软件定义网络是一种新兴的网络技术,它能够消除传统分布式网络架构的弊端。然而,在这种新兴的架构中,网络安全问题进一步增多,流表溢出攻击是其中一个非常严重的问题。由于这种攻击与传统的分布式拒绝服务攻击有着不同的特征,目前主流的检测系统对这种攻击没有很好的监测效果。本文在分析了现有的流表溢出攻击缓解方案的基础上,研究在检测精度、响应速度和资源消耗量等方面表现更好的方法。主要工作如下:首先,提出了一种基于多队列算法的流表项维护与溢出方案来降低流表溢出攻击的不良影响。该方案基于流表项匹配数据包的数量将流表项划分到不同的优先级,并采用最近最久未使用算法维护每个优先级队列的流表项顺序。在流表因攻击溢出时,优先驱逐恶意流表项,保证合法流表项的存活率。基于这种方法,可以有效降低流表溢出攻击危害。其次,提出了一种基于聚合数据流的三维特征向量的流表溢出攻击检测方案。一方面,检测系统通过分析网络拓扑结构,寻找潜在的流表攻击对象,通过缩小检测范围来降低检测系统的资源使用率。另一方面,通过分析聚合流的分布、离散度和速率特征,提出基于聚合流三维特征向量的检测方法,提高系统的检测精度。最后,利用动态令牌桶算法抑制流表溢出攻击源。从流表项限制的角度降低了攻击者的危害,与传统的速率限制方法相比,这种方案具有更优的抑制效果。它尽可能的降低了抑制策略对合法用户的影响,同时,降低了检测误差造成的危害。