.(杨宏宇,朱丹,谢丰,等.入侵异常检测研究综述［J］.电子科技大学学报,2009,38(5):587-596.)
［18］WU X. The research and application of intrusion detection system based on Snort ［D］. Changchun: Jilin University, 2011.(武旭东.Snort入侵检测系统研究与应用［D］.长春:吉林大学,2011.)

[1]	方介泼, 陶重犇. 应对零日攻击的混合车联网入侵检测系统[J]. 《计算机应用》唯一官方网站, 2024, 44(9): 2763-2769.
[2]	徐航, 杨智, 陈性元, 韩冰, 杜学绘. 基于自适应敏感区域变异的覆盖引导模糊测试[J]. 《计算机应用》唯一官方网站, 2024, 44(8): 2528-2535.
[3]	邓淼磊阚雨培孙川川徐海航樊少珺周鑫. 基于深度学习的网络入侵检测系统综述[J]. 《计算机应用》唯一官方网站, 0, (): 0-0.
[4]	姚梓豪, 栗远明, 马自强, 李扬, 魏良根. 基于机器学习的多目标缓存侧信道攻击检测模型[J]. 《计算机应用》唯一官方网站, 2024, 44(6): 1862-1871.
[5]	朱亮慕京哲左洪强谷晶中朱付保. 基于联邦图神经网络的位置隐私保护推荐方案[J]. 《计算机应用》唯一官方网站, 0, (): 0-0.
[6]	李向军, 王俊洪, 王诗璐, 陈金霞, 孙纪涛, 王建辉. 基于多模型并行融合网络的恶意流量检测方法[J]. 《计算机应用》唯一官方网站, 2023, 43(S2): 122-129.
[7]	徐精诚, 陈学斌, 董燕灵, 杨佳. 融合特征选择的随机森林DDoS攻击检测[J]. 《计算机应用》唯一官方网站, 2023, 43(11): 3497-3503.
[8]	霍珊珊, 李艳俊, 刘健, 李寅霜. 密码组件安全指标测试工具设计与实现[J]. 《计算机应用》唯一官方网站, 2023, 43(10): 3156-3161.
[9]	郭祥, 姜文刚, 王宇航. 基于改进Inception-ResNet的加密流量分类方法[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2471-2476.
[10]	江魁, 余志航, 陈小雷, 李宇豪. 基于BERT-CNN的Webshell流量检测系统设计与实现[J]. 《计算机应用》唯一官方网站, 2023, 43(S1): 126-132.
[11]	郑超, 邬悦婷, 肖珂. 基于联邦学习和深度残差网络的入侵检测[J]. 《计算机应用》唯一官方网站, 2023, 43(S1): 133-138.
[12]	孙怡亭, 郭越, 李长进, 张红军, 刘康, 刘俊矫, 孙利民. 可编程逻辑控制器的控制逻辑注入攻击入侵检测方法[J]. 《计算机应用》唯一官方网站, 2023, 43(6): 1861-1869.
[13]	胡海岩, 康巧燕, 赵朔, 王建峰, 付有斌. 基于节点综合重要度排序的服务功能链部署优化方法[J]. 《计算机应用》唯一官方网站, 2023, 43(3): 860-868.
[14]	程靖云, 王布宏, 罗鹏. 基于深度语义融合的代码缺陷静态检测方法[J]. 《计算机应用》唯一官方网站, 2022, 42(10): 3170-3176.
[15]	毕文婷, 林海涛, 张立群. 基于多阶段演化信号博弈模型的移动目标防御决策算法[J]. 《计算机应用》唯一官方网站, 2022, 42(9): 2780-2787.

基于OpenFlow的虚拟机流量检测系统的设计与实现

Design and implementation of virtual machine traffic detection system based on OpenFlow

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics