相对于传统网络架构,软件定义网络(Software Defined Network,SDN)分离了转发逻辑和控制逻辑,并且支持用户通过核心控制层的API接口对其进行自定义开发。这些特性提升了 SDN网络的集中管控能力以及网络配置的灵活性,增强了网络对虚拟化、云计算等新技术的适应性,最终提升了网络对业务和服务的支撑能力。分布式拒绝服务(Distributed Denial of Service,DDoS)攻击具有发起成本低、破坏面积大的特点,其主要攻击原理为通过控制大量僵尸主机,同时向目标主机发起攻击,消耗目标主机计算资源和网络带宽。SDN网络集中管控的特性使得DDoS攻击成为SDN网络安全的主要威胁之一。当大量无法命中流表项的DDoS攻击流量到达OpenFlow交换机时,会触发大量Packet_in消息上传至SDN控制器,严重消耗了安全通道的带宽资源和SDN控制器的计算资源,使得SDN控制器存在“单点失效”的危险。由此可见DDoS攻击对SDN网络的危害远甚于传统IP网络。如何高效准确地对SDN网络中的DDoS攻击进行检测和防御逐渐成为了一个重要课题。SDN网络集中管控和可编程的特性使得SDN网络在检测异常流量上具有传统IP网络难以比拟的优势,基于这一点,本文提出了一种SDN网络中的DDoS攻击检测和防御机制,并基于该机制实现了一个完整的DDoS攻击检测及防御系统,最后在模拟的SDN网络中验证了其有效性和可靠性。本文的主要工作和创新点如下:(1)引入φ-熵这种新的信息度量标准来进行DDoS攻击检测,并在数学上论证了其用于DDoS攻击检测的可行性。φ-熵可以通过改变参数φ来调整熵值对系统随机性变化的灵敏程度,相比于传统的香农熵,φ-熵更具灵活性。(2)提出一种基于信息熵和SVM分类算法的多级检测机制。基于信息熵的检测方案往往具有检测速度快,系统开销低,误报率高的特点;基于SVM分类算法的检测方案具有系统开销高,误报率低和准确率高的特点。本文将二者结合,先利用信息熵作初验检测,过滤大量正常流量,若在一个窗口内熵值变化明显,再利用SVM分类算法作进一步检测,使得整个检测方案兼顾了准确率和系统开销。(3)提出了一种滑动窗口机制用于优化熵值的计算。窗口是信息熵最小的计算单位,相对于固定窗口,滑动窗口仅在头部增加元素,尾部删除元素,不断动态调整整个滑动窗口的熵值达到减少重复计算的目的。(4)设计了一种基于泰勒级数的攻击预判方法。当SDN网络中的DDoS攻击发生后,OpenFlow交换机通过预判下一个时间周期内收到的无法命中流表的数据包数量来决定是否向SDN控制器申请DDoS攻击流量重定向策略。仿真实验证明,该算法具有较好的预测能力。(5)本文基于Mininet搭建了模拟的SDN网络,并实现了上述DDoS攻击检测和防御系统,并将其部署在一个安全网关中,当DDoS攻击产生时,能起到隔离攻击流量和SDN控制器的效果。通过仿真测试表明,该系统能及时准确地发现DDoS攻击流量并对其实施迁移。