一種基于SDN的視頻監控安全系統的設計與實現

周迪

?

一種基于SDN的視頻監控安全系統的設計與實現

周迪

浙江宇視科技有限公司，浙江 杭州 310053

將軟件定義網絡融入視頻監控管理系統，利用業務管理平臺對流信息的精確理解和預測能力，以及OpenFlow網絡對流的深度管控能力，實現對流量的精準清洗和流日志的豐富統計，不僅實現了對非法入侵的拒止，而且實現了對系統內外流行為的監控。

SDN；視頻監控；安全

引言

視頻監控系統在為其他系統提供視頻智能防護的同時，其自身的安全性需求顯得日益重要，事實上也獲得了越來越多的重視。在監控IP化的近十年里，監控系統的安全事故頻發，業界的安全意識獲得了極大的提升。為了保障監控系統的安全，人們投入了各種安全防護手段，防火墻、入侵檢測、接入控制、審計回溯等等，在監控系統成本日益下降的同時，安全的成本投入反而日益上升，管理也日益復雜，增加了整系統的穩定性風險[1]。因此，簡化安全管理，提升監控系統的安全管理效率，成為刻不容緩的研究課題。

流量清洗和安全流審計是廣泛使用的兩種網絡安全機制。流量清洗是事前的控制措施，通過對接入終端的認證和授權，確保其身份的真實性和權限的合法性，通過對業務流量的分析和建模，過濾非法流量和阻斷非法連接，避免或降低其攻擊危害。安全流審計是事后的控制措施，通過對接入流量和日志內容的解析，分析其行為特征和活動軌跡[2]。但是，這兩種安全機制存在如下不足：（1）流量清洗需要對網絡分組轉化為流，視頻流量較大且業務繁多，這種情況下的流量清洗對硬件計算能力有較高的要求；（2）網絡層面獨立的流量清洗并不能精確屏蔽非法流量；（3）安全流審計的流量偵聽需要在網絡的多個出入口放置“探針”，部署存在較多困難，實現復雜；（4）海量日志的查詢和分析同樣對數據庫的性能提出了較高的要求。值得研究的問題是：（1）針對視頻監控系統，能否設計一種獨特的流量清洗和安全流審計方案，降低對軟硬件的開銷；（2）能否找到一種集中流量管控和海量日志存儲的平臺，降低部署難度，提高流審計性能。

軟件定義網絡（Software Defined Networking，SDN）是一種新型的集中控制的網絡體系架構，實現了控制平面和數據平面的徹底分離，轉發節點只負責業務流量的轉發，由控制器實現集中的計算和調度。OpenFlow協議作為SDN的一種南向接口標準，規范了控制平面與數據平面之間的通信機制，實現基于流表的全局邏輯控制。Hadoop是一種開源的云計算平臺，實現海量數據存儲和快速查找機制，為安全日志流審計功能提供了一種可用平臺。大型的視頻監控系統也是一種集中管控的體系架構，視頻編、解碼終端由管理平臺集中管理，統一調度。顯然，視頻監控系統的管理平臺和SDN控制器均處于關鍵位置，并具有可編程特性。將SDN融入視頻監控系統，為視頻監控系統的安全防護提供了新的選項，能夠充分實現業務和網絡的信息融合和聯動調度，有效協調業務操作流程、網絡轉發節點、監控編解碼終端和Hadoop平臺之間的協調，形成所需的視頻監控網絡安全功能。

本文擬提出一種基于SDN的視頻監控安全系統（SDN based Video Surveillance Security System，SDN VSSS），闡述業務與網絡融合的流量清晰和安全流審計的工作原理；利用OpenFlow技術，實現SDN VSSS的原型系統，并驗證SDN VSSS的可行性和可用性。

網絡安全作為一個熱點課題，學術界多有研究。作為視頻監控業務的承載層，傳統網絡將數據轉發與控制邏輯緊密耦合，限制了控制層面的靈活性和擴展性，網絡轉發很少感知業務狀況，業務流程對網絡轉發的調度也極其有限[3]。流量清洗技術，雖然架構完整，但技術復雜，開放性不夠。SDN作為快速發展的新技術，通過分離網絡的數據層面和控制層面，開放了網絡邏輯控制功能，能夠更加靈活地控制數據轉發，為網絡安全設計提供了創新途徑。

