基于组策略的SDN多粒度流量检测系统

doi:10.3969/j.issn.1000-3428.2017.04.025

计算机工程

基于组策略的SDN多粒度流量检测系统

杜瑞颖^1a,胡力^1a,陈晶^1b,陈炯²

(1.武汉大学 a.空天信息安全与可信计算教育部重点实验室; b.软件工程国家重点实验室,武汉 430072; 2.湖北省人民检察院检察技术信息处,武汉 430072)

收稿日期:2016-02-24 出版日期:2017-04-15 发布日期:2017-04-14
作者简介:杜瑞颖(1964—),女,教授、博士、博士生导师,主研方向为网络安全;胡力,硕士研究生;陈晶,副教授、博士生导师;陈炯,硕士研究生。
基金资助:
国家自然科学基金(61572380);最高人民检察院技术信息研究中心中央级公益性科研院所基本科研业务费专项资金(JBKY 20150620)。

Multi-granularity Traffic Detection System of Group Based Policy for SDN

DU Ruiying ^1a,HU Li ^1a,CHEN Jing ^1b,CHEN Jiong ²

(1a.Key Laboratory of Aerospace Information Security and Trusted Computing,Ministry of Education; 1b.State Key Lab of Software Engineering,Wuhan University,Wuhan 430072,China; 2.Procuratorial Technical Information Office,The People’s Procuratorate of Hubei,Wuhan 430072,China)

Received:2016-02-24 Online:2017-04-15 Published:2017-04-14

摘要/Abstract

摘要： 为提升软件定义网络(SDN)的网络控制力和安全性,通常利用SDN集中管控及流表控制特性开发大量安全应用,但此类安全应用实现功能单一、防护粒度粗,无法对整个网络形成综合防护。针对该问题,设计多粒度流量检测系统。借鉴组策略(GBP)的分组思想对基础设施层进行分组管理,基于模块链实现安全检测功能由硬件设备向软件服务的转型,定义安全检测模块的概念并将其划分为统计型检测、关联匹配型检测以及正则匹配型检测3类模块。利用GBP生成模块链,由模块链调动不同的安全检测模块组合,从而实现多粒度安全检测。通过实验验证了该系统在SDN环境下的可用性,并表明其具有检测粒度细、可扩展性好等特点。

关键词: 软件定义网络, 基于组策略, 模块链, 安全检测模块, 流量检测

Abstract: In order to improve the network control ability and security,researchers usually utilize the features of centralized control and flow table control of Software Defined Network(SDN) to develop a lot of security applications.However,those security applications concentrate on single function and have coarse protection granularity,which cannot form comprehensive protection for the whole network.Aiming at the problem,this paper designs multi-granularity traffic identification system.It manages the infrastructure layer by group based on the thinking of Group Based Policy(GBP),defines the notion of module chain to realize the transition from hardware to software service for security detection,defines the notion of security detection module and classifies it into three modules including statistical detection module,correlation matching module and regular expression matching module.DBP is used to generate module chain and then the different security detection combination module is mobilized by the module chain to implement multi-granularity security detection.The usability of the system in SDN environment is verified by experiments,and it has the characteristics of fine granularity and good expansibility.

Key words: Software Defined Network(SDN), Group Based Policy(GBP), module chain, security detection module, traffic detection

中图分类号:

TP309

杜瑞颖,胡力,陈晶,陈炯. 基于组策略的SDN多粒度流量检测系统[J]. 计算机工程, doi: 10.3969/j.issn.1000-3428.2017.04.025.

DU Ruiying,HU Li,CHEN Jing,CHEN Jiong. Multi-granularity Traffic Detection System of Group Based Policy for SDN[J]. Computer Engineering, doi: 10.3969/j.issn.1000-3428.2017.04.025.

