周迪

?

一種基于SDN的視頻監(jiān)控安全系統(tǒng)的設(shè)計與實現(xiàn)

周迪

浙江宇視科技有限公司，浙江 杭州 310053

將軟件定義網(wǎng)絡(luò)融入視頻監(jiān)控管理系統(tǒng)，利用業(yè)務(wù)管理平臺對流信息的精確理解和預(yù)測能力，以及OpenFlow網(wǎng)絡(luò)對流的深度管控能力，實現(xiàn)對流量的精準清洗和流日志的豐富統(tǒng)計，不僅實現(xiàn)了對非法入侵的拒止，而且實現(xiàn)了對系統(tǒng)內(nèi)外流行為的監(jiān)控。

SDN；視頻監(jiān)控；安全

引言

視頻監(jiān)控系統(tǒng)在為其他系統(tǒng)提供視頻智能防護的同時，其自身的安全性需求顯得日益重要，事實上也獲得了越來越多的重視。在監(jiān)控IP化的近十年里，監(jiān)控系統(tǒng)的安全事故頻發(fā)，業(yè)界的安全意識獲得了極大的提升。為了保障監(jiān)控系統(tǒng)的安全，人們投入了各種安全防護手段，防火墻、入侵檢測、接入控制、審計回溯等等，在監(jiān)控系統(tǒng)成本日益下降的同時，安全的成本投入反而日益上升，管理也日益復(fù)雜，增加了整系統(tǒng)的穩(wěn)定性風(fēng)險[1]。因此，簡化安全管理，提升監(jiān)控系統(tǒng)的安全管理效率，成為刻不容緩的研究課題。

流量清洗和安全流審計是廣泛使用的兩種網(wǎng)絡(luò)安全機制。流量清洗是事前的控制措施，通過對接入終端的認證和授權(quán)，確保其身份的真實性和權(quán)限的合法性，通過對業(yè)務(wù)流量的分析和建模，過濾非法流量和阻斷非法連接，避免或降低其攻擊危害。安全流審計是事后的控制措施，通過對接入流量和日志內(nèi)容的解析，分析其行為特征和活動軌跡[2]。但是，這兩種安全機制存在如下不足：（1）流量清洗需要對網(wǎng)絡(luò)分組轉(zhuǎn)化為流，視頻流量較大且業(yè)務(wù)繁多，這種情況下的流量清洗對硬件計算能力有較高的要求；（2）網(wǎng)絡(luò)層面獨立的流量清洗并不能精確屏蔽非法流量；（3）安全流審計的流量偵聽需要在網(wǎng)絡(luò)的多個出入口放置“探針”，部署存在較多困難，實現(xiàn)復(fù)雜；（4）海量日志的查詢和分析同樣對數(shù)據(jù)庫的性能提出了較高的要求。值得研究的問題是：（1）針對視頻監(jiān)控系統(tǒng)，能否設(shè)計一種獨特的流量清洗和安全流審計方案，降低對軟硬件的開銷；（2）能否找到一種集中流量管控和海量日志存儲的平臺，降低部署難度，提高流審計性能。

軟件定義網(wǎng)絡(luò)（Software Defined Networking，SDN）是一種新型的集中控制的網(wǎng)絡(luò)體系架構(gòu)，實現(xiàn)了控制平面和數(shù)據(jù)平面的徹底分離，轉(zhuǎn)發(fā)節(jié)點只負責(zé)業(yè)務(wù)流量的轉(zhuǎn)發(fā)，由控制器實現(xiàn)集中的計算和調(diào)度。OpenFlow協(xié)議作為SDN的一種南向接口標準，規(guī)范了控制平面與數(shù)據(jù)平面之間的通信機制，實現(xiàn)基于流表的全局邏輯控制。Hadoop是一種開源的云計算平臺，實現(xiàn)海量數(shù)據(jù)存儲和快速查找機制，為安全日志流審計功能提供了一種可用平臺。大型的視頻監(jiān)控系統(tǒng)也是一種集中管控的體系架構(gòu)，視頻編、解碼終端由管理平臺集中管理，統(tǒng)一調(diào)度。顯然，視頻監(jiān)控系統(tǒng)的管理平臺和SDN控制器均處于關(guān)鍵位置，并具有可編程特性。將SDN融入視頻監(jiān)控系統(tǒng)，為視頻監(jiān)控系統(tǒng)的安全防護提供了新的選項，能夠充分實現(xiàn)業(yè)務(wù)和網(wǎng)絡(luò)的信息融合和聯(lián)動調(diào)度，有效協(xié)調(diào)業(yè)務(wù)操作流程、網(wǎng)絡(luò)轉(zhuǎn)發(fā)節(jié)點、監(jiān)控編解碼終端和Hadoop平臺之間的協(xié)調(diào)，形成所需的視頻監(jiān)控網(wǎng)絡(luò)安全功能。

