SDN的出现使得网络架构由数控耦合模式转变为数控解耦模式,已成为网络研究领域的一个热点分支。在这种架构下,处于数据层的网络设备不再具有决策功能,它需要根据控制层下发的命令来处理分组,这使得网络管理变得更灵活。SDN已在许多网络场景下得到了应用,如数据中心与云、企业网与校园网、广域网、无线网络。在SDN为网络管理带来了便利的同时,DDoS攻击已成为其面临的重大网络安全威胁。本文借鉴前人的研究成果,从检测和防御这两个方面开展关于SDN中DDoS攻击防范的研究,主要研究内容如下:1.在ARIMA和随机森林的基础上设计了一种二级联合检测DDoS攻击的方法,有效地避免了高误报率和资源高消耗问题。在第一级检测阶段,引入ARIMA模型表征网络的正常状态;利用信息熵度量控制器收到的目的IP地址的集中程度;采用自适应阈值分析预测的目的IP地址信息熵和实际值的误差。若误差较大,则认为SDN网络存在异常流量,进行下一级检测。在第二级检测阶段,控制器请求流表数据,构造代表当前网络状态的6元组特征,并采用随机森林模型依据这6元组特征判断SDN网络是否遭受DDoS攻击。通过Mininet搭建SDN网络拓扑进行仿真实验,从检测性能、CPU占用率这两个方面验证了该检测方法的有效性。2.设计了一种基于溯源和缓解的DDoS攻击防御机制。在溯源阶段,首先根据检测阶段提取的流表信息构造出所有边缘交换机到受害者主机的路径样本特征,然后利用K-means算法对路径进行聚类,最后进行统计分析找到攻击源。在缓解阶段,引入包对称率机制分析出SDN中存在的攻击流,将这些流规则更改为丢弃操作,并用黑名单记录这些流的源IP地址。在网络处于正常状态时,使用白名单记录已出现的源IP地址。当数据包到达SDN网络时,分别与黑名单和白名单进匹配。若匹配成功,则进行丢弃或转发操作;否则进行限速式转发。