池亞平,姜停停,戴楚屏,孫 尉

(1.北京電子科技學(xué)院 通信工程系，北京 100070; 2.西安電子科技大學(xué) 通信工程學(xué)院，西安 710071)

基于軟件定義網(wǎng)絡(luò)的云平臺(tái)入侵防御方案設(shè)計(jì)與實(shí)現(xiàn)

池亞平1,姜停停1*,戴楚屏2,孫 尉1

(1.北京電子科技學(xué)院 通信工程系，北京 100070; 2.西安電子科技大學(xué) 通信工程學(xué)院，西安 710071)

(*通信作者電子郵箱1445486148@qq.com)

針對(duì)傳統(tǒng)的入侵防御系統(tǒng)是串聯(lián)在網(wǎng)絡(luò)環(huán)境中，處理能力有限且易造成網(wǎng)絡(luò)擁塞的問題，面向云計(jì)算應(yīng)用，設(shè)計(jì)了一種基于軟件定義網(wǎng)絡(luò)(SDN)的入侵防御方案。首先，在 OpenStack平臺(tái)中集成了SDN控制器。然后，利用控制器的可編程特性，設(shè)計(jì)了入侵檢測(cè)和控制器的聯(lián)動(dòng)機(jī)制，實(shí)現(xiàn)了入侵防御功能。聯(lián)動(dòng)機(jī)制實(shí)現(xiàn)原理是在入侵檢測(cè)系統(tǒng)檢測(cè)到入侵時(shí)把入侵信息傳給控制器，控制器下發(fā)安全策略到虛擬交換機(jī)，達(dá)到過濾入侵流量、動(dòng)態(tài)阻止入侵行為的目的。最后，通過實(shí)驗(yàn)將所提方案與傳統(tǒng)入侵防御方案相比較，對(duì)比分析結(jié)果表明,相比傳統(tǒng)方案能成功檢測(cè)85%入侵(攻擊速率為12 000 packet/s),所提方案的入侵檢測(cè)效率在90%以上(攻擊效率為40 000 packet/s)，可以用于提高云環(huán)境下入侵防御的檢測(cè)效率。

云計(jì)算安全；入侵防御；軟件定義網(wǎng)絡(luò)；控制器

0 引言

云計(jì)算使得服務(wù)提供商以按需分配的方式為用戶提供具有高可用性和高擴(kuò)展性的網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)等IT資源，云計(jì)算不但能夠降低企業(yè)的IT成本，還能支持業(yè)務(wù)的及時(shí)創(chuàng)新，各行業(yè)加入云已成為一種趨勢(shì)[1]。近年來，計(jì)算、存儲(chǔ)的虛擬化技術(shù)取得了長足的發(fā)展，相比較而言，盡管網(wǎng)絡(luò)虛擬化也取得了諸多的發(fā)展，但仍然存在很多問題，如缺乏靈活性，對(duì)需求變化反應(yīng)緩慢等。軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN)是一數(shù)據(jù)層和控制層分離、軟件可編程的新興的網(wǎng)絡(luò)架構(gòu)。它改變了傳統(tǒng)網(wǎng)絡(luò)的封閉式架構(gòu)，可以從整個(gè)網(wǎng)絡(luò)層面對(duì)流量進(jìn)行控制，提高了新業(yè)務(wù)的部署速度，節(jié)省了運(yùn)營成本，為網(wǎng)絡(luò)虛擬化技術(shù)提供了全新的解決方案。因此，將SDN技術(shù)應(yīng)用到云計(jì)算環(huán)境中是云計(jì)算的一種發(fā)展趨勢(shì)[2]。

云計(jì)算在為用戶提供方便的同時(shí)，也帶來了許多潛在的安全問題[3]，如數(shù)據(jù)泄露、拒絕服務(wù)攻擊和云的濫用等。在對(duì)云環(huán)境的保護(hù)中，入侵防御技術(shù)是云安全保護(hù)體系的重要環(huán)節(jié)。針對(duì)云環(huán)境的入侵防御技術(shù)也得到了前人的廣泛探索。文獻(xiàn)[4]針對(duì)私有云提出了一種通過人工智能代理，把異常檢測(cè)方法和誤用檢測(cè)方法結(jié)合的混合入侵檢測(cè)方案，有效降低了系統(tǒng)漏報(bào)率。文獻(xiàn)[5]提出了一種虛擬機(jī)取證(Forensic Virtual Machine, FVM)方案，該方案通過貝葉斯分類器對(duì)不同類型的服務(wù)器用不同檢測(cè)方法進(jìn)行檢測(cè)，提高了檢測(cè)效率。文獻(xiàn)[6]提出了一種基于設(shè)備的簽名算法，有效防止了云環(huán)境中的數(shù)據(jù)注入攻擊。

