随着新时代的不断发展,网络中业务规模和复杂程度的增大,新型网络架构——软件定义网络(Software Defined Network,SDN)受到追捧而逐渐流行开来。然而SDN在给网络建设提供便利的同时也带来了新的安全隐患。网络中单点失效的安全风险使得SDN容易遭受分布式拒绝服务(Distributed Denial of Service,DDoS)攻击。DDoS攻击种类繁多,手段多样,是目前流行的网络攻击方法之一。当下对DDoS的攻击检测和防护研究很多,但大都是在传统网络环境下的,在SDN环境中效果并不理想。当下对于SDN中DDoS的攻击检测方法主要基于入侵检测的思想,分成误用检测和异常检测两类:误用检测能准确检测已知攻击,但对新攻击乏力;异常检测能检测已知攻击和新攻击,但误报率较高,本文属于异常检测范围。异常检测的算法又分为基于统计分析算法和基于机器学习的算法,前者套用传统网络DDoS攻击检测算法,没有得到SDN特性的充分支持,后者算法复杂、机器训练时间长,占用的资源和时间难以满足SDN对网络快速配置的需要。而更进一步的SDN中DDoS攻击防护方法的研究更是进展缓慢,传统方案难以做到移植后完美适用,新型方案又未能和攻击检测的方法相结合,造成检测和防护脱节,加大了网络部署难度和复杂度。本文基于同种思路对SDN中DDoS攻击检测和防护两方面进行研究,结合了SDN自身特性和DDoS攻击特征,提出一种基于多维条件熵算法的检测和防护方案。该算法利用SDN控制器对全局流表中流表项的提取,使用软件计算多个流表项的条件熵得到多维向量并利用滑动窗口下非参数CUSUM算法进行攻击判别。当检测到攻击时,通过控制器分析多维条件熵值建立攻击路径,进行攻击溯源找到攻击源头。再进一步对靠近攻击源的交换机下发新流表,采取多种攻击缓解手段,如过滤攻击数据包、限制流量发送速率、平衡链路负载等。本文提出的该方案有效利用了SDN集中控制和软件驱动的特性,占用较少的资源和时间快速准确地对DDoS攻击进行检测和防护。经模拟仿真实验证明,该检测方案明显降低了误报率,防护方案大幅减少了网络中的攻击流量,对SDN中DDoS攻击检测和防护研究带来了新的启发。