近年来,云计算正逐渐成为IT界主流的计算模式。因为其按需自服务、泛在接入、资源池化、弹性服务和可度量服务的特性,云计算在产业界和学术界备受关注。云计算提供三种服务模型：基础设施即服务、平台即服务和软件即服务。基于此面向服务的体系结构,云服务用户可以灵活地租用云服务满足自身应用需求。云计算的按需资源分配和“即用即付”计费模型,进一步降低了云服务用户的软硬件投入和维护成本。尽管云计算带来了以上诸多便利,安全因素仍然是当前企业和组织将其应用迁移至云平台主要的障碍。在云平台面临的诸多安全漏洞中,DDoS攻击是影响云服务可用性的主要安全威胁。一方面,传统网络中的洪泛式DDoS攻击(如TCP SYN Flood攻击),低速率DDoS攻击(如Shrew攻击)在云平台中依然存在。另一方面,云计算模式引入了诸多云平台特有的DDoS攻击,比如EDoS攻击,带宽饥饿DDoS攻击等。而随着云平台广泛采用软件定义网络作为其云数据中心的基础网络架构,云环境下的DDoS攻击平面进一步增加。因此,研究云环境下的DDoS攻击防御势在必行。针对云环境下现有的DDoS攻击,如EDoS攻击、带宽饥饿DDoS攻击和控制层洪泛式DDoS攻击,研究人员已经提出了各种防御手段。然而,和云平台的攻击平面相比,这些方法还远远不够。目前,该主题相关的研究工作遇到了诸多挑战,主要包括以下几个方面：1)缺乏一个全局的DDoS攻击防御框架,该框架阐述云环境下各层面潜在的DDoS攻击漏洞,并指明如何有效地防御、以及在何处防御这些DDoS攻击；2)作为防御DDoS攻击流量的第一道防线,如何在云服务访问接入点设计云防火墙框架；3)如何防御云数据中心网络数据层潜在的洪泛式以及低速率DDoS攻击；4)如何通过数学模型评估云防火墙的性能和有效性,以及如何定量分析DDoS攻击对云平台各项性能指标的影响?针对以上挑战,本文对云环境下的DDoS攻防及其关键技术开展了相关的研究工作。具体而言,本文的工作主要包括以下几个方面：1)为促进云环境下的DDoS攻防,我们从全局的角度提出了一个云环境下的DDoS攻防体系。该DDoS攻防体系从以下四个层面展开：正常用户、攻击者层面、云服务访问接入点层面、云数据中心网络层面以及云数据中心服务器层面。具体而言,正常用户、攻击者层面是指正常用户、攻击者分别向云数据中心发生服务请求、攻击流量。云服务访问接入点层面是指正常用户的服务请求、攻击者的攻击流量通过互联网到达云服务访问接入点。在该层,作为防御DDoS攻击流量的第一道防线,应布置入侵防御系统和云防火墙。云数据中心网络层面则是指正常用户的服务请求、攻击者的攻击流量经过云服务访问接入点、到达云数据中心网络。在该层,应防御网络层各种DDoS攻击、软件定义网络架构特有的DDoS攻击以及带宽饥饿DDoS攻击。最后,云数据中心服务器层指正常用户的服务请求、攻击者的攻击流量最终到达应用服务器。在该层,应防御应用层DDoS攻击以及EDoS攻击。2)为实现在云服务访问点部署防火墙,作为防御DDoS攻击流量的第一道防线,提出了一种非集中式的云防火墙框架。云服务用户租用该防火墙保护其托管在云数据中心的应用。具体而言,托管其应用的服务器被分为多个集群,云服务提供商根据动态资源分配为每个集群设置一个独立的防火墙,所有的防火墙并行监视网络流量。在该框架中,通过动态资源分配实现资源配置成本最优化,同时满足用户提出的QoS约束。和现有的集中式防火墙框架相比,该框架可以解决单点失效、大规模规则集、不能满足QoS约束等问题。3)为防御云数据中心网络潜在的DDoS攻击,揭露了两种数据中心网络数据层DDoS攻击漏洞,基于这两种漏洞,可以实现数据层洪泛式DDoS攻击和数据层低速率DDoS攻击。具体而言,数据层洪泛式DDoS攻击通过产生大规模流表规则到达攻击目的,低速率DDoS攻击则通过在流表中产生长期存在的流表规则到达攻击目的。为描述数据层洪泛式DDoS攻击特征,将其和控制层洪泛式DDoS攻击对比。然后基于现有的清洗控制层高负载流量的工作提出该攻击的防御手段。数据层低速率DDoS攻击可以躲避现有防御手段的检测,因为其几乎从不向控制层发送高负载流量。因此,我们提出了一种新型的防御手段,可以检测流表中长期存在的流表规则。4)为通过数学模型评估云防火墙的性能和有效性,我们提出了新型的排队论模型：M/Geo/1和M/Geo/m。该模型远比现有的排队模型M/M/1复杂,为得出包经过防火墙的平均响应时间,我们首次提出结合使用Z变换和嵌入式马尔科夫链技术。同时,提出使用随机过程定量分析DDoS攻击对云平台各项性能指标的影响。结果表明,数据层洪泛式DDoS攻击只需很少的攻击资源即可大规模降低系统响应时间,而数据层低速率DDoS攻击则对系统产生长期的影响。