近幾年，有研究者利用SDN解決網絡安全問題。通過融合用戶角色和認證注冊，提出利用OpenFlow實現基于角色的接入控制，在內部網絡的全局監控方面有一定成效；但角色這種粗粒度的用戶定義，無法滿足多維度流量清洗的需求。在OpenFlow網絡中利用VLAN標簽和防火墻實現無線接入用戶的訪問控制，充分體現了SDN控制器的集中管控的特點，但策略定義復雜，對管理員的網絡全局知識要求較高。通過改進802.1x協議，根據目標采用適當粒度動態識別數據流，利用SDN實現了數據流的全局管控，但卻增加了每條接入流的認證過程。

1 視頻監控安全系統架構

1.1 系統的體系架構

SDN VSSS系統包含視頻監控管理服務器、SDN控制器、Hadoop平臺、SDN交換機，通常部署于機房[4]。作為視頻源的攝像機通常安裝于公共場合，作為業務請求端的用戶主機通常位于辦公網絡，由于物理環境的開放性，攝像機和用戶主機存在極大的安全風險，給視頻監控的管理系統帶來入侵隱患。我們期望利用SDN VSSS系統為視頻監控的管理系統打造安全的接入環境。

SDN VSSS系統各部件的角色和作用如圖1所示。

圖1 SDN VSSS系統各部件

（1）管理平臺：負責維護攝像機和用戶主機的注冊、認證、請求、建鏈等功能，并與SDN控制器建立實時的信息同步和交互。

（2）SDN控制器：OpenFlow網絡的集中控制中心，負責對SDN交換機的管理和流表維護，實現全網流量的管控。

（3）Hadoop平臺：應用Hadoop架構體系中的HBase數據庫，實現流日志的海量存儲和查詢功能。

（4）OpenFlow交換機：接收來自SDN控制器的信令和流表維護，處理數據流。

（5）攝像機：采集場景畫面，實現視頻編碼和傳輸，向管理平臺注冊，并接受管理平臺的調度。

（6）用戶主機：與管理平臺和攝像機交互，實現視頻資源的請求，解碼視頻畫面。

1.2 系統工作原理

SDN VSSS利用管理平臺對視頻監控業務的精確理解，實現對OpenFlow交換機流表的實時調度，達到基于狀態遷移的精準流量清洗效果。

1.2.1 流量清洗的工作原理與特點

SDN VSSS系統的流量清洗工作包括：預先開通注冊消息通道并拒絕其他內容的報文、基于攝像機或用戶主機的登錄狀態建立后續的信令通道、基于業務狀態建立數據通道。

以用戶主機點播攝像機的實況視頻為例，描述流量清洗的工作過程。

（1）管理平臺通知SDN控制器開通指向管理平臺的注冊消息通道并拒絕其他內容的報文，但其他未知報文可以上送SDN控制器。此步驟通過下發具有深度內容識別的流表實現，流表中不限定具體的IP和MAC信息，僅限定內容。

（2）攝像機和用戶主機向管理平臺進行注冊。

（3）針對注冊成功的攝像機或用戶主機，管理平臺通知SDN控制器為該攝像機或用戶主機開通后續業務信令或數據的傳輸通道。

（4）后續根據業務開展的需要，管理平臺與SDN控制器協調，建立進一步的信令或數據傳輸通道。

從上述流程可見，業務管理平臺與SDN控制器的信息同步和協調帶來諸多優勢。

（1）管理平臺精確理解整個系統的信令和數據傳輸需求，可精確控制OpenFlow網絡的白名單內容，實現對數據準入的嚴格控制。

（2）管理平臺精確預測后續的信令和數據傳輸需求，避免了數據驅動機制給SDN控制器帶來的性能消耗和計算延時。

（3）管理平臺嚴密監管所有業務的請求和處理過程，可實現基于狀態驅動的白名單更新機制，精細化控制白名單內容的建立時機。

1.2.2 安全流審計的工作原理與特點

SDN VSSS將業務管理與網絡調度融為一體，給安全流審計的開展帶來了不少便利，同時也需要對系統的設計進行適當的改進。SDN VSSS的流信息來自兩個渠道：一是來自管理平臺的信息同步；二是來自OpenFlow交換機的信息上送。因為管理平臺了解所有業務的進展情況，所以它可以將正常業務的流信息同步給流審計業務，這樣就免除了在網絡內部部署探針的需求。對于非業務相關的流量，即管理平臺未知的流量，OpenFlow交換機可以上報一份給流審計業務[5]。流審計業務包含流日志提取、流日志管理和流日志分析三塊內容。

