随着物联网、软件定义网络和云计算的广泛创新,信息物理融合系统（Cyber-Physical System,CPS）不断发展并被广泛采用,从而促进日常生活和经济发展。现代社会严重依赖各种CPS,如智能电网和交通系统,因此一旦关键服务出现计划之外的关闭,会导致经济损失甚至人员伤亡等严重的后果。同时,分布式拒绝服务（Distributed Denial of Service,DDoS）攻击由于其容易执行和对目标系统造成的破坏,正在成为CPS的主要威胁。DDoS攻击包括不同的种类,本文针对其中的容量攻击和低速率攻击分别展开研究。对于容量攻击,由于攻击方法不断更新,以往的防御方法已经体现出局限性。例如,以往基于机器学习的检测方法只能检测数据集中出现的已知攻击类型,而基于统计学的检测方法通常使用预定义的阈值,但阈值的设定容易受到主观因素影响,并且最佳阈值会随着网络环境动态变化。同时,以往的工作提出的缓解方法还存在缓解特征数量较少且无法自适应选择、引入额外的缓解设备提高部署成本等问题。此外,由于CPS中存在大量低安全性的Io T设备,它们容易被攻击者攻破,从而从系统内部对其他设备发起攻击。因此,如何应对该攻击场景也是一个需要解决的问题。为了提高对已知和未知容量攻击的防御能力,本文首先提出了一种自适应容量攻击缓解方法:ADAM。该方法利用了软件定义网络（Software-Defined Networking,SDN）可编程性和集中控制的优点,基于信息熵和异常检测机制,能够在不提前定义攻击特征的前提下防御容量攻击,且不引入额外的设备,降低了部署成本。同时,ADAM采用以攻击者为中心的防御策略,能够将网络中的SDN交换机转变为检测器和动态过滤器,在检测到DDoS攻击的交换机上应用过滤规则,避免攻击流量在网络中泛滥,保护网络性能和服务质量。通过这种方式,不管攻击者从CPS外部发起攻击,还是操控Io T设备从内部发起攻击,本方法都能够有效防御。CPS系统通常会结合云计算技术来实现协同、集成和资源共享等需求。然而除了容量攻击,低速率攻击能以更隐蔽的方式攻击云服务器与底层网络之间的瓶颈链路,从而降低服务质量,影响CPS中的物理设备。对于低速率攻击,以往的工作主要注重于攻击检测,但是针对低速率攻击的缓解方法仍然存在一些安全隐患。例如基于流量速率序列相似度的防御方法在面对相似度降低时可能失效,基于网络统计信息特征的防御方法在攻击随机性增加后可能失效。为了验证这些隐患,本文针对现有缓解方法的原理进行探究,提出了一种利用假动作伪装的低速率DDoS攻击策略:F-LDDoS。本文在该策略中提出了“佯攻区间”的概念,使得该攻击策略比常规低速率DDoS攻击更加有效且更加隐蔽。本文主要分为以下五个部分:第一部分为绪论,阐述了选题动机,分析和回顾了研究现状。该部分首先将DDoS攻击类型分为了容量攻击和低速率攻击,进而对这两类攻击的研究现状进行分析,总结出了他们存在的不足之处和安全隐患。第二部分介绍了本文涉及的相关技术。首先介绍了信息物理融合系统的定义和一些具体应用,交代了本工作的背景。随后介绍了SDN架构和OpenFlow协议的定义和工作原理,为后续介绍技术细节做铺垫。最后介绍了两种DDoS攻击:容量攻击和低速率攻击,分析了它们的不同点和各自的特征。第三部分首先介绍了CPS场景下容量攻击的威胁模型,随后提出了一种自适应容量攻击缓解方法:ADAM。该方法利用了SDN网络架构的优势,能够直接部署在SDN控制器上,无需引入额外设备,降低了部署和推广成本。并且,该方法结合了信息熵和无监督异常检测机制,能够在不提前定义攻击特征的前提下自适应地防御DDoS攻击,能够同时应对已知和未知攻击。仿真实验结果表明ADAM能够应对高强度的容量攻击,并且具有较高的准确性和较强的适应性。第四部分针对现有低速率攻击防御方法存在的安全隐患,提出了一种利用假动作伪装的低速率攻击策略:F-LDDoS。该策略提出了“佯攻区间”的概念,僵尸机在佯攻区间内随机发送流量,从而降低了单个攻击流和汇总之后攻击流的相似度,并且将自己伪装成正常用户。实验结果表明,通过这种方法,F-LDDoS实现了比常规低速率DDoS攻击更好的攻击效果和更强的隐蔽性,这证实了现有方法存在安全隐患。第五部分为结语,先对本文的两个工作进行总结,并且对未来工作进行展望,提出了将DDoS防御和保护SDN架构本身的方法相结合的研究方向。此外,针对F-LDDoS攻击的防御方法,以及该攻击策略面对现有防御方法的攻击效果也是值得进一步探究的问题。