在云计算、区块链和人工智能等新兴技术的带动下,软件定义网络（Software Defined Network,SDN）迎来新的发展机遇,其控制器的集中控制能力、可编程性以及控制平面与数据平面的解耦合,使得网络架构的延伸性较强,能够实现自动化网络运维和网络生态解决方案。网络设备的不断增加,使得网络结构变得错综复杂,攻击者利用网络协议漏洞入侵网络设备,通过挟持僵尸主机,对网络其他设备展开LDoS（Low-Rate Denial of Service,低速率拒绝服务）攻击,给网络安全带来巨大威胁。SDN提出新的解决方案来应对网络中的LDoS攻击,能够实现LDoS攻击检测与防御系统的部署。本文在SDN环境下,对LDoS攻击检测与防御进行了具体研究,主要工作如下:（1）本文针对SDN环境下的LDoS攻击检测问题,提出一种基于WMS-Kmeans（Weighted Mean Shift K-means,加权均值漂移-K均值）的算法,实现了LDoS攻击检测。该方法的主要检测过程为:首先利用控制器获取网络流量信息,然后由Packet＿in消息和混合流量分析并提取网络六元组流量特征,其次使用平均绝对值百分比误差作为欧氏距离的加权系数,改进Mean Shift算法进行聚类算法的融合,最后通过改进的WMS-Kmeans算法区分提取的六元组特征,从而实现LDoS攻击检测的目的。在仿真实验环境下对LDoS攻击检测方法进行了测试验证。实验的检测结果表明,本文所提出的攻击检测方法的检测率较好,并且平均漏警率和平均误警率较低,可以很好的实现SDN环境下的LDoS攻击检测。（2）本文针对SDN环境下的LDoS攻击防御问题,提出溯源模块和防御模块结合的防御方法。溯源模块是利用控制器接收的Packet＿in消息以及交换机中流规则信息,收集并分析出内在关联MAC地址,通过构建溯源流表项进行流规则匹配,结合溯源算法实现了攻击链路溯源过程。防御模块则是利用溯源得到的攻击链路,找到源头交换机,由流规则获取交换机入端口信息,控制器下发携带攻击源与交换机的入端口信息流规则,完成交换机端口封禁操作,从而实现攻击防御目的。在仿真实验环境下对LDoS攻击防御方法进行了测试验证,防御实验结果表明:本文的溯源与防御架构能够有效阻止攻击流量,实现LDoS攻击防御。图34表10参67