软件定义网络（Software-Defined Networking,SDN）是一种新型网络体系结构,它实现了网络设备中控制逻辑与数据转发功能的分离,采用集中式的控制方式控制整个网络,并向上层应用提供开放的可编程接口。这种设计模式极大地简化了网络策略的部署,缩短了网络应用的开发周期,在数据中心和云计算中得到了广泛的应用。但是,这种网络体系结构也引入了新的安全威胁。本文将对SDN体系结构中的若干安全问题进行了深入的研究,主要贡献包括如下三个方面。（1）研究了 OpenF low交换机中的拒绝服务攻击。通过分析OpenFlow交换机的原理和架构,针对交换机控制代理吞吐量有限的弱点,提出了一种拒绝服务攻击方法。攻击者通过控制网络中的主机发送大量的流量请求,消耗交换机控制代理的资源,从而导致控制代理过载。为了对抗这种攻击,提出了一种层次化多阈值的攻击检测算法,并在硬件实验环境中对该算法进行了验证。实验结果表明,这种算法能够有效的检测交换机控制代理拒绝服务攻击。（2）研究了 SDN控制器中的拒绝服务攻击。通过分析已有的针对SDN控制器的拒绝服务攻击方法,我们发现这些攻击方法主要是通过使用伪造的MAC、IP和端口信息来实现的。针对现有解决方案无法识别异常消息且需要额外设备支持的不足,提出了一种从攻击源头检测和阻止异常流量方法。根据这种方法,设计并实现了 DosDefender系统,并在硬件实验环境下对该系统进行了验证。实验结果表明,DosDe fender能够有效的检测控制器拒绝服务攻击,同时保护SDN网络中交换机控制代理、控制通道和控制器资源。（3）研究了 SDN网络中的数据包注入攻击。通过分析SDN控制器中的拓扑管理服务和设备Rest API,提出了一种数据包注入攻击模型。根据这种模型,设计了针对拓扑管理服务和Rest API的欺骗攻击,以及针对网络带宽和基于Rest API的应用程序的拒绝服务攻击。为了有效地检测和对抗这种数据包注入攻击,提出了一种主机MAC地址与交换机端口绑定的防御策略,设计并实现了PacketChecker系统,并在Mininet环境下验证了该系统的效率和有效性。实验结果表明,PacketChecker能够以极低的负载开销,有效地检测并阻止这种攻击。