本文擬提出一種基于SDN的視頻監(jiān)控安全系統(tǒng)（SDN based Video Surveillance Security System，SDN VSSS），闡述業(yè)務(wù)與網(wǎng)絡(luò)融合的流量清晰和安全流審計的工作原理；利用OpenFlow技術(shù)，實現(xiàn)SDN VSSS的原型系統(tǒng)，并驗證SDN VSSS的可行性和可用性。

網(wǎng)絡(luò)安全作為一個熱點課題，學(xué)術(shù)界多有研究。作為視頻監(jiān)控業(yè)務(wù)的承載層，傳統(tǒng)網(wǎng)絡(luò)將數(shù)據(jù)轉(zhuǎn)發(fā)與控制邏輯緊密耦合，限制了控制層面的靈活性和擴展性，網(wǎng)絡(luò)轉(zhuǎn)發(fā)很少感知業(yè)務(wù)狀況，業(yè)務(wù)流程對網(wǎng)絡(luò)轉(zhuǎn)發(fā)的調(diào)度也極其有限[3]。流量清洗技術(shù)，雖然架構(gòu)完整，但技術(shù)復(fù)雜，開放性不夠。SDN作為快速發(fā)展的新技術(shù)，通過分離網(wǎng)絡(luò)的數(shù)據(jù)層面和控制層面，開放了網(wǎng)絡(luò)邏輯控制功能，能夠更加靈活地控制數(shù)據(jù)轉(zhuǎn)發(fā)，為網(wǎng)絡(luò)安全設(shè)計提供了創(chuàng)新途徑。

近幾年，有研究者利用SDN解決網(wǎng)絡(luò)安全問題。通過融合用戶角色和認證注冊，提出利用OpenFlow實現(xiàn)基于角色的接入控制，在內(nèi)部網(wǎng)絡(luò)的全局監(jiān)控方面有一定成效；但角色這種粗粒度的用戶定義，無法滿足多維度流量清洗的需求。在OpenFlow網(wǎng)絡(luò)中利用VLAN標簽和防火墻實現(xiàn)無線接入用戶的訪問控制，充分體現(xiàn)了SDN控制器的集中管控的特點，但策略定義復(fù)雜，對管理員的網(wǎng)絡(luò)全局知識要求較高。通過改進802.1x協(xié)議，根據(jù)目標采用適當粒度動態(tài)識別數(shù)據(jù)流，利用SDN實現(xiàn)了數(shù)據(jù)流的全局管控，但卻增加了每條接入流的認證過程。

1 視頻監(jiān)控安全系統(tǒng)架構(gòu)

1.1 系統(tǒng)的體系架構(gòu)

SDN VSSS系統(tǒng)包含視頻監(jiān)控管理服務(wù)器、SDN控制器、Hadoop平臺、SDN交換機，通常部署于機房[4]。作為視頻源的攝像機通常安裝于公共場合，作為業(yè)務(wù)請求端的用戶主機通常位于辦公網(wǎng)絡(luò)，由于物理環(huán)境的開放性，攝像機和用戶主機存在極大的安全風(fēng)險，給視頻監(jiān)控的管理系統(tǒng)帶來入侵隱患。我們期望利用SDN VSSS系統(tǒng)為視頻監(jiān)控的管理系統(tǒng)打造安全的接入環(huán)境。