流日志提取的基本工作過程如下。

（1）管理平臺收到來自攝像機或用戶主機的注冊消息以及后續的業務請求和數據建/拆鏈消息，將信息通過SDN控制器同步給Hadoop平臺，形成流日志。

（2）SDN交換機OVS收到業務之外的報文，發現無匹配項，則將該流的首分組封裝為Packet-in消息，上報給SDN控制器；SDN控制器做相應處理和下發Flow mod消息，提取其中的流表項建立信息，形成標準的流日志，并記錄該flow-id和RowKey。

（3）SDN控制器連接Hadoop平臺的HBase，將流日志發送至HBase，完成該條流日志。

流回溯分析的基本工作過程如下。

（1）SDN控制器收到審計請求，根據審計策略向Hadoop平臺發送查詢。

（2）Hadoop平臺反饋查詢結果，SDN控制器審計服務根據審計策略對反饋的結果進行回溯分析。

SDN控制器在流審計工作中起到主導的角色，而Hadoop平臺負責日志數據的匯總和存儲。

從上述流程可見，SDN VSSS融合業務和網絡的流審計模型具有如下特點。

（1）流日志的信息以來自于管理平臺的批量同步為主，以來自于OpenFlow交換機的數據流觸發為輔，這種模式降低了數據采集的性能消耗。

（2）管理平臺的流日志具備更豐富、更完善的業務信息，有助于SDN控制器進行多維度的流日志分析。

1.2.3 SDN VSSS的系統功能模塊

SDN VSSS的功能模塊分解圖如2所示，主要包括5個模塊。

圖2 SDN VSSS的功能模塊分解圖

（1）表項處理模塊：接收來自管理平臺的指令，實施表項的下發。

（2）流接入處理模塊：解析Packet-in消息，為流審計提供業務之外的流接收信息。

（3）流日志提取模塊：收集流日志，從流處理模塊以及流建立和刪除的消息中提取流信息。

（4）流日志管理模塊：與Hadoop平臺對接，提供流日志的存儲和查詢服務。

（5）流日志分析模塊：提供對外的流審計需求，對來自流日志管理模塊的查詢結果進行審計分析，輸出審計結果。

2 系統實現的關鍵技術

2.1 安全策略

流接入控制由SDN控制器統一負責，通過黑白名單過濾報文，實現對數據流的精準清洗。

針對白名單，SDN控制器一方面接收來自管理平臺的白名單需求，另一方面獨立執行基本的網絡管理策略，例如拓撲發現與路由計算，相關的少數報文默認進入白名單。

白名單控制是一種較為嚴格的安全策略，SDN控制器只對白名單中的實體下發流表，即不允許除白名單外所有實體的接入[6]。大小為R的白名單列表WhiteList定義如下。

WhiteList ＝｛Host [ ip&port&content&swport ]i，i=1,2,…,R｝，

其中，Host [ ip&port&content&swport ]i為白名單中的某一實體，由實體的IP地址、傳輸層端口號、報文深度內容及接入的首跳交換機ID、接入設備端口號swport構成。

針對黑名單，分為兩類。一是缺省黑名單，白名單之外的流量只允許通過Packet- in消息實現首包的上報，不給予轉發，主要用于流日志的收集和安全態勢的分析；二是按需黑名單，若發現個別流存在攻擊行為或潛在的攻擊嫌疑，則直接設置對應的黑名單，給予丟棄處理[7]。

黑名單控制是一種較為寬松的安全策略，即允許除了“黑名單”外的所有實體接入。大小為R 的黑名單列表BlackList定義如下。

BlackList ＝｛Host [ ip｜swport ]i，i=1,2,…,R｝，

其中，Host [ ip｜swport ]i為黑名單中的某一實體，由實體的IP地址或實體的首跳交換機ID及接入設備端口swport構成。對于缺省黑名單，IP地址是一個通配掩碼，覆蓋所有IP地址，其位于匹配列表的最后一列。

顯然，SDN VSSS屬于融合黑白名單的多維控制策略。長度為R的多維控制列表MCList定義如下。

MCList＝｛MCHost [ info ]i｜MCHost [ info ]i∈ WhiteList ∪BlackList，i=1,2,…,R｝。

其中，MCHost [info]i為多維控制列表成員；MCHost [ info ]i為 WhiteList 或 BlackList 中的某一實體。

2.2 流日志提取

2.2.1 流日志格式

流日志的條目是一個40元組的信息，包括流表項包頭域的12元組信息、深度內容域20元組信息、首跳交換機ID或管理平臺ID、下發流表的系統時間及流表6元組統計信息，限于篇幅這里從略[8]。

