信息科技的高速发展催生了物联网、5G、车联网等多样化的网络环境,但同时也带来了各种各样难以预测的网络安全威胁,例如网络病毒、拒绝服务攻击、高级持续性威胁攻击等。由于传统的网络安全防御技术主要依赖静态和被动的方式,无法应对攻击者精心构造的攻击。为了应对这种局面,移动目标防御（Moving Target Defense,MTD）这一新型防御思路引起了广泛关注,通过持续变化系统的攻击面来提高攻击者的探测成本,MTD可以有效降低攻击成功的概率。但是,MTD目前只是一种技术框架,如何利用这一思想为复杂的网络环境提供具体有效的防御机制仍处于探索阶段。现有关于MTD的研究主要聚焦在对攻击面动态转移的研究,而缺乏对网络安全专用功能与资源建模及优化调度的考虑。安全功能虚拟化（Security Function Virtualization,SFV）技术将传统的网络安全功能与专有设备解耦,为安全服务的部署和调度提供了前所未有的灵活性,也为MTD的具体实现提供了新的思路。然而,目前还未有将SFV应用于MTD的相关研究。而且现有对SFV的研究仍有三方面的不足:缺乏体系化和定制化的控制架构,缺少高效的安全功能资源调度算法,缺少将安全功能进行按需迁移的机制。基于以上所提到的背景及问题,本文提出了基于SFV的移动目标防御架构,同时基于此架构设计了详细的动态防御流程和虚拟安全功能调度策略。主要工作如下:1)设计了包括动态防御控制层、虚拟安全功能层、基础资源池层的分层MTD架构,通过对安全功能资源的动态调度,可以在不引入额外设备的情况下实现网络的动态防御。2)设计了基于SFV的基础资源设备节点、基于软件定义的动态防御控制节点的具体细节,通过各节点中多个功能模块的协同合作,保障移动目标防御按照数据收集、威胁分析、策略计算和执行的流程高效执行。3)建立了基于攻击面变换和探测面扩展的防御策略,并进一步基于遗传算法设计了虚拟安全功能的调度和资源分配算法,通过对网络进行建模,并将资源分配和调度的多约束条件下的优化问题形式化为整数非线性规划问题,权衡了虚拟安全功能动态调度后的防御收益与成本。4)设计了基于虚拟安全功能迁移的MTD机制详细流程,具体设计了分阶段的虚拟安全功能迁移时序,并对防御控制报文进行了设计,包括资源状态统计表、防御策略指令表和迁移状态反馈表等。5)通过搭建网络仿真测试和数学模型模拟环境,评估了不同资源状态下的虚拟安全功能性能差异,比较了提出的调度算法在迁移时间、可用资源增长量等不同维度的表现,从而验证了本文所提出的基于SFV的移动目标防御机制具有有效的防御能力。本文在现有SFV研究的基础上进行了创新,基于所设计的SFV提出了新型MTD技术,提升了下一代网络的主动防御能力。