由于数据中心网络中的数据流具有延迟性、多样性和同步性等特性,导致数据中心容易遭到具有隐蔽性的低速率分布式拒绝服务(L-DDoS)攻击。传统的L-DDoS检测算法主要存在以下问题:首先,在检测流量收集和周期设置方面,有些检测方法具有完全控制功能的假设不够符合实际,造成流量收集不全面和非智能;同时,传统设置检测周期比较缺乏灵活性,导致设置检测周期不够合理。其次,在属性统计方面,传统机器学习算法大多数采用香农熵度量属性,但香农熵在L-DDoS检测方面存在误警率较高的问题;在机器学习检测算法方面,传统机器学习算法在数据包关联性方面考虑较少,容易造成准确率较低的问题;另外,传统机器学习算法大多数针对单类型攻击进行检测,导致检测各种程度的L-DDoS攻击的自适应性较差。针对以上在数据中心网络L-DDoS攻击检测中出现的问题,本文利用软件定义网络(SDN)技术的集中控制性实现检测流量智能控制;同时,采用OpenFlow的消息机制增加检测周期设置的灵活性。为了更好的区分正常流量和L-DDoS攻击流量,不同于传统香农熵的统计方法,本文从随机分布的角度出发,提出一种Renyi熵统计的方法,增加两者之间的熵值差,在属性上降低误警率。为了增加检测自适应性,本文从概率角度出发,提出一种Renyi熵和隐马尔科夫相结合(HMM-R)的概率模型,定义多种状态,以概率形式关联隐状态和观测状态的双随机过程。本文检测架构总体包括数据预处理、HMM-R模型初始化、模型训练和模型检测四大模块。首先,网络中一旦出现PACKET_IN消息,则启动检测过程并开始数据预处理,解析数据包和计算源目的IP的Renyi熵。其次,初始化HMM-R模型,聚类收集数据,获取训练数据的观测序列;通过Baum-Welch对观测序列进行训练,最优化HMM-R模型。最后,对于检测的观测数据,使用模型参数和Viterbi算法求解概率最大化的隐状态序列,进行攻击检测。本文通过公开数据集MIT DARPA和CAIDA 2007两类正常流和攻击流,从正常流量和L-DDoS攻击流量的熵差距角度出发,分析并比较Renyi熵和香农熵在检测攻击属性统计的性能。然后,采用Mininet和POX搭建SDN仿真环境,在不同窗口、不同速率和不同阶数下,将HMM-R算法和KNN、SVM、SOM、BP等4种算法进行比较。实验结果表明,与香农熵相比,在不同攻击速率下,Renyi熵能够增加正常流量和L-DDoS攻击流量差距。和4种机器学习算法相比,HMM-R算法至少能降低误警率2%;和KNN、SVM算法相比,HMM-R算法大约能提高准确率4%;和SOM、BP算法相比,HMM-R算法能大幅度减少检测时间。因此,本文方法在降低误警率、增加准确率和增强自适应性上都有明显改善。