到目前为止,软件定义网络已经发展有十余年了,在这期间出现了各种各样不同的控制器,例如有POX、Floodlight以及PNPL。一方面,通过控制器集中式的网络管理方式,网络管理员可以利用控制器提供的编程接口很容易地编写网络流量的管理策略。但是,在另一方面,集中式的管理方式也使得网络更容易遭受到攻击行为。所以,目前在控制器上不断添加新的安全功能以此来防御可能出现的攻击行为。这导致当前控制器上负责转发的业务逻辑与安全防御功能紧耦合,这加重了控制器的负担同时不利于控制器的演化。另外,当前大多数南向接口都是使用的OpenFlow协议,但是OpenFlow协议只能匹配固定格式的网络协议,所以,其为了适应不断更新的网络协议,只能不断的增加匹配字段使得其本身越来越臃肿,这极大地限制了网络的可编程性。针对上述问题,本文设计并实现了一种面向深度可编程网络的POSEC安全子系统。POSEC系统使用华为提出的协议无感知转发技术(Protocol Oblivious Forwarding,POF)替代OpenFlow作为南向协议,POF技术以三元组的格式灵活地支持变化的协议格式,实现网络的深度可编程。对于控制器上转发业务逻辑与安全功能紧耦合的问题,本文将安全功能从控制器中解耦,然后将其放置在位于数据平面和控制平面之间的安全层,以此为不同的控制器实现提供一个通用的安全防御机制。基于POSEC系统,我们设计了一个轻量级的控制平面拒绝服务攻击防御应用。最后,通过仿真实验,测试了 POSEC系统的可用性、安全防御应用的性能、额外的时延开销以及CPU和内存开销。