随着数字时代的发展,网络安全重要性日益凸显,DDoS（Distributed Denial of Service,分布式拒绝服务）攻击是威胁网络安全的重要因素之一,攻击者通过多台主机向受害者发送大量数据包,使网络服务设备及链路拥塞。目前基于静态网络架构对DDoS检测和抵御在全网统一调度与流量分析上存在流量路径调整困难及转发设备负载较大等问题。SDN（Software Defined Network,软件定义网络）具有全网视角、集中式控制和数据转发与分离的特性,给DDoS攻击的检测与溯源问题提供了新的解决思路。本文从上述问题出发,基于SDN网络对DDoS攻击的检测与溯源问题进行研究,提出基于SDN的DDoS攻击检测与溯源方案,另外,针对现有SDN网络实验环境的局限性,本文设计并实现了基于SDN的可配置网络安全实验系统。主要内容如下:（1）研究了基于SDN网络的DDoS攻击检测方法,借鉴HMM（Hidden Markov Model,隐马尔可夫模型）,创新性地提出基于空间序列DDoS攻击检测方案,结合多个交换机的数据特征,将DDoS攻击状态作为隐藏状态,通过多个交换机的观测状态序列计算对应的隐藏状态序列,最后通过隐藏状态序列判断是否存在DDoS攻击。实验结果证明,本文提出的攻击检测方法有着较好的性能,能够有效实现攻击流量的异常检测。（2）研究了基于SDN网络的DDoS攻击溯源方法,包括基于探查流表项的溯源算法与基于HMM的溯源算法。基于探查流表项的溯源算法构造探查流表项,在溯源起点设备处理转发数据包,沿途设备执行回溯策略将Packet-in消息发送给控制器,引入贝叶斯网络模型进行目标可能性计算。基于HMM的溯源算法从流量的角度出发,收集并监控网络流量信息,在受害者处观测流量状态进而构造观测状态,求解HMM中的状态转移,从而对异常流的分布进行分析。实验表明,本文所提溯源方法能够在网络繁忙、流量复杂的情况下快速溯源,提供可靠的网络溯源结果。（3）设计并实现了基于SDN网络的可配置网络安全实验系统,包括大规模网络构建、基于物理SDN交换机的网络虚拟化、实验建模及网络攻击仿真、设备管理与实验管理、链路管理与控制、节点数据采集与分析、攻击检测等,支持设置网络链路中的时延和丢包率、进行攻击仿真等功能,为网络安全问题的研究和攻防实验的演练提供真实有效的实验环境。