以上入侵防御方案都是把防御設(shè)備串聯(lián)在網(wǎng)絡(luò)環(huán)境中，需要實(shí)時(shí)捕獲網(wǎng)絡(luò)流量并進(jìn)行檢測(cè)后才能轉(zhuǎn)發(fā)數(shù)據(jù)包，在云環(huán)境中網(wǎng)絡(luò)流量相對(duì)較大，而入侵防御系統(tǒng)處理能力有限，容易造成網(wǎng)絡(luò)擁塞現(xiàn)象[7]。SDN提供了一種將控制層和交換層分離的新型網(wǎng)絡(luò)架構(gòu)，解決了傳統(tǒng)網(wǎng)絡(luò)靈活性差、業(yè)務(wù)部署效率低、業(yè)務(wù)適應(yīng)緩慢等問題，利用SDN技術(shù)解決網(wǎng)絡(luò)安全問題是網(wǎng)絡(luò)安全發(fā)展的一種趨勢(shì)[8]。如何利用SDN技術(shù)部署入侵防御系統(tǒng)是近幾年的研究熱點(diǎn)。

文獻(xiàn)[9]提出了一種在控制器上集成數(shù)據(jù)采集模塊的方案，方案通過統(tǒng)計(jì)虛擬交換機(jī)轉(zhuǎn)發(fā)信息的方式檢測(cè)拒絕服務(wù)攻擊，通過控制器下發(fā)流表的方式動(dòng)態(tài)阻止入侵，但此方案僅對(duì)拒絕服務(wù)攻擊有效；文獻(xiàn)[10]提出了一種在虛擬交換機(jī)中集成入侵檢測(cè)功能的方案。此方案根據(jù)入侵?jǐn)?shù)據(jù)包的IP動(dòng)態(tài)過濾入侵?jǐn)?shù)據(jù)，但它違背了SDN控制和轉(zhuǎn)發(fā)分離的原則，在虛擬交換機(jī)上進(jìn)行入侵檢測(cè)增加了虛擬交換機(jī)網(wǎng)絡(luò)時(shí)延；文獻(xiàn)[11]提出了一種通過移動(dòng)目標(biāo)防御技術(shù)修改虛擬機(jī)的身份標(biāo)識(shí)來阻止入侵的方案，但此方案不能阻止惡意內(nèi)部人員的攻擊；文獻(xiàn)[12]提出了一種在控制器模塊集成入侵檢測(cè)系統(tǒng)(Intrusion Detection System, IDS)模塊，通過控制器下發(fā)流表的方式動(dòng)態(tài)阻止入侵的方案，但此方案加重了控制器的負(fù)擔(dān)，容易造成單點(diǎn)失效；文獻(xiàn)[13]提出了一種通過控制器分析警告下發(fā)流表動(dòng)態(tài)阻止流量的方案，但它僅提供了初步的理論框架，沒有對(duì)方案實(shí)現(xiàn)方法作具體說明。

在以上研究的基礎(chǔ)上，針對(duì)入侵檢測(cè)防御方案檢測(cè)效率問題，本文提出了一種基于SDN的云平臺(tái)入侵防御方案，該方案利用SDN可編程的特點(diǎn)，實(shí)現(xiàn)IDS和控制器的聯(lián)動(dòng)，使系統(tǒng)在檢測(cè)到入侵時(shí)能夠通過控制器下發(fā)策略及時(shí)阻止入侵行為，達(dá)到保護(hù)云環(huán)境中的虛擬機(jī)通信的目的。最后，通過與傳統(tǒng)入侵防御系統(tǒng)作對(duì)比分析，驗(yàn)證了方案的有效性。

