聚焦即将到来的5G时代和日渐复杂的网络系统架构,虽然现有主动式安全防御技术的理论研究成果丰富,但在实际应用中仍受到传统网络架构的限制,缺乏网络设备的信息联动和实际应用环境的支撑。SDN新型网络架构是对传统网络架构的突破,但在实际应用中仍存在缺乏数据包来源和身份验证机制、缺乏数据完整性保护机制以及有限的控制粒度难以满足精确的控制需求等问题。因此,如何从根源上突破“外壳式”防御瓶颈,从根本上解决网络系统可用性与安全性之间的矛盾,构建系统功能与系统安全并举、具备“与生俱来、自主成长”安全防御能力的内生安全网络系统新架构成为未来网络系统安全的核心问题之一。本文对网络内生安全理论展开积极探索,并取得了初步的成果。本文将人体神经控制机理和SDN数控分离的网络架构思想相结合,提出了一种面向任务的内生安全网络系统模型架构。该模型将网络任务类比于反射活动,定义网络任务和单步有效执行动作,并根据网络信息交换的详细过程设计动作的细粒度划分标准和网络任务执行的异常检测规则算法。最后在小型局域网中部署搭建了面向任务的内生安全网络系统,并在该系统的FTP文件传输实验平台上进行抗攻击模拟实验测试,验证本文网络模型和任务异常检测算法的有效性。本文所做主要工作如下:（1）本文基于人体神经控制机理和SDN数控分离的网络架构思想,提出一种面向任务的网络内生安全系统模型架构,该网络模型分为数据转发层、应用和控制层、终端三大部分。其中,数据转发层包括数据转发设备和安全标签转发器,实现网络数据包的精细采样,提高数据转发层的编程扩展性。应用和控制层负责汇总终端信息、制定数据转发策略、下发数据包的转发规则等。（2）针对系统功能和系统安全分离设计带来的网络“外壳式”安全防御的防火墙深度过滤不足、入侵检测系统检测欠缺、防病毒软件识别病毒不及时等瓶颈问题,针对现有网络任务动作划分标准不一,划分粒度与任务执行安全相关性差的问题,本文将网络信息系统中的任务类比于反射活动,抽象描述信息传输活动,定义网络任务和单步有效执行动作,并根据网络信息交换的详细过程,简要设计动作的划分标准,实现与系统安全参数关联紧密的网络任务执行动作细粒度划分。进一步,本文在网络系统的各个终端设备中部署大量的安全神经元,采集网络任务执行时的动作标识序列和设备基本安全信息参数,实现终端设备的系统安全和系统功能的融合统一。（3）针对SDN架构在实际应用中缺乏数据包身份验证和数据完整性保护机制的问题,本文在IP数据包中设计增加能表明数据包身份的安全标签字段,并提出一种基于有效动作标识的异常行为检测算法,该算法包括基于匹配通信随机字节串和动作标识序列Hash摘要值的数据包身份验证和基于有限状态机的动作标识序列匹配两种安全验证机制。通过匹配和验证IP数据包的安全标签字段,实现对网络数据包的身份认证和异常动作标识检测。（4）本文设计并实现了面向任务的网络内生安全系统模型,包括硬件实现网络设备的连接和配置、运用Python语言软件编程实现各终端设备的基本功能和安全神经元,以及小型局域网中FTP文件传输系统实验平台的部署。通过在该实验平台上进行多次模拟后门攻击、DDOS/DOS攻击等抗攻击模拟实验测试,证明本文提出的内生安全模型和异常行为检测算法技术可以有效实现网络系统的主动安全防御,拦截网络恶意行为的数据包。