作为一种新型的网络架构——软件定义网络(Software Defined Network,SDN)解决了传统网络中存在的网络与业务相互割裂的问题。更重要的是,控制器对用户是开放的。用户通过控制器的API可以编写程序来实现自定义的传输策略、规则和网络路由等。这就使得SDN较传统网络更加智能、灵活。但是SDN同样面临着传统网络中存在的安全问题——分布式拒绝服务(DDoS,Distributed Denial of Service)攻击。在SDN中,由于逻辑上集中化控制,一旦控制器遭受DDoS攻击,危害更胜于传统网络。本文针对SDN中的DDoS攻击,构建了一个检测与防御系统,主要做了以下工作。一、本文从检测方案入手,提出了一种基于神经网络的自适应启动的检测方案替代周期检测,从而改进了周期检测系统检测时间长,占用控制器资源大的缺点。该方案可依据Packet_In到达速率决定是否启动检测,在遭受攻击时,可迅速启动检测。并设计了对比实验,从控制器CPU使用率等三个方面证明了自适应启动方案的优越性。二、检测出攻击者后需要采取处理措施,本文采用了FlowRanger算法基于信任值的方法,在服务器遭受攻击时,降低攻击者的信任值;在服务器没遭受攻击的情况下,提升正常用户的信任值,并根据用户的信任值对请求进行排序,依次服务。具体而言,传统方案多是在发现攻击者后采用丢弃攻击者流量的策略,我们则采用降低攻击者信任值的方法,一段时间后,允许其逐步提高信任值恢复正常通信,提升了用户QoS。但是FlowRanger算法还存在处理攻击不及时的问题,并且如何准确的找出攻击者和什么可以代表用户,该算法也没交代清楚。为此,我们做出了如下两点的改进。(a)本文提出一种动态防御方案。该方案允许采用安全中间件的策略,利用自适应启动的算法在控制器疑似遭受攻击时,将流量转发至安全中间件,并将非法流量过滤,保护了控制器,避免了在采取处理措施之前就宕机的问题。本文设计了对比实验,通过对比不采用动态防御方案和采用动态防御方案在不同攻击速率下用户通信状况的实验,证明了动态防御方案的优越性。(b)针对FlowRanger算法没有交代如何找出攻击者的问题,本文用MAC地址代表用户,并提出了一种溯源算法,该算法通过MAC地址出现次数的平均值找出流表中MAC地址出现次数大于该平均值的若干个MAC地址作为攻击者,并在第五章实际部署采用溯源方案的防御系统,并对其发动DDoS攻击。从实验结果中的流表项防御前后的数量可以看出,该溯源算法能够准确的找出攻击者。