1 相關(guān)研究分析

1.1 基于OpenStack的虛擬資源管理技術(shù)

OpenStack是用于建設(shè)和管理公共云計(jì)算與私有云計(jì)算的開源云計(jì)算平臺(tái)[14]，其核心組件架構(gòu)如圖1所示。

其中：Keystone組件提供 OpenStack 的認(rèn)證服務(wù)；Nova組件提供計(jì)算虛擬化服務(wù)負(fù)責(zé)管理和創(chuàng)建虛擬機(jī)；Glance組件提供鏡像服務(wù)功能；Neutron組件提供 OpenStack 虛擬網(wǎng)絡(luò)服務(wù)；Swift組件提供對(duì)象存儲(chǔ)服務(wù)功能；Cinder組件為 OpenStack 的虛擬機(jī)提供持久的塊級(jí)存儲(chǔ)設(shè)備；Horizon組件為 OpenStack提供了集中化的圖形用戶接口來訪問。

圖1 OpenStack平臺(tái)架構(gòu)

1.2 SDN技術(shù)

SDN是一種數(shù)據(jù)層和控制層分離的新興的網(wǎng)絡(luò)架構(gòu)。在控制層通過OpenFlow協(xié)議采用控制-轉(zhuǎn)發(fā)通信接口集中管控不同的網(wǎng)絡(luò)設(shè)備，且控制層提供強(qiáng)大的編程接口，開發(fā)者可以通過編程的方式根據(jù)自身需求設(shè)計(jì)應(yīng)用，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的集中控制而不必關(guān)心底層的硬件細(xì)節(jié)。SDN解決了傳統(tǒng)網(wǎng)絡(luò)靈活性差、業(yè)務(wù)部署效率低、業(yè)務(wù)適應(yīng)緩慢等問題，提高了新業(yè)務(wù)的部署速度，可以從整個(gè)網(wǎng)絡(luò)層面對(duì)流量進(jìn)行優(yōu)化。SDN架構(gòu)如圖2所示。

圖 2 SDN架構(gòu)

數(shù)據(jù)層由轉(zhuǎn)發(fā)設(shè)備組成，負(fù)責(zé)數(shù)據(jù)流的處理和轉(zhuǎn)發(fā)、狀態(tài)信息的上報(bào)等。控制層可通過OpenFlow協(xié)議與數(shù)據(jù)層進(jìn)行通信，從而實(shí)現(xiàn)控制數(shù)據(jù)流轉(zhuǎn)發(fā)行為、收集轉(zhuǎn)發(fā)設(shè)備狀態(tài)信息、配置網(wǎng)絡(luò)環(huán)境等功能。應(yīng)用層由應(yīng)用軟件構(gòu)成，應(yīng)用軟件通過調(diào)用控制層應(yīng)用程序編程接口(Application Programming Interface, API)，制定相應(yīng)的網(wǎng)絡(luò)控制策略，實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控、數(shù)據(jù)流過濾等網(wǎng)絡(luò)功能。

1.3 入侵檢測(cè)和入侵防御技術(shù)

IDS是保障信息安全的關(guān)鍵機(jī)制之一。它通過收集和分析網(wǎng)絡(luò)中關(guān)鍵節(jié)點(diǎn)的流量信息，發(fā)現(xiàn)違反安全策略的行為和被攻擊行為并作出響應(yīng)，但不能及時(shí)阻斷檢測(cè)到的入侵行為。Snort是一種開源的基于網(wǎng)絡(luò)的誤用型輕量級(jí)IDS。由于其支持多種平臺(tái)，結(jié)構(gòu)清晰，代碼開放，易于擴(kuò)展，成為研究IDS的典范。Snort工作原理如圖3所示。