http://www.ecice06.com/CN/Y2017/V43/I4/145

参考文献

参考文献［1］左青云,陈鸣,赵广松,等.基于Openflow的SDN技术［J］.软件学报,2013,24(5):1078-1097. ［2］Braga B R,Mota M E,Passito P A.Lightweight DDoSFlooding Attack Detection Using NOX/OpenFlow［J］. Journal of Nuclear Cardiology,2010,8(1Suppl1):408-415. ［3］Khurshid A,Zhou W,Caesar M,et al.Veriflow:Verifying Network-wide Invariants in Real Time［J］.ACM SIGCOMM Computer Communication Review,2012,42(4):467-472. ［4］Shin S,Porras P,Yegneswaran V,et al.FRESCO:Modular Composable Security Services for Software Defined Networks［C］//Proceedings of Network & Distributed Security Symposium.Berlin,Germany:Springer,2013. ［5］Yoon C,Park T,Lee S,et al.Enabling Security Functions with SDN:A Feasibility Study［J］.Computer Networks,2015,85(5):19-35. ［6］Group Based Policy(GBP)［EB/OL］.［2016-03-21］.https://wiki.opendaylight.org/view/Group_Based_Policy_(GBP)/Main. ［7］Service Function Chaining Reference Use Case［EB/OL］.［2016-03-21］.https://www.opendaylight.org/UseCase SFCReference. ［8］OpenDaylight Home［EB/OL］.［2016-03-21］.https://www.opendaylight.org/. ［9］Lim S,Ha J,Kim H,et al.A SDN-oriented DDoSBlocking Scheme for Botnet-based Attacks［C］//Proceedings of the 6th International Conference on Ubiquitous and Future Networks.Washington D.C.,USA:IEEE Press,2014:63-68. ［10］Suh M,Park S H,Lee B,et al.Building Firewall over the Software-defined Network Controller［C］//Proceedings of the 16th International Conference on Advanced Com-munication Technology.Washington D.C.,USA:IEEE Press,2014:744-748. ［11］Xiong Zhengyang.An SDN-based IPS Development Framework in Cloud Networking Environment［D］.Phoenix,USA:Arizona State University,2014. ［12］OpenStack Home［EB/OL］.［2016-03-21］.http://docs.openstack.org/. ［13］李鹤飞,黄新力,郑正奇.基于软件定义网络的DDoS攻击检测方法及其应用［J］.计算机工程,2016,42(2):118-123. ［14］王鹃,王江,焦虹阳,等.一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法［J］.计算机学报,2015,38(4):872-883. ［15］Mininet Home［EB/OL］.［2016-03-21］.http://mininet.org/. 编辑陆燕菲

[1]	赵徐炎, 崔允贺, 钱清, 郭春, 申国伟. 基于虚拟扩展网络的虚拟机及路由路径联合部署[J]. 计算机工程, 2023, 49(8): 154-162.
[2]	刘向举, 赵犇, 方贤进, 徐杨洋. SDN中基于过程优化的动态负载均衡策略[J]. 计算机工程, 2023, 49(8): 137-145.
[3]	陈何雄, 罗宇薇, 韦云凯, 郭威, 杭菲璐, 何映军, 杨宁. 基于联邦学习的SDN异常流量协同检测技术[J]. 计算机工程, 2023, 49(3): 168-176.
[4]	孙懿, 高见, 顾益军. 融合一维Inception结构与ViT的恶意加密流量检测[J]. 计算机工程, 2023, 49(1): 154-162.
[5]	丁庆丰, 李晋国. 一种物联网环境下的分布式异常流量检测方案[J]. 计算机工程, 2022, 48(8): 152-159.
[6]	王奎宇, 宋晓勤, 缪娟娟, 张昕婷, 雷磊. 基于SDN的高性能QoS保障低轨道卫星星间路由算法[J]. 计算机工程, 2022, 48(5): 185-190,199.
[7]	叶和元, 韩俐, 孙士民. SDN中基于蚁群优化的网络测量节点选择算法[J]. 计算机工程, 2022, 48(5): 191-199.
[8]	杜欣欣, 胡晓辉, 赵佳楠. 一种软件定义车载自组织网络的QoS路由算法[J]. 计算机工程, 2022, 48(11): 184-191,200.
[9]	张稣荣, 卜佑军, 陈博, 孙重鑫, 王涵, 胡先君. 基于多层双向SRU与注意力模型的加密流量分类方法[J]. 计算机工程, 2022, 48(11): 127-136.
[10]	赵季红, 张文娟, 乔琳琳, 张梦雪. 服务功能链中基于机器学习的QoE评估与预测[J]. 计算机工程, 2022, 48(1): 163-169.
[11]	徐啸, 顾玲丽, 陈建平, 傅启明, 陆悠. 一种智能多路径路由及子流分配协同算法[J]. 计算机工程, 2021, 47(9): 136-144,152.
[12]	左攀, 束永安. DCN中基于前馈神经网络的动态多路径负载均衡方法[J]. 计算机工程, 2021, 47(9): 113-119.
[13]	张鹏, 陈博. 基于图神经网络的智能路由机制[J]. 计算机工程, 2021, 47(12): 171-176,184.
[14]	杨雪婷, 李重. 车联网中基于车辆行为预测的身份认证方案[J]. 计算机工程, 2021, 47(1): 129-138.
[15]	王莅晟, 伊鹏, 谷允捷, 江逸茗. SDN中基于流重定向的MPLS标签算法[J]. 计算机工程, 2020, 46(8): 203-209.

选择文件类型/文献管理软件名称

选择包含的内容

基于组策略的SDN多粒度流量检测系统

Multi-granularity Traffic Detection System of Group Based Policy for SDN

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

模态框（Modal）标题

选择文件类型/文献管理软件名称

选择包含的内容

基于组策略的SDN多粒度流量检测系统

Multi-granularity Traffic Detection System of Group Based Policy for SDN

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价