SDN VSSS系統(tǒng)各部件的角色和作用如圖1所示。

圖1 SDN VSSS系統(tǒng)各部件

（1）管理平臺：負責(zé)維護攝像機和用戶主機的注冊、認證、請求、建鏈等功能，并與SDN控制器建立實時的信息同步和交互。

（2）SDN控制器：OpenFlow網(wǎng)絡(luò)的集中控制中心，負責(zé)對SDN交換機的管理和流表維護，實現(xiàn)全網(wǎng)流量的管控。

（3）Hadoop平臺：應(yīng)用Hadoop架構(gòu)體系中的HBase數(shù)據(jù)庫，實現(xiàn)流日志的海量存儲和查詢功能。

（4）OpenFlow交換機：接收來自SDN控制器的信令和流表維護，處理數(shù)據(jù)流。

（5）攝像機：采集場景畫面，實現(xiàn)視頻編碼和傳輸，向管理平臺注冊，并接受管理平臺的調(diào)度。

（6）用戶主機：與管理平臺和攝像機交互，實現(xiàn)視頻資源的請求，解碼視頻畫面。

1.2 系統(tǒng)工作原理

SDN VSSS利用管理平臺對視頻監(jiān)控業(yè)務(wù)的精確理解，實現(xiàn)對OpenFlow交換機流表的實時調(diào)度，達到基于狀態(tài)遷移的精準流量清洗效果。

1.2.1 流量清洗的工作原理與特點

SDN VSSS系統(tǒng)的流量清洗工作包括：預(yù)先開通注冊消息通道并拒絕其他內(nèi)容的報文、基于攝像機或用戶主機的登錄狀態(tài)建立后續(xù)的信令通道、基于業(yè)務(wù)狀態(tài)建立數(shù)據(jù)通道。

以用戶主機點播攝像機的實況視頻為例，描述流量清洗的工作過程。

（1）管理平臺通知SDN控制器開通指向管理平臺的注冊消息通道并拒絕其他內(nèi)容的報文，但其他未知報文可以上送SDN控制器。此步驟通過下發(fā)具有深度內(nèi)容識別的流表實現(xiàn)，流表中不限定具體的IP和MAC信息，僅限定內(nèi)容。

（2）攝像機和用戶主機向管理平臺進行注冊。

（3）針對注冊成功的攝像機或用戶主機，管理平臺通知SDN控制器為該攝像機或用戶主機開通后續(xù)業(yè)務(wù)信令或數(shù)據(jù)的傳輸通道。

（4）后續(xù)根據(jù)業(yè)務(wù)開展的需要，管理平臺與SDN控制器協(xié)調(diào)，建立進一步的信令或數(shù)據(jù)傳輸通道。

從上述流程可見，業(yè)務(wù)管理平臺與SDN控制器的信息同步和協(xié)調(diào)帶來諸多優(yōu)勢。

（1）管理平臺精確理解整個系統(tǒng)的信令和數(shù)據(jù)傳輸需求，可精確控制OpenFlow網(wǎng)絡(luò)的白名單內(nèi)容，實現(xiàn)對數(shù)據(jù)準入的嚴格控制。

（2）管理平臺精確預(yù)測后續(xù)的信令和數(shù)據(jù)傳輸需求，避免了數(shù)據(jù)驅(qū)動機制給SDN控制器帶來的性能消耗和計算延時。

（3）管理平臺嚴密監(jiān)管所有業(yè)務(wù)的請求和處理過程，可實現(xiàn)基于狀態(tài)驅(qū)動的白名單更新機制，精細化控制白名單內(nèi)容的建立時機。