圖 3 Snort工作原理

數(shù)據(jù)包嗅探模塊負(fù)責(zé)監(jiān)聽網(wǎng)絡(luò)流量并對(duì)流量進(jìn)行分析；預(yù)處理模塊使用插件機(jī)制實(shí)現(xiàn)對(duì)原始網(wǎng)絡(luò)流量的檢測(cè)，網(wǎng)絡(luò)流量經(jīng)過預(yù)處理后傳到檢測(cè)模塊；檢測(cè)模塊根據(jù)預(yù)先設(shè)置的規(guī)則檢查預(yù)處理器送過來的網(wǎng)絡(luò)流量，發(fā)現(xiàn)與對(duì)應(yīng)規(guī)則相匹配的流量，傳給知報(bào)警模塊；報(bào)警/日志模塊記錄檢測(cè)模塊對(duì)檢測(cè)模塊傳入的入侵流量進(jìn)行分析，實(shí)現(xiàn)報(bào)警功能。

入侵防御系統(tǒng)(Intrusion Prevention System, IPS)是在IDS和防火墻的基礎(chǔ)上發(fā)展起來一種能夠積極主動(dòng)響應(yīng)攻擊的網(wǎng)絡(luò)安全產(chǎn)品[15],它具有檢測(cè)入侵行為并實(shí)時(shí)攔截入侵的功能。傳統(tǒng)的入侵防御系一般作為一種網(wǎng)絡(luò)設(shè)備串聯(lián)在主干網(wǎng)絡(luò)之上[7]。IPS部署如圖4所示。

圖 4 入侵防御系統(tǒng)部署

IPS作為一種主動(dòng)防御安全技術(shù)能夠有效攔截網(wǎng)絡(luò)入侵流量，保護(hù)網(wǎng)絡(luò)安全。但I(xiàn)PS設(shè)備串聯(lián)在網(wǎng)絡(luò)環(huán)境中，一旦設(shè)備出現(xiàn)問題就會(huì)影響整個(gè)網(wǎng)絡(luò)的使用，容易造成單點(diǎn)失效問題；網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)包需要經(jīng)過各種檢測(cè)后才能轉(zhuǎn)發(fā)，由于設(shè)備處理能力有限，容易造成網(wǎng)絡(luò)擁塞現(xiàn)象；為了提高轉(zhuǎn)發(fā)性能必須使用昂貴的專用設(shè)備，防護(hù)成本大幅增高。

2 基于SDN的云平臺(tái)入侵防御方案

2.1 總體方案設(shè)計(jì)

針對(duì)傳統(tǒng)IPS存在的問題，本文設(shè)計(jì)了一種基于SDN的云平臺(tái)入侵防御方案，方案在OpenStack云平臺(tái)的基礎(chǔ)上集成SDN，構(gòu)建了OpenStack的軟網(wǎng)絡(luò)平臺(tái)，并在該平臺(tái)上構(gòu)建了基于SDN的IPS。

本文方案分為三部分：第一部分是SDN模塊，提供虛擬網(wǎng)絡(luò)資源；第二部分是OpenStack模塊，提供虛擬資源管理功能；第三部分是基于SDN的入侵防御模塊。本文方案總體架構(gòu)圖如圖5所示。

圖 5 本文方案總體架構(gòu)

2.2 基于SDN的入侵防御模塊設(shè)計(jì)

在入侵防御方案設(shè)計(jì)中，基于SDN的入侵防御模塊設(shè)計(jì)是本文方案的核心內(nèi)容。該模塊通過調(diào)用SDN控制器層的邏輯化可編程接口實(shí)現(xiàn)。該模塊由入侵檢測(cè)模塊、信息接收模塊、安全策略管理模塊、安全策略執(zhí)行模塊四個(gè)子模塊組成，并提供了系列入侵防御擴(kuò)展接口，以便擴(kuò)展更加符合實(shí)際應(yīng)用、更加適用于云環(huán)境的入侵防御性能。其實(shí)現(xiàn)架構(gòu)如圖6所示。

其中：入侵檢測(cè)模塊用于檢測(cè)流經(jīng)虛擬交換機(jī)的流量，并把入侵流量傳給信息接收模塊；信息接收模塊用于接收IDS傳遞的入侵流量，并把其傳給安全策略執(zhí)行模塊；安全策略管理模塊主要使用數(shù)據(jù)庫或者文本存儲(chǔ)安全策略，提供安全策略管理接口給安全策略執(zhí)行模塊；安全策略執(zhí)行模塊從安全策略管理模塊查詢安全策略，對(duì)入侵信息作出相應(yīng)處理。

