[发明专利]一种基于OpenFlow的虚拟机流量检测系统

说明书

所属技术领域

本发明涉及一种检测系统，尤其涉及一种基于OpenFlow的虚拟机流量检测系统。

背景技术

在传统网络中，安全防护任务主要由网络边界的安全组件负责，如防火墙、入侵检测系统(Intmsion Detection System，IDs)等，这类防护设备通过对流量进行检测和过滤的手段来保障网络安全。然而由于云计算底层架构通过虚拟化技术实现，虚拟机(Vinual Machine，VM)间的通信过程在物理机的共享内存中完成，流量并不经过网络边界的安全组件，因此如果攻击来自云内部，则传统的安全防护措施将完全失效。

针对上述问题，文献采取监控虚拟机运行状态的方式来保障虚拟机系统的安全，通常的做法是从发明件和进程的角度来实施监控。比如监视系统日志发明件的异常，保护敏感的数据发明件，拦截发明件存取操作，禁止非法和高危险的系统调用，拦截操作系统事件并进行语义重构等。部分文献则通过在虚拟机问执行严格的访问控制机制实现保障措施，如实现或改进BLP(Beu．LaPadula)模型，基于这类思想，目前也实现了许多典型的应用和模型，比如思科的网络准入控制(Network Admission contml，NAc)、可信计算组的可信网络连接(Tmsted Network connect，TNC)和微软的网络访问保护(Nemork Access Protection，NAP)等。以上这类基于主机的做法在一定程度上提高了虚拟机系统的安全性，但是在其他方面也存在一些不足：1)每台主机都肩负着自身的防护任务，从而增加了主机的负荷和运行成本；2)由于所有策略都是基于主机的，且缺乏信息交流和共享的机制，因此防护单元无法获得其他主机的防护信息和攻击形势，从而导致防护信息的局限性。

发明内容

本发明的目的是针对这类流量无法在网络边界被获取并检测的问题，设计了一种基于OpenFlow的虚拟机流量检测系统。

本发明解决其技术问题所采用的技术方案是：

基于OpenFlow的虚拟机流量检测系统采用分布式结构设计，主要包括虚拟交换机模块、控制模块、入侵检测模块和系统配置管理模块。

所述的虚拟交换机模块实现OpenFlow虚拟交换机的功能。

所述的控制模块负责为虚拟交换机模块制定转发策略，并根据配置和请求信息动态制定流量重定向规则。

所述的系统在LAMP环境下基于Snon、MySQL、入侵检测数据库分析控制台等组件部署了入侵检测模块做流量处理问题的处理。

所述的系统各模块部件分布式地部署于网络各节点上且数目众多，因此还通过网络集中配置的程序来简化部署和管理工作，即开发了系统配置管理模块。

所述的流量白虚拟机流经虚拟交换机模块。

所述的虚拟交换机模块根据控制模块制定的流表确定数据包如何转发，此时数据包可能根据流量重定向规则被重定向到入侵检测模块。

所述的入侵检测模块捕获到重定向的流量后对其进行检测并转发到目的主机。

所述的系统配置管理模块提供了对各模块组件操作和配置的图形界面，系统管理员可以随时跨越网络对各模块进行管理。

本发明的有益效果是：

基于OpenFlow的虚拟机流量检测系统能够在满足虚拟机网络正常使用的前提下，将待监管流量导向入侵检测系统进行处理，而且能够同时提供交换机级及虚拟机级两种粒度的流量重定向控制。通过对虚拟机引流的方式实现在传统场景中解决云计算环境下流量检测问题，同时能够基于OpenFlow轻松实现流量处理的扩展操作。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1是系统结构图。

图2是虚拟交换机模块处理数据包过程。

图3是控制模块制定重定向规则流程。

图4是入侵检测模块的结构图及数据处理过程。

图5是SCMP模块的MVc架构。

具体实施方式