1.2.2 安全流審計的工作原理與特點

SDN VSSS將業(yè)務(wù)管理與網(wǎng)絡(luò)調(diào)度融為一體，給安全流審計的開展帶來了不少便利，同時也需要對系統(tǒng)的設(shè)計進行適當?shù)母倪M。SDN VSSS的流信息來自兩個渠道：一是來自管理平臺的信息同步；二是來自O(shè)penFlow交換機的信息上送。因為管理平臺了解所有業(yè)務(wù)的進展情況，所以它可以將正常業(yè)務(wù)的流信息同步給流審計業(yè)務(wù)，這樣就免除了在網(wǎng)絡(luò)內(nèi)部部署探針的需求。對于非業(yè)務(wù)相關(guān)的流量，即管理平臺未知的流量，OpenFlow交換機可以上報一份給流審計業(yè)務(wù)[5]。流審計業(yè)務(wù)包含流日志提取、流日志管理和流日志分析三塊內(nèi)容。

流日志提取的基本工作過程如下。

（1）管理平臺收到來自攝像機或用戶主機的注冊消息以及后續(xù)的業(yè)務(wù)請求和數(shù)據(jù)建/拆鏈消息，將信息通過SDN控制器同步給Hadoop平臺，形成流日志。

（2）SDN交換機OVS收到業(yè)務(wù)之外的報文，發(fā)現(xiàn)無匹配項，則將該流的首分組封裝為Packet-in消息，上報給SDN控制器；SDN控制器做相應(yīng)處理和下發(fā)Flow mod消息，提取其中的流表項建立信息，形成標準的流日志，并記錄該flow-id和RowKey。

（3）SDN控制器連接Hadoop平臺的HBase，將流日志發(fā)送至HBase，完成該條流日志。

流回溯分析的基本工作過程如下。

（1）SDN控制器收到審計請求，根據(jù)審計策略向Hadoop平臺發(fā)送查詢。

（2）Hadoop平臺反饋查詢結(jié)果，SDN控制器審計服務(wù)根據(jù)審計策略對反饋的結(jié)果進行回溯分析。

SDN控制器在流審計工作中起到主導(dǎo)的角色，而Hadoop平臺負責(zé)日志數(shù)據(jù)的匯總和存儲。

從上述流程可見，SDN VSSS融合業(yè)務(wù)和網(wǎng)絡(luò)的流審計模型具有如下特點。

（1）流日志的信息以來自于管理平臺的批量同步為主，以來自于OpenFlow交換機的數(shù)據(jù)流觸發(fā)為輔，這種模式降低了數(shù)據(jù)采集的性能消耗。

（2）管理平臺的流日志具備更豐富、更完善的業(yè)務(wù)信息，有助于SDN控制器進行多維度的流日志分析。

1.2.3 SDN VSSS的系統(tǒng)功能模塊

SDN VSSS的功能模塊分解圖如2所示，主要包括5個模塊。

圖2 SDN VSSS的功能模塊分解圖

（1）表項處理模塊：接收來自管理平臺的指令，實施表項的下發(fā)。

（2）流接入處理模塊：解析Packet-in消息，為流審計提供業(yè)務(wù)之外的流接收信息。

（3）流日志提取模塊：收集流日志，從流處理模塊以及流建立和刪除的消息中提取流信息。

（4）流日志管理模塊：與Hadoop平臺對接，提供流日志的存儲和查詢服務(wù)。

（5）流日志分析模塊：提供對外的流審計需求，對來自流日志管理模塊的查詢結(jié)果進行審計分析，輸出審計結(jié)果。

2 系統(tǒng)實現(xiàn)的關(guān)鍵技術(shù)

2.1 安全策略

流接入控制由SDN控制器統(tǒng)一負責(zé)，通過黑白名單過濾報文，實現(xiàn)對數(shù)據(jù)流的精準清洗。

針對白名單，SDN控制器一方面接收來自管理平臺的白名單需求，另一方面獨立執(zhí)行基本的網(wǎng)絡(luò)管理策略，例如拓撲發(fā)現(xiàn)與路由計算，相關(guān)的少數(shù)報文默認進入白名單。

白名單控制是一種較為嚴格的安全策略，SDN控制器只對白名單中的實體下發(fā)流表，即不允許除白名單外所有實體的接入[6]。大小為R的白名單列表WhiteList定義如下。