圖 6 基于SDN的入侵防御模塊實(shí)現(xiàn)架構(gòu)

2.3 入侵檢測(cè)和控制器聯(lián)動(dòng)流程設(shè)計(jì)

入侵檢測(cè)和控制器聯(lián)動(dòng)流程設(shè)計(jì)如圖7所示。

圖7 入侵檢測(cè)和控制器聯(lián)動(dòng)架構(gòu)

1)當(dāng)數(shù)據(jù)包首次到達(dá)虛擬交換機(jī)(Open Virtual Switch, OVS)時(shí)，OVS把數(shù)據(jù)包傳給Ryu控制器；

2)Ryu控制器通過查詢安全策略管理模塊的安全策略下發(fā)流量重定向流表到OVS；

3)當(dāng)相同形式的數(shù)據(jù)包再次到達(dá)OVS時(shí)，OVS直接根據(jù)流量重定向流表把數(shù)據(jù)包重定向至Snort；

4)當(dāng)Snort檢測(cè)到入侵流量時(shí)把入侵流量傳給控制器的信息接收模塊；

5)策略執(zhí)行模塊接收到信息接收模塊傳入的入侵信息時(shí)，策略執(zhí)行模塊根據(jù)安全策略管理模塊的安全策略，下發(fā)入侵過濾流表到OVS以阻止入侵。

2.4 基于SDN的入侵防御方案和傳統(tǒng)入侵防御方案比較

基于SDN技術(shù)的入侵檢測(cè)聯(lián)動(dòng)方案和傳統(tǒng)的基于防火墻的入侵檢測(cè)聯(lián)動(dòng)方案有著本質(zhì)的區(qū)別，實(shí)現(xiàn)方案架構(gòu)對(duì)比如圖8所示。

圖8 傳統(tǒng)IPS和基于SDN的IPS架構(gòu)對(duì)比

圖8中虛線表示控制流量，實(shí)線表示數(shù)據(jù)流量。傳統(tǒng)的基于防火墻的入侵防御方案如圖8灰色線所示，在IDS檢測(cè)到入侵后，會(huì)和防火墻聯(lián)動(dòng)，通過NFQueue制定策略，防止入侵[4]?；赟DN的入侵防御方案架構(gòu)如圖8黑色線所示，在IDS檢測(cè)到入侵后，會(huì)和控制器聯(lián)動(dòng)，通過控制器下發(fā)流表，動(dòng)態(tài)阻止入侵。兩種方案性能對(duì)比分析如表1所示。

表1 傳統(tǒng)IPS和基于SDN的IPS性能比較

3 方案實(shí)現(xiàn)

3.1 實(shí)驗(yàn)環(huán)境搭建

為測(cè)試方案的可行性及其性能，首先搭建OpenStack私有云平臺(tái)，并在云平臺(tái)上集成了SDN控制器Ryu。平臺(tái)部署方案如圖9所示。

圖9 平臺(tái)部署方案

3.2 可行性驗(yàn)證

在集成SDN的OpenStack云平臺(tái)上，部署Snort入侵檢測(cè)系統(tǒng)并開發(fā)Snort與控制器的聯(lián)動(dòng)模塊，完成互聯(lián)和正確配置，然后在安全策略管理中心設(shè)置安全策略，使檢測(cè)到ping數(shù)據(jù)包時(shí)，根據(jù)源IP地址和目的IP地址禁止兩虛擬機(jī)通信，驗(yàn)證方案的可行性，測(cè)試效果如下：

1) 在OpenStack云平臺(tái)上創(chuàng)建兩個(gè)虛擬機(jī)，分別分配IP地址10.1.0.11和10.1.0.12。

2)新建ips.rules，定義入侵檢測(cè)策略為：

alert icmp any any -> any any (msg:"Pinging...";sid:1000004;)

alert tcp any any -> any 80 (msg:"Port 80 is accessing"; sid:1000003;)