2.2.2 流日志的提取算法

SDN VSSS的流日志有兩個來源：一是來自管理平臺的信息同步；二是來自SDN控制器實際收到的Packet-in消息。

管理平臺對系統的所有交互和流量行為精準理解，是流審計業務的重要信息來源。根據業務的開展情況，管理平臺通過Mgr_Send()函數向流日志提取模塊實時同步流信息Mgr_Packet-in Message。

OpenFlow交換機收到業務之外的未知報文時，會向SDN控制器發送封裝了首包的packet in消息。SDN控制器通過handle_PacketIn()解析出其中相關信息如src_ip，dst_ip，src_port，dst_port，content及match。

流日志提取模塊匯總上述兩個途徑的信息，由make_log( )封裝成流日志Flowlog，最后由get_row-key( )、get_flowid( )分別得到主鍵RowKey與流ID Flowid[9]。

流日志的提取算法如下。

輸入Packet-in Message或Mgr_Packet-in Message

輸出FlowLog∥流日志

｛src_ip，dst_ip，src_port，dst_port，content，match｝← handle_PacketIn( PACKET-IN Message)

或｛src_ip，dst_ip，src_port，dst_port，content，match｝← handle_PacketIn( Mgr_PACKET-IN Message)

Flowlog ← make_log(flowi)

RowKey ← get_row-key(flowi)

Flowid ← get_flowid(match)

return Flowlog

在SDN VSSS中，SDN控制器通過上述算法提取流日志，并通過Thrift接口與Hadoop中的HBase數據庫連接，將流日志發送至HBase。

3 應用及試驗評估

3.1 試驗環境

為驗證SDN VSSS的可行性，搭建了如圖3所示的試驗組網環境，包含3臺OpenFlow交換機，1臺管理平臺，1臺Hadoop平臺，1臺SDN控制器，兩臺IP攝像機，1臺用戶主機以及1臺直連攝像機的測試PC。其中SDN控制器采用ODL開源項目，通過帶外方式與OpenFlow交換機互聯；測試PC機直連攝像機，用于控制安裝于攝像機之上的發包工具。

圖3 試驗組網環境

SDN控制器提供審計服務。Hadoop的HBase由基于Linux PC的1臺Master和2臺Region構成，硬件配置為Core i5 3470 的CPU，32?GHz的主頻，4?GB的內存。

為驗證SDN VSSS具有的基本功能，共設計了2組試驗：一組測試流量清洗特性，對用戶主機的攻擊防護試驗；一組測試安全流審計特性，對用戶主機的流日志回溯分析試驗。

3.2 試驗1：特定主機的攻擊防護

試驗設置如圖4所示。

圖4 試驗設置圖

（1）在0～800?s時間段，用戶主機點播攝像機10.0.0.1的畫面，視頻碼流速率為50?Mb·s﹣1。由于管理平臺協調SDN控制器下發了對應流表，用戶主機正常接收到視頻流，接收速率保持在50?Mb·s﹣1。

（2）在200～400?s時間段，測試PC控制攝像機10.0.0.2上的發包工具向用戶主機發送非視頻的IP包，速率為50?Mb·s﹣1。由于用戶主機并未向攝像機10.0.0.2點播視頻流，管理平臺也就未協調SDN控制器下發對應流表，用戶主機未能接收到對應報文，接收速率依舊保持在50?Mb·s﹣1。

（3）在400～600?s時間段，用戶主機點播攝像機10.0.0.2的畫面，視頻碼流速率為50?Mb·s﹣1。因為管理平臺協調SDN控制器下發了對應流表，用戶主機收到了攝像機10.0.0.2的視頻流；而測試工具發送的非視頻IP包因為其端口號等信息與視頻流不同，所以無法匹配流表，用戶主機依然無法收到該測試包。所以用戶主機的接收速率為100?Mb·s﹣1。

（4）在600～800?s時間段，測試PC控制發包工具模擬視頻流發送IP包，速率為50?Mb·s﹣1。此時用戶主機的接收速率上升至150?Mb·s﹣1。

（5）在800～1000?s時間段，用戶主機停止點播攝像機10.0.0.2的畫面。由于管理平臺協調SDN控制器清除了相關流表，攝像機10.0.0.2發送的正常視頻和模擬視頻流均被攔截，用戶主機的接收速率下降至50?Mb·s﹣1。