WhiteList ＝｛Host [ ip&port&content&swport ]i，i=1,2,…,R｝，

其中，Host [ ip&port&content&swport ]i為白名單中的某一實體，由實體的IP地址、傳輸層端口號、報文深度內(nèi)容及接入的首跳交換機ID、接入設(shè)備端口號swport構(gòu)成。

針對黑名單，分為兩類。一是缺省黑名單，白名單之外的流量只允許通過Packet- in消息實現(xiàn)首包的上報，不給予轉(zhuǎn)發(fā)，主要用于流日志的收集和安全態(tài)勢的分析；二是按需黑名單，若發(fā)現(xiàn)個別流存在攻擊行為或潛在的攻擊嫌疑，則直接設(shè)置對應(yīng)的黑名單，給予丟棄處理[7]。

黑名單控制是一種較為寬松的安全策略，即允許除了“黑名單”外的所有實體接入。大小為R 的黑名單列表BlackList定義如下。

BlackList ＝｛Host [ ip｜swport ]i，i=1,2,…,R｝，

其中，Host [ ip｜swport ]i為黑名單中的某一實體，由實體的IP地址或?qū)嶓w的首跳交換機ID及接入設(shè)備端口swport構(gòu)成。對于缺省黑名單，IP地址是一個通配掩碼，覆蓋所有IP地址，其位于匹配列表的最后一列。

顯然，SDN VSSS屬于融合黑白名單的多維控制策略。長度為R的多維控制列表MCList定義如下。

MCList＝｛MCHost [ info ]i｜MCHost [ info ]i∈ WhiteList ∪BlackList，i=1,2,…,R｝。

其中，MCHost [info]i為多維控制列表成員；MCHost [ info ]i為 WhiteList 或 BlackList 中的某一實體。

2.2 流日志提取

2.2.1 流日志格式

流日志的條目是一個40元組的信息，包括流表項包頭域的12元組信息、深度內(nèi)容域20元組信息、首跳交換機ID或管理平臺ID、下發(fā)流表的系統(tǒng)時間及流表6元組統(tǒng)計信息，限于篇幅這里從略[8]。

2.2.2 流日志的提取算法

SDN VSSS的流日志有兩個來源：一是來自管理平臺的信息同步；二是來自SDN控制器實際收到的Packet-in消息。

管理平臺對系統(tǒng)的所有交互和流量行為精準理解，是流審計業(yè)務(wù)的重要信息來源。根據(jù)業(yè)務(wù)的開展情況，管理平臺通過Mgr_Send()函數(shù)向流日志提取模塊實時同步流信息Mgr_Packet-in Message。

OpenFlow交換機收到業(yè)務(wù)之外的未知報文時，會向SDN控制器發(fā)送封裝了首包的packet in消息。SDN控制器通過handle_PacketIn()解析出其中相關(guān)信息如src_ip，dst_ip，src_port，dst_port，content及match。

流日志提取模塊匯總上述兩個途徑的信息，由make_log( )封裝成流日志Flowlog，最后由get_row-key( )、get_flowid( )分別得到主鍵RowKey與流ID Flowid[9]。

流日志的提取算法如下。

輸入Packet-in Message或Mgr_Packet-in Message

輸出FlowLog∥流日志

｛src_ip，dst_ip，src_port，dst_port，content，match｝← handle_PacketIn( PACKET-IN Message)

或｛src_ip，dst_ip，src_port，dst_port，content，match｝← handle_PacketIn( Mgr_PACKET-IN Message)

Flowlog ← make_log(flowi)

RowKey ← get_row-key(flowi)

Flowid ← get_flowid(match)

return Flowlog

在SDN VSSS中，SDN控制器通過上述算法提取流日志，并通過Thrift接口與Hadoop中的HBase數(shù)據(jù)庫連接，將流日志發(fā)送至HBase。

