DDoS(Distributed Denial of Service)攻击当今无论从强度还是频率已愈来愈严重,并逐渐成为网络安全领域研究人员关注的重点之一。传统利用网络中间件(Middle-Box)对DDoS攻击进行防御的机制由于缺乏全网协同监控与响应已经越来越难以胜任针对超大流量的DDoS攻击的防御。近几年来,软件定义网络(Software Defined Networking,SDN)作为一种新型网络得到了较大发展,SDN将控制平面与数据平面解耦,并通过集中控制器向网络管理者提供了传统网络无法提供的全网视图。这为在全网范围内协同网络各节点进行高效DDoS防御提供了机会。然而,当前基于SDN的DDoS防御机制大多将具体的防御机制(包含检测与响应机制)单纯作为控制器北向应用进行部署,从而使得基于SDN控制器的DDoS防御机制受限于巨大的南向开销和检测、响应时延,甚至可能导致针专门对SDN控制器的DDoS攻击的产生。在本文中,我们提出了一种面向SDN的跨平面协同的DDoS防御框架——OverWatch。在OverWatch中,我们借助SDN数据平面与控制平面各自优势协同对DDoS攻击进行更加高效的防御,并有效降低开销。OverWatch分为检测和响应两个阶段,在检测阶段,我们提出一种粗细粒度协同的DDoS攻击检测机制。该机制由位于数据平面的粗粒度异常流监控算法与位于控制平面的基于机器学习的攻击分类模型与一种轻量级的僵尸网络溯源算法构成。这种机制保证了对DDoS攻击的高效全面分析。在响应阶段,我们提出一种动态赋能机制,使得原先运行在SDN控制平面的DDoS防御应用可以动态加载并运行在交换机上,从而在减小SDN南向带宽消耗的同时提升了DDoS流量过滤与清洗的性能。我们在基于Ryu控制器与OpenFlow交换机的原型系统上实现了OverWatch,并通过一系列实验对OverWatch的功能与性能进行验证。实验表明:OverWatch能够实现实时高效精确的DDoS检测并进行实时防御,同时,还极大地降低了面向SDN的DDoS防御机制的南向通信开销。