在传统网络中,防御者必须不断增加复杂性的防御来保护网络系统免受攻击,而攻击者只需找到一个或多个可利用的漏洞就可以破坏系统。由于网络中的数据包携带信息容易被捕获分析,攻击者在执行攻击前更多的是侦查网络寻找漏洞,且可能随时跟踪信息流,用于全局分析,进而分析网络中的脆弱点。这种攻击成本低,效率高,成为了网络威胁。移动目标防御(Moving Target Defense,MTD)成为解决这些安全问题的一种有效技术。软件定义网络(Software Defined Network,SDN)中的控制器具有对整个网络的全局调控能力,为MTD更好的应用与发展带来新动能。为此,设计并实现了一个软件定义网络中基于动态重构的主动防御系统:该系统通过网络配置突变策略的制定及更新、突变时机与频率的优化,实现数据层敏捷的主动防御,同时也保障网络服务的一致性和连续性。通过修改数据包头部的IP地址以及传输路径,将暴露在网络中的IP和传输信息隐藏起来,使攻击者嗅探网络时获取到的是错误或不完整的信息,进而不断重复攻击过程中的情报收集阶段。当然防御者需向攻击者呈现不可预知的变化攻击面才能使防御持续有效。通过以一定的频率不断变化对IP地址和传输路径的修改,使原本分析的结果失效,减少攻击者获取信息的可用性,从而提高系统的防御能力。对软件定义网络中基于动态重构的主动防御系统进行了测试,并与不执行动态变化的系统进行了对比。测试表明,该系统实现了全部功能,成功扰乱了攻击者的嗅探,实现了主动防御,并且保障了新旧策略转换时网络状态的一致性。