3 應(yīng)用及試驗評估

3.1 試驗環(huán)境

為驗證SDN VSSS的可行性，搭建了如圖3所示的試驗組網(wǎng)環(huán)境，包含3臺OpenFlow交換機，1臺管理平臺，1臺Hadoop平臺，1臺SDN控制器，兩臺IP攝像機，1臺用戶主機以及1臺直連攝像機的測試PC。其中SDN控制器采用ODL開源項目，通過帶外方式與OpenFlow交換機互聯(lián)；測試PC機直連攝像機，用于控制安裝于攝像機之上的發(fā)包工具。

圖3 試驗組網(wǎng)環(huán)境

SDN控制器提供審計服務(wù)。Hadoop的HBase由基于Linux PC的1臺Master和2臺Region構(gòu)成，硬件配置為Core i5 3470 的CPU，32?GHz的主頻，4?GB的內(nèi)存。

為驗證SDN VSSS具有的基本功能，共設(shè)計了2組試驗：一組測試流量清洗特性，對用戶主機的攻擊防護試驗；一組測試安全流審計特性，對用戶主機的流日志回溯分析試驗。

3.2 試驗1：特定主機的攻擊防護

試驗設(shè)置如圖4所示。

圖4 試驗設(shè)置圖

（1）在0～800?s時間段，用戶主機點播攝像機10.0.0.1的畫面，視頻碼流速率為50?Mb·s﹣1。由于管理平臺協(xié)調(diào)SDN控制器下發(fā)了對應(yīng)流表，用戶主機正常接收到視頻流，接收速率保持在50?Mb·s﹣1。

（2）在200～400?s時間段，測試PC控制攝像機10.0.0.2上的發(fā)包工具向用戶主機發(fā)送非視頻的IP包，速率為50?Mb·s﹣1。由于用戶主機并未向攝像機10.0.0.2點播視頻流，管理平臺也就未協(xié)調(diào)SDN控制器下發(fā)對應(yīng)流表，用戶主機未能接收到對應(yīng)報文，接收速率依舊保持在50?Mb·s﹣1。

（3）在400～600?s時間段，用戶主機點播攝像機10.0.0.2的畫面，視頻碼流速率為50?Mb·s﹣1。因為管理平臺協(xié)調(diào)SDN控制器下發(fā)了對應(yīng)流表，用戶主機收到了攝像機10.0.0.2的視頻流；而測試工具發(fā)送的非視頻IP包因為其端口號等信息與視頻流不同，所以無法匹配流表，用戶主機依然無法收到該測試包。所以用戶主機的接收速率為100?Mb·s﹣1。

（4）在600～800?s時間段，測試PC控制發(fā)包工具模擬視頻流發(fā)送IP包，速率為50?Mb·s﹣1。此時用戶主機的接收速率上升至150?Mb·s﹣1。

（5）在800～1000?s時間段，用戶主機停止點播攝像機10.0.0.2的畫面。由于管理平臺協(xié)調(diào)SDN控制器清除了相關(guān)流表，攝像機10.0.0.2發(fā)送的正常視頻和模擬視頻流均被攔截，用戶主機的接收速率下降至50?Mb·s﹣1。

由上可見，SDN VSSS系統(tǒng)精確地實現(xiàn)了流量清洗，將業(yè)務(wù)之外的非法流量屏蔽在接入點之外。

3.3 試驗2：流日志回溯分析

試驗設(shè)置如下。在上述流量清洗試驗之后，在SDN控制器上查詢關(guān)于用戶主機的流日志，對用戶主機的各個時間段進行回溯分析，以得到不用時間段的連接IP個數(shù)。

表1

序號時間段（s）連接IP個數(shù) 10～2002 2200～4002 3400～6003 4600～8003 5800～10002

（a）

表1的統(tǒng)計結(jié)果可見：在0～200?s時間段，用戶主機的連接IP個數(shù)為2，一個為管理平臺，一個為攝像機10.0.0.1；在200～400?s時間段，用戶主機的連接IP個數(shù)也為2，因為發(fā)包工具的測試報文被攔截了；在400～600?s時間段，用戶主機的連接IP個數(shù)為3，除了管理平臺和攝像機10.0.0.1，又增加了一個攝像機10.0.0.2；在600～800?s時間段，用戶主機的連接IP個數(shù)依然為3，雖然發(fā)包工具發(fā)送了測試流，但該測試流是與視頻流一樣的仿真流，所以連接IP個數(shù)不變；在800～1?000?s時間段，用戶主機的連接IP個數(shù)為2，因為測試用戶主機停止了對攝像機10.0.0.2的點播。

