伴随着网络不断的高速发展,互联网早已成为人们日常生活中不可缺少的一部分。在互联网带来高速便捷的同时,也面对着严峻的安全问题。在传统互联网的网络架构中,网络设备配置复杂、不同类型设备扩展性差等缺陷问题,已经愈发的难以满足时代对网络灵活高效的管理诉求。软件定义网络(Software Defined Network,SDN)作为一种新型的网络架构概念顺应而生。这种全新的网络架构冲破了传统网络架构固有的垂直整合模式,凭借着众多优势(数据平面与控制平面进行分离与开放可编程的特性)为网络体系结构研究提供了一种新的实验途径,极大的推动了互联网的发展。如今,SDN的网络架构凭借着自身广泛的应用,在云计算数据中心中有着很大的优势。现今,如何让SDN的网络架构更加安全变成了当下日益凸显问题。本文主要研究了SDN环境下,关于分布式拒绝服务(Distributed Denial of Service,DDoS)攻击的检测与防护方法。具体研究工作如下:(1)针对SDN网络架构中DDoS攻击检测的问题,提出了一种主成分分析融入SDN方法(SDN-PCA)进行流量分析,将测量数据映射到一组新的主轴或组件。该方法具有将每个主组件都指向数据中最大变化方向的特点(给定先前组件中已考虑的能量),解决了在SDN网络架构中检测DDoS攻击行为的问题。首先利用SDN网络架构的特点收集流量数据,通过建立时间和流量的测量矩阵,然后根据不同时间序列上流量的特征向量和特征值,得到不同时间序列上的原始矩阵,最后再将原始矩阵分成正常分量和异常分量,依据分量在对应子空间上的投影进行线性变换。网络中的异常量的发生将导致剩余分量较大的变化,进而通过平方预测误差来统计监测剩余分量的异常变化。实验表明,提出的检测方法能够对DDoS攻击做出快速且有效的检测响应。(2)针对SDN网络架构下DDoS防御问题,提出了一种融合网络功能虚拟化的方式进行抑制攻击造成的影响。该方法采用安全计算中心进行虚拟化生成包含预设安全规则库的安全设备后,通过SDN网络集中控制的特性进行流量牵引,将检测包含DDoS流量的数据通过转发规则指引到虚拟安全设备进行处理的方式,抑制在SDN网络架构下DDoS攻击。首先根据检测到的攻击威胁进行建模,构建已知威胁构建防御策略库,防御策略库中包含不同的攻击类型对应的防御策略,在通过流量的检测后,依据上下文编码在数据包头部信息中打上标签,标记正常或异常的流量,在检测到可疑流量之后,进行资源调度,确定要实例化的虚拟防御设备,依据设计的资源调度启发式算法把攻击流量转发到虚拟安全设备上,继而缓解攻击造成的影响。实验验证,该防护DDoS攻击的缓解方式能够有效的缓解攻击造成的影响,降低网络中的延迟,提高网络的可用性。本文针对SDN下的DDoS攻击采用先检测,再防御的思想,通过在Mininet网络模拟器中搭建网络环境进行模拟得出结论。通过模拟实验的结果表明:设计的检测模型能够在SDN网络中准确的捕获到DDoS流量的存在,对比传统的利用香农熵检测的方式,具有更好的检测效果和更低的CPU消耗;同时针对于整个网络的DDoS攻击方式也能够有精准的检测效果,整体表现要优于传统的检测手段;防御模型也能够起到显著的防护抑制效果,针对网络中存在的瞬时大量的攻击流量能够起到强有力的防护效果,在开启防护策略模型后,明显降低了目标主机的访问延迟,在性能方面与流表下发数量方面也有出色的表现。