近年来,重大网络攻击事件层见叠出,网络安全已上升至国家安全的战略层面。与此同时,随着大数据、云计算等技术的不断发展,软件定义网络(Software Defined Networking,SDN)随之兴起。由于传统网络安全事件对SDN网络依然具有较大的威胁,基于SDN网络的攻击应对研究引起了学术界的关注。不过目前尚未出现一个准确、快速、有效的轻量级安全方案。根据传统网络攻击的分类,本文的研究内容包括:非法报文攻击、分布式拒绝服务(Distributed Denial of Service,DDoS)攻击和端口扫描的应对研究。为了防止非法报文攻击对目的主机/服务器系统造成危害,本文利用非法报文攻击包特异性高、区分明显的特点,提出了基于特征匹配的非法报文攻击检测应对方案,在控制器进行转发决策前将解析出的packet-in相关信息与攻击特征库进行匹配筛查。仿真结果表明,非法报文应对方案能够准确识别IP分片攻击和Land攻击包,并将攻击报文全部阻塞在攻击源头。SDN控制器具有单点脆弱性,DDoS攻击对SDN网络的影响更加严重。为了准确检测伪造源IP的DDoS攻击,本文提出了基于熵值的DDoS攻击应对方案(Entropy-based DDoS Defense Mechanism,EDDM),该方案通过目的IP熵值的变化区分异常流量、再根据源MAC与源IP的对应关系确认攻击并锁定攻击源。针对伪造了源MAC地址的DDoS攻击,本文提出了一个新的DDoS攻击应对方案(Upgraded Entropy-based DDoS Defense Mechanism,Upgraded-EDDM),该方案首次提出将入端口熵值的变化作为攻击检测依据,以目的IP熵值降低、入端口熵低于源IP熵作为攻击判定标准,并根据入端口与源MAC/源IP的对应关系锁定攻击主机位置。通过仿真,证明Upgraded-EDDM方案能够准确识别伪造源MAC的UDP Flood攻击,将攻击流量阻塞在入端口,且其总体性能优于EDDM方案。分布式反射拒绝服务(Distributed Reflection Denial of Service,DRDoS)攻击和端口扫描在入端口、目的IP、目的端口号等特征的熵值上具有不同的变化特点,由于它们具有与DDoS攻击相同的熵值计算和异常排查过程,本文将Upgraded-EDDM方案扩展成一个基于熵值的一体化安全方案(Integrated Entropy-based Attacks Defense Mechanism,Integrated-EADM),使其能够识别并阻塞多种网络攻击。仿真结果表明,Integrated-EADM方案能够快速、准确地识别DRDoS攻击和TCP SYN扫描,并将攻击流量阻塞在源端。