試驗結(jié)果表明，SDN VSSS的安全流日志審計系統(tǒng)可以準確地統(tǒng)計對應(yīng)設(shè)備的流日志信息。

4 結(jié)論

（1）通過融合業(yè)務(wù)管理系統(tǒng)和SDN對網(wǎng)絡(luò)的集中控制，可以實現(xiàn)精準的流量清洗，利用管理平臺對業(yè)務(wù)交互過程的精確理解，實現(xiàn)對數(shù)據(jù)準入的嚴格控制。

（2）業(yè)務(wù)管理平臺對后續(xù)業(yè)務(wù)的精準預(yù)測能力可以避免數(shù)據(jù)驅(qū)動機制給SDN控制器帶來的性能消耗和計算延時，也使得系統(tǒng)更為安全可控。

（3）通過同步業(yè)務(wù)管理平臺的流信息，可以降低因為數(shù)據(jù)偵聽帶來的消耗，同時也帶來更為豐富的審計信息。

[1]SEKAR V，EGI N，RATNASAMY S，etal. Design and implementation of a consolidated middlebox architecture[C]//Proceedings of the 9th USENIX Symposium on Networked Systems Design and Implementation. California：[s.n.]，2012.

[2]SERRAO G J. Network access control (NAC)：an open source analysis of architectures and requirements [C]//Proceedings of the 44thAnnual 2010 IEEE International Carnahan Conference on Security Technology. San Jose：IEEE，2010：94-102.

[3]SATHYA G，VASANTHRAJ K. Network activity classification schema in IDS and log audit for cloud computing[C]//Proceedings of 2013 International Conference on Information Communication and Embedded Systems. Chennai：IEEE Computer Society，2013：502-506.

[4]左青云，陳鳴，趙廣松，等. 基于OpenFlow的SDN技術(shù)研究[J]. 軟件學(xué)報，2013，24（5）：1078-1097.

[5]SHVACHKO K，KUANG H，RADIA S，et al. The Hadoop distributed file system [C]// Proceedings of 2010 IEEE the 26th Symposium on Mass Storage Systems and Technologies. Lake Tahoe：IEEE Computer Society，2010.

[6]張朝昆，崔勇，唐鄖偉，等．軟件定義網(wǎng)絡(luò)（SDN）研究進展[J]．軟件學(xué)報，2015，26（1）：62-81.

[7]SASAKI T，HATANO Y，SONODA K，et al. Load distribution of an openflow controller for role based network access control[C]// Procedings of the 15th Asia Pacific Network Operations and Management Sysposium：“Integrated Management of Network Virtualization”. Hiroshima，Japan：IEEE Computer Society，2013，Article number：6665289.

[8]KINOSHITA S，WATANABE T，YAMATO J，et al. Implimentation and evaluation of an OpenFlow based access control system for wireless LAN roaming [C]// Proceedings of the 36th Annual IEEE International Computer Software and Application Conference Workshops.Izmir：IEEE Computer Society，2012：82-87.

[9]MATIAS J，GARAY J，MENDIOLA A，et al. FlowN AC：flow based network access control [C]// Proceedings of the 3rd European Workshop on Software Defined Networks. Budapest：IEEE，2014：79-84.

Design and Implementation of a Video Surveillance Security System Based on SDN

Zhou Di

Zhejiang Uniview Technology Co., Ltd., Zhejiang Hangzhou 310053

Integrating the software-defined network into the video surveillance management system, using the accurate understanding and prediction capabilities of the traffic management platform for convection, and the deep control of the convection of the OpenFlow network, to achieve accurate cleaning of traffic and rich statistics of flow logs, not only realizes rejection of illegal intrusions, but also achieves monitoring of the popularity of the system inside and outside the system.

SDN; video surveillance; security

TP393.0

A