由上可見，SDN VSSS系統精確地實現了流量清洗，將業務之外的非法流量屏蔽在接入點之外。

3.3 試驗2：流日志回溯分析

試驗設置如下。在上述流量清洗試驗之后，在SDN控制器上查詢關于用戶主機的流日志，對用戶主機的各個時間段進行回溯分析，以得到不用時間段的連接IP個數。

表1

序號時間段（s）連接IP個數 10～2002 2200～4002 3400～6003 4600～8003 5800～10002

（a）

表1的統計結果可見：在0～200?s時間段，用戶主機的連接IP個數為2，一個為管理平臺，一個為攝像機10.0.0.1；在200～400?s時間段，用戶主機的連接IP個數也為2，因為發包工具的測試報文被攔截了；在400～600?s時間段，用戶主機的連接IP個數為3，除了管理平臺和攝像機10.0.0.1，又增加了一個攝像機10.0.0.2；在600～800?s時間段，用戶主機的連接IP個數依然為3，雖然發包工具發送了測試流，但該測試流是與視頻流一樣的仿真流，所以連接IP個數不變；在800～1?000?s時間段，用戶主機的連接IP個數為2，因為測試用戶主機停止了對攝像機10.0.0.2的點播。

試驗結果表明，SDN VSSS的安全流日志審計系統可以準確地統計對應設備的流日志信息。

4 結論

（1）通過融合業務管理系統和SDN對網絡的集中控制，可以實現精準的流量清洗，利用管理平臺對業務交互過程的精確理解，實現對數據準入的嚴格控制。

（2）業務管理平臺對后續業務的精準預測能力可以避免數據驅動機制給SDN控制器帶來的性能消耗和計算延時，也使得系統更為安全可控。

（3）通過同步業務管理平臺的流信息，可以降低因為數據偵聽帶來的消耗，同時也帶來更為豐富的審計信息。

[1]SEKAR V，EGI N，RATNASAMY S，etal. Design and implementation of a consolidated middlebox architecture[C]//Proceedings of the 9th USENIX Symposium on Networked Systems Design and Implementation. California：[s.n.]，2012.

[2]SERRAO G J. Network access control (NAC)：an open source analysis of architectures and requirements [C]//Proceedings of the 44thAnnual 2010 IEEE International Carnahan Conference on Security Technology. San Jose：IEEE，2010：94-102.

[3]SATHYA G，VASANTHRAJ K. Network activity classification schema in IDS and log audit for cloud computing[C]//Proceedings of 2013 International Conference on Information Communication and Embedded Systems. Chennai：IEEE Computer Society，2013：502-506.

[4]左青云，陳鳴，趙廣松，等. 基于OpenFlow的SDN技術研究[J]. 軟件學報，2013，24（5）：1078-1097.

[5]SHVACHKO K，KUANG H，RADIA S，et al. The Hadoop distributed file system [C]// Proceedings of 2010 IEEE the 26th Symposium on Mass Storage Systems and Technologies. Lake Tahoe：IEEE Computer Society，2010.

[6]張朝昆，崔勇，唐鄖偉，等．軟件定義網絡（SDN）研究進展[J]．軟件學報，2015，26（1）：62-81.

[7]SASAKI T，HATANO Y，SONODA K，et al. Load distribution of an openflow controller for role based network access control[C]// Procedings of the 15th Asia Pacific Network Operations and Management Sysposium：“Integrated Management of Network Virtualization”. Hiroshima，Japan：IEEE Computer Society，2013，Article number：6665289.

[8]KINOSHITA S，WATANABE T，YAMATO J，et al. Implimentation and evaluation of an OpenFlow based access control system for wireless LAN roaming [C]// Proceedings of the 36th Annual IEEE International Computer Software and Application Conference Workshops.Izmir：IEEE Computer Society，2012：82-87.

[9]MATIAS J，GARAY J，MENDIOLA A，et al. FlowN AC：flow based network access control [C]// Proceedings of the 3rd European Workshop on Software Defined Networks. Budapest：IEEE，2014：79-84.

Design and Implementation of a Video Surveillance Security System Based on SDN

Zhou Di

Zhejiang Uniview Technology Co., Ltd., Zhejiang Hangzhou 310053

Integrating the software-defined network into the video surveillance management system, using the accurate understanding and prediction capabilities of the traffic management platform for convection, and the deep control of the convection of the OpenFlow network, to achieve accurate cleaning of traffic and rich statistics of flow logs, not only realizes rejection of illegal intrusions, but also achieves monitoring of the popularity of the system inside and outside the system.

SDN; video surveillance; security

TP393.0

A