随着网络技术的不断发展,人们越来越依赖于网络来进行信息的传输。在传统网络中,静态网络配置导致攻击者能轻易地标识网络目标,从而发起攻击。最近几年,网络安全事件频频发生,国家、公司和个人都面临着许多潜在的网络安全威胁,于是网络安全问题引起了社会的广泛关注。软件定义网络(SDN)作为一种新型的网络技术,为网络控制提供了强大的功能,也为网络安全研究领域提供了新的机会。本论文主要研究一种基于SDN架构的动态网络防御系统。系统通过统计流量状态信息来生成流量矩阵,进而进行异常检测,然后调用相应的网络配置跳变策略,消除安全隐患。论文描述了系统的结构设计,包括流量异常检测和动态目标防御模块。流量异常检测模块中重点研究了流量矩阵的估计;动态目标防御模块中主要是研究如何动态地改变3种网络配置:IP地址、端口号和路由。另外,通过实验验证了系统的可行性。论文的主要工作如下:(1)提出了两种流量矩阵估计算法,分别是最大波动值优先算法和流规则负载均衡算法。首先,论文基于流规则负载均衡的算法测量出初始流量矩阵;然后,利用最大波动值优先的算法,从初始矩阵中优先选择前k个波动值较大的数据流进行测量;最后,引入二分图最大权匹配的思想来分配流表项。(2)采用动态目标防御的思想,实现IP地址、端口号和路由三种网络配置动态跳变。IP地址跳变中,采用了一种基于两级分频的跳变方法,最大化IP地址的不可预测性。路由跳变中,采用了一种基于路径权重的路由选择方法,减少单节点脆弱性。最后,利用D-ITG来模拟现实流量数据对系统进行了性能测试。流量异常测试实验结果显示,流规则负载均衡算法选出前k个波动值较大的数据流的正确率在70%以上,这就证明了最大波动优先算法能够有效地减少流量矩阵的估计误差。动态目标防御实验,证明了网络配置跳变可以最大化网络配置的不可预测性,能够有效地防止网络侦察。