3)在/etc/snort/snort.conf加入ips.rules策略：

include $RULE_PATH/Myrules.rules

4)在安全策略管理中心設(shè)置安全策略，若檢測(cè)到ping數(shù)據(jù)包則根于源IP和目的IP阻止兩虛擬機(jī)的通信。

5)用一臺(tái)虛擬機(jī)ping另一臺(tái)虛擬機(jī)的IP地址。首先，虛擬交換機(jī)轉(zhuǎn)發(fā)ping數(shù)據(jù)包；然后，Snort檢測(cè)到ping行為并傳給控制器;最后，控制器根據(jù)安全策略管理中心的安全策略阻止入侵。測(cè)試結(jié)果如10所示。

圖10 基于SDN的IPS測(cè)試結(jié)果

由圖10可知，ping數(shù)據(jù)包在轉(zhuǎn)發(fā)了兩個(gè)之后被及時(shí)阻止，所用時(shí)間約為6.9 ms，系統(tǒng)可及時(shí)阻止入侵，具有較好實(shí)時(shí)性。

虛擬交換機(jī)的轉(zhuǎn)發(fā)策略如圖11所示。

圖11 虛擬交換機(jī)轉(zhuǎn)發(fā)策略

由圖11可知，虛擬交換機(jī)對(duì)源IP地址為10.1.0.11、目的IP為10.1.0.12的數(shù)據(jù)包進(jìn)行丟棄。

IPS的日志如圖12所示。

圖12 IPS日志結(jié)果

由圖12可知，在系統(tǒng)日志中可以看到入侵時(shí)間、檢測(cè)到入侵的虛擬交換機(jī)的ID和入侵?jǐn)?shù)據(jù)包的詳細(xì)信息。

3.3 性能評(píng)估

為對(duì)比本文方案和基于Iptable的IPS方案的性能差異，實(shí)驗(yàn)采用同樣的環(huán)境部署了基于Iptable的IPS，并在虛擬機(jī)中安裝用于發(fā)送數(shù)據(jù)包的Tcpreplay軟件，使虛擬機(jī)間產(chǎn)生真實(shí)的網(wǎng)絡(luò)數(shù)據(jù)包，模擬真實(shí)的網(wǎng)絡(luò)環(huán)境，安裝用于發(fā)送攻擊數(shù)據(jù)的IDS Informer軟件，使虛擬機(jī)間產(chǎn)生攻擊數(shù)據(jù)，模擬真實(shí)的入侵環(huán)境。以100～5 000不同的速率在虛擬機(jī)間發(fā)送攻擊數(shù)據(jù)包和正常數(shù)據(jù)包，采取多次實(shí)驗(yàn)取平均值的方法(分別進(jìn)行10次測(cè)試)分別對(duì)傳統(tǒng)IPS方案和基于SDN的IPS方案的入侵檢測(cè)效率和CPU利用率進(jìn)行測(cè)試。入侵檢測(cè)效率測(cè)試結(jié)果如圖13所示。

由圖13可知，隨著攻擊速率的不斷提高，傳統(tǒng)IPS方案的入侵檢測(cè)效率先下降，當(dāng)攻擊速率為12 000 packet/s時(shí)，檢測(cè)效率下降為85%，而基于SDN的IPS方案在攻擊速率為40 000 packet/s時(shí)，檢測(cè)效率仍在90%以上，相對(duì)傳統(tǒng)IPS方案，入侵?jǐn)?shù)據(jù)處理能力提高2倍以上。

圖13 入侵檢測(cè)效率對(duì)比

CPU利用率測(cè)試結(jié)果如圖14所示。

由圖14可知，傳統(tǒng)IPS方案相對(duì)基于SDN的IPS方案的CPU利用率偏高，且隨著攻擊速率的不斷提高，相差越來越大。由此可以得出，基于SDN的IPS方案與傳統(tǒng)IPS方案相比具有更低資源占用率，轉(zhuǎn)發(fā)效率相對(duì)更高。

