当前,随着云计算、大数据、移动互联网等新兴技术的兴起,网络数据中心对于网络架构在统一管理、易于维护、高安全性等方面的要求逐渐提高,这一现象促使软件定义网络(SDN)架构的快速发展。对SDN网络架构的实现,开放网络基金会提出了OpenFlow协议,它是目前唯一受到广泛认可的协议标准。基于OpenFlow的SDN网络相对于传统网络最主要的特点就是转发层和控制层相分离、网络行为可编程,最主要的机制就是流表机制和消息机制。这样的特点也为DoS攻击检测提供了新的思路。然而,在研究利用OpenFlow协议实现DoS攻击检测的过程中也遇见一个最大的问题,就是网络环境的构建。所以本文研究的主要问题有两个：SDN网络DoS攻击以及OpenFlow检测防御方案、基于OpenFlow的SDN网络仿真平台设计和实现。针对这两个问题本文的主要工作和成果如下：1.本文研究了SDN网络下新型DoS攻击以及提出针对Host传统DoS攻击的OpenFlow检测防御方案。首先,研究在SDN网络中的DoS攻击主要存在于两个部件：控制器和Host。对于控制器的DoS攻击目前研究的非常少,因为在一般网络环境下控制对于底层Host是透明的不可见的,底层Host没有办法直接连接到控制器对其发起攻击。所以本文提出了一种通过发送大量无用数据包给交换机,诱导交换机给控制器发送大规模请求造成控制器拒绝服务的新型DoS攻击。对于Host的攻击主要还是传统的DoS攻击。针对Host传统DoS攻击,本文提出利用OpenFlow协议机制来检测和防御DoS攻击的方案。检测方案主要分四个步骤,数据包采集、协议解析、规则匹配和主动响应。防御方案主要包括三个方法,数据包过滤法、流量限制法和回溯定位法。2.本文设计和实现基于OpenFlow的SDN网络仿真平台。仿真平台分为四个层次,底层硬件、虚拟平台、底层软件和模拟软件。其中底层硬件是真实的物理设备,包括网卡,服务器和交换机。虚拟平台主要是使用Linux核心支持的原生虚拟化技术(Linux Kernel-base Virtual Machine,简称KVM)来构建一个虚拟节点资源池。底层软件使用Emulab来实现管理和控制功能。模拟软件主要集成交换机仿真软件Open vSwitch和控制器仿真软件FloodLight。本平台通过半虚拟化技术解决了Mininet轻量级仿真的真实度不够、性能不强的问题。本平台通过集成Emulab软件解决了实物仿真的管理问题。并且本平台有良好的图形化交互界面、易于扩展。3.基于工作2实现的仿真平台对工作1中提出的SDN网络DoS攻击及检测防御方案进行验证。值得说明的是由于DoS攻击是一类攻击方式,涉及到的具体攻击过多,而且本文也在2.3.3节中表示对检测完备性不进行重点考虑,所以在实验环节选取了Land攻击作为具体研究对象。验证结果表明,通过本文提出的针对SDN控制器的DoS攻击可以实现对控制器的资源耗尽,达到攻击效果。通过本文提出的OpenFlow检测防御方案可以检测防御网络中的针对Host的Land攻击,并从准确性、处理性能和及时性三个维度对检测防御效果进行验证。实验表明,OpenFlow检测防御DoS攻击方案准确度高,处理能力强,及时性好。