软件定义网络(SDN)由于其逻辑上集中的架构和可编程性能够更加灵活地管理网络。同时,SDN的集中式架构也使其面临拒绝服务(DoS)攻击的威胁。研究SDN下DoS攻击检测和防御技术,保证控制器的正常运行,增强网络的安全性已经成为一项热门的研究课题。针对SDN环境下以控制器为攻击目标的DoS攻击问题,本文以保证控制器能够及时响应正常用户的请求为研究目标,分别提出了单控制器和多控制器环境下的DoS攻击检测和缓解方案。针对单控制器下的DoS攻击,本文提出了一种基于非合作重复博弈的攻击缓解机制。本文提出了基于信息熵、packet_in消息速率以及packet_in消息响应速率的DoS攻击检测机制,通过下发迁移流规则,将可疑用户的packet_in消息全部迁移到数据平面缓存,再由数据平面缓存转发到控制器,以此来减轻控制器的压力。同时基于惩罚激励机制设置用户的优先级和惩罚时间,保证正常用户的请求能够被及时响应。针对多控制器下的DoS攻击,本文提出了一种基于聚类算法和交换机迁移的攻击缓解方案。本文使用密度峰值聚类算法(DPCA)对用户进行聚类,分为正常用户、可疑用户和恶意用户,恶意用户的流量被流规则丢弃掉。如果存在控制器下的交换机发送的packet_in请求超出了控制器的处理能力,则需要对该控制器下的交换机进行迁移。并且需要定期地对恶意用户的流规则进行信息统计,以允许攻击者在停止攻击后可以回归到网络中。本文采用Mininet网络仿真平台和Ryu控制器搭建了SDN网络仿真环境,并在DoS攻击下对本文提出的算法进行了性能测试,同时将本文提出的算法和现有的算法从平均响应时间、控制器接收到的packet_in消息数目、丢包率等多个方面进行了性能对比,验证了本文提出算法的有效性。