圖 14 CPU利用率對(duì)比

4 結(jié)語

入侵防御技術(shù)是云計(jì)算的重要安全保護(hù)機(jī)制，但傳統(tǒng)的入侵防御技術(shù)串聯(lián)在網(wǎng)絡(luò)環(huán)境中，云計(jì)算網(wǎng)絡(luò)應(yīng)用需求量大，傳統(tǒng)IPS存在吞吐量低、檢測(cè)效率低、丟包率高等問題。以提高IPS的效率和靈活性為目的，本文設(shè)計(jì)并實(shí)現(xiàn)了一種基于SDN的IPS方案。該方案首先在OpenStack云平臺(tái)中集成SDN，然后通過入侵檢測(cè)和控制器聯(lián)動(dòng)，使IDS在檢測(cè)到入侵流量時(shí)把入侵流量傳給控制器，控制器下發(fā)流表動(dòng)態(tài)阻止入侵，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)入侵流量進(jìn)行集中管控，提高了IPS的靈活性和可擴(kuò)展性，并通過搭建的測(cè)試環(huán)境完成了對(duì)所提方案可行性的驗(yàn)證。經(jīng)測(cè)試分析表明，基于SDN的IPS相對(duì)于傳統(tǒng)的IPS在性能上具有一定的優(yōu)越性。

入侵防御系統(tǒng)涉及的理論和內(nèi)容較多。本文實(shí)驗(yàn)僅對(duì)入侵檢測(cè)實(shí)現(xiàn)方法作了改進(jìn)和驗(yàn)證，未針對(duì)虛擬環(huán)境下入侵特點(diǎn)作算法方面的研究，如何設(shè)計(jì)針對(duì)虛擬化環(huán)境的入侵檢測(cè)算法有待進(jìn)一步研究。

References)

[1] 馮登國,張敏,張妍,等.云計(jì)算安全研究[J].軟件學(xué)報(bào),2011,22(1):71-83.( FENG D G, ZHANG M, ZHANG Y, et al. Study on cloud computing security [J]. Journal of Software, 2011, 22(1): 71-83.

[2] BANIKAZEMI M, OLSHEFSKI D, SHAIKH A, et al. Meridian: an SDN platform for cloud network services [J]. IEEE Communications Magazine, 2013, 51(2): 120-127.

[3] XU C J, WANG G J, WANG H H, et al. Design of cloud safety monitoring management platform of saline alkali industry [C]// Proceedings of the 2015 International Conference on Intelligent Transportation, Big Data and Smart City. Piscataway, NJ: IEEE, 2015: 294-297.

[4] RAJENDRAN P K, MUTHUKUMAR B, NAGARAJAN G. Hybrid intrusion detection system for private cloud: a systematic approach [J]. Procedia Computer Science, 2015, 48(C): 325-329.

[5] MALIK R. A novel approach for intrusion detection and prevention technique for cloud based on FVM approach [J]. International Journal of Computer Applications, 2015, 118(1): 20-24.

[6] ALQAHTANI S M, BALUSHI M A, JOHN R. An intelligent intrusion prevention system for cloud computing (SIPSCC) [C]// CSCI’14: Proceedings of the 2014 International Conference on Computational Science and Computational Intelligence. Washington, DC: IEEE Computer Society, 2014: 152-158.

[7] 車明明.入侵防御系統(tǒng)的關(guān)鍵技術(shù)研究[D].成都：電子科技大學(xué),2013:7-11.(CHE M M. The key technology research of intrusion prevention system [D]. Chengdu: University of Electronic Science and Technology of China, 2013: 7-11.)

[8] ALI S T, SIVARAMAN V, RADFORD A, et al. A survey of securing networks using software defined networking [J]. IEEE Transactions on Reliability, 2015, 64(3): 1086-1097.

[9] GIOTIS K, ARGYROPOULOS C, ANDROULIDAKIS G, et al. Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments [J]. Computer Networks, 2014, 62(5): 122-136.

[10] KUMAR S, KUMAR T, SINGH G, et al. Open flow switch with intrusion detection system [J]. International Journal of Schientific Research Engineering &Techonology, 2012,1(7): 1-4.

[11] JAFARIAN J H, AL-SHAER E, DUAN Q. OpenFlow random host mutation: transparent moving target defense using software defined networking [C]// HotSDN’12: Proceedings of the First Workshop on Hot Topics in Software Defined Networks. New York: ACM, 2012: 127-132.

[12] ZANNA P, O’NEILL B, RADCLIFFE P, et al. Adaptive threat management through the integration of IDS into software defined networks [C]// Proceedings of the 2014 International Conference and Workshop on the Network of the Future. Piscataway, NJ: IEEE, 2014: 1-5.

