随着网络规模的不断扩大,当前运行好几十年的互联网体系架构难以支撑丰富网络业务类型带来的扩张。并且目前的互联网结构和功能日趋复杂,网络管控难度也在日渐增加,使得网络中新功能很难快速部署。如何应对动态变化的新型网络体系架构,成为未来网络体系结构发展的重要研究方向。为了应对网络的发展,人们提出了软件定义网络(Software Defined Networking,SDN)的体系架构。与传统网络架构不同,SDN实现了网络数据传输在控制平面和数据平面的分离,并支持用户级的可编程的网络管控。SDN的可编程能力使得SDN在应对网络安全问题时,能够支持用户自主设计动态的主动防御机制。通过流量分析与控制措施的结合,SDNL比传统网络具备更便捷的攻击防御机制的设计和部署,尤其是针对具有显著流量变化特征的网络攻击类型。当SDN网络应对攻击者的攻击行为时,会使SDN的防御者进行主动防御的措施,在主动防御动作产生的过程中,如何控制防御成本,对防御成本的优化是值得考虑的问题。这与传统只能通过购买昂贵设备来抵御攻击行为的网络设施相比,具有成本最优化的优点。随着SDN中动态部署和网络功能虚拟化(Network Function Virtualization,NFV)的出现,使SDN的防御成本优化有了更详细的手段和措施。针对该问题,本文提出了基于博弈论思想的动态主动防御决策模型。设计了两类博弈模型,用于优化防御者的防御成本。(1)单阶段博弈模型(Single Stage Dynamic Game)。在该模型中,攻击者定义为网络中的未知主机,防御者是边缘网络所有者。在SDN中,边缘网络所有者主要通过配置边缘路由器的SDN控制器来部署防御策略。攻击者的策略是攻击或合作,根据攻击策略来调整攻击的强度。防御者的策略是根据网络状态来部署不同级别的防御措施。根据攻击者和防御者的策略来定义收益矩阵。通过求解单阶段博弈的纳什均衡,得到了攻击者和防御者的最优行为策略和收益。(2)多阶段动态博弈模型(Multi-stage Dynamic Game),该模型与单阶段博弈模型不同的是,采用贝叶斯方法推断在每个阶段的攻击概率和防御概率。攻击者和防御者根据攻击概率和防御概率部署策略。通过求解多阶段博弈的贝叶斯均衡,得到攻防双方在多阶段的最优策略和收益。在此基础上,设计了一个基于多阶段动态博弈的SDN主动防御与成本优化算法,并在模拟的SDN控制器中实现了该算法。最后,把我们设计的模型和算法在三个实验工具(MATLAB,Mini net,GAMBIT)上进行仿真,通过仿真实验表明,我们提出的动态最优成本防御机制能有效地主动防御那些具有显著流量变化的攻击。为以后SDN安全领域研究提供了一定的借鉴意义。