[13] XING T Y, HUANG D J, XU L, et al. SnortFlow: a OpenFlow-based intrusion prevention system in cloud environment [C]// GREE’13: Proceedings of the 2013 Second GENI Research and Educational Experiment Workshop. Washington, DC: IEEE Computer Society, 2013: 89-92.

[14] NOMURA K, TANIGUCHI Y, IGUCHI N, et al. A system for supporting migration to overlay OpenFlow network using OpenStack [C]// Proceedings of the 2016 International Conference on Complex, Intelligent, and Software Intensive Systems. Washington, DC: IEEE Computer Society, 2016: 595-598.

[15] 李勇征.具有免疫響應(yīng)能力的入侵防御關(guān)鍵技術(shù)研究[D].秦皇島：燕山大學(xué)，2013:12-14.(LI Y Z. Research on key technologies of intrusion prevention with immune response [D]. Qinhuangdao: Yanshan University, 2013: 12-14.)

This work is partially supported by the National High Technology Research and Development Program (863 Program) of China (2015AA017202), the Information Security Special Fund of National Development and Reform Commission (NDRC High- Tech [2015]289).

CHI Yaping, born in 1969, M. S., professor. Her research interests include virtualization security, trusted computing, encryption technology, software defined network.

JIANG Tingting, born in 1989, M. S. candidate. Her research interests include virtualization security, encryption technology, network security, cloud computing network.

DAI Chuping, born in 1990, M. S. candidate. Her research interests include 4G wireless communication, physical layer security of wireless communication.

SUN Wei, born in 1993, M. S. candidate. His research interests include network security, software definition network.

Design and implementation of cloud platform intrusion prevention system based on software defined network

CHI Yaping1, JIANG Tingting1*, DAI Chuping2, SUN Wei1

(1.DepartmentofCommunicationEngineering,BeijingElectronicScienceandTechnologyInstitute,Beijing100070,China; 2.SchoolofTelecommunicationsEngineering,XidianUniversity,Xi’anShaanxi710071,China)

The traditional intrusion prevention system is the serially connected in the network environment, its ability to deal with the intrusion is limited and may cause network congestion easily. In order to solve the problems, an intrusion prevention scheme for cloud computing applications was designed based on Software Defined Network (SDN). Firstly, the SDN controller was integrated in the OpenStack platform. Then, by using the programmable characteristics of the controller, the linkage mechanism of intrusion detection and controller was designed to realize the intrusion prevention. The principle of the linkage mechanism is that the intrusion information is passed to the controller when the intrusion detection system detects the intrusion, then the security policy was issued to the virtual switch by the controller for filtering the intrusion traffic and dynamically preventing the intrusion. Finally, the proposed scheme was compared with the traditional intrusion prevention scheme in experiment. The comparison and analysis results show that, the proposed scheme can detect more than 90% of the instructions when they come at 40 000 packets per second, while the traditional scheme only detect 85% of the instructions when they come at 12 000 packets per second. The proposed scheme can be used to improve the detection efficiency of intrusion prevention in the cloud environment.

cloud computing security; intrusion prevention; Software Defined Network (SDN); controller

2016- 10- 08;

2017- 01- 13。

國家863計(jì)劃項(xiàng)目(2015AA017202);國家發(fā)改委信息安全專項(xiàng)(發(fā)改辦高技[2015]289號(hào))。

池亞平(1969—)，女，北京人，教授，碩士，CCF會(huì)員,主要研究方向：虛擬化安全、可信計(jì)算、加密技術(shù)、軟件定義網(wǎng)絡(luò)；姜停停(1989—)，女，山東濟(jì)寧人，碩士研究生，主要研究方向：虛擬化安全、加密技術(shù)、網(wǎng)絡(luò)安全、云計(jì)算網(wǎng)絡(luò)； 戴楚屏(1990—)，女，安徽黃山人，碩士研究生,主要研究方向：4G無線通信、無線通信物理層安全； 孫尉(1993—), 男, 陜西西安人，碩士研究生,主要研究方向：網(wǎng)絡(luò)安全、軟件定義網(wǎng)絡(luò)。

1001- 9081(2017)06- 1625- 05

10.11772/j.issn.1001- 9081.2017.06.1625

TP309.1

A