互联网的迅速发展,深刻改变了人们的生产与生活方式,网络在给人们提供方便的同时,也存在许多安全问题。以IP为核心的传统网络架构部署繁琐且灵活性差,越来越无法满足网络管理的需求。软件定义网络(Software Defined Network,SDN)重新定义了一种新的网络架构,通过将网络的控制功能从转发设备中分离出来集中到控制器上,赋予网络可编程性,这些特性增加了网络的灵活性与开放性,同时使网络配置更加简单,节约了运维成本。分布式拒绝服务(Distributed Denial Service,DDoS)是一种实施简单、破坏力强且缺乏简易可行对抗措施的攻击方式,成为威胁SDN安全的主要因素之一。随着SDN的发展与普及,如何增强SDN的安全性成为了研究的热点。本论文在总结了 SDN的架构与工作原理的基础上,重点研究了 SDN网络中的DDoS攻击检测与溯源方法,具体工作可以分为以下几点:1.针对传统集中式检测方案中控制器工作负担过大的问题,提出了一种基于边缘交换机的DDoS攻击检测方案,该方法在边缘交换机端设置初检模块,利用目的IP地址的信息熵与流表数目实现了一种快速异常预警机制。因为信息熵的计算过程简单,占用资源较少,这样的设计既可以充分利用交换机中的空闲计算资源,还能有效地降低控制器的工作负担,具有较大的实用意义。在控制器端设置流量收集、特征提取、攻击检测模块,通过提取流的5个典型特征作为随机森林模型的输入,进一步精确的检测攻击流。控制器端的检测过程只有在收到边缘交换机示警后才启动,避免了大部分时间网络正常时控制器上的资源浪费,且随着网络规模的增大,这种增益愈加突出。2.当检测出网络中发生DDoS攻击时,设计了一种跨层协作的DDoS攻击溯源系统。该系统充分结合SDN全局网络视图的特性,在控制器端设置拓扑感知模块,显示网络拓扑结构,简化了传统确定性标记算法(Deterministic Packet Marking,DPM);在边缘交换机端充分利用其空闲计算资源,设置数据记录模块和特征匹配模块,当交换机检测到异常时,数据记录模块开始记录流经数据包的信息,主要有源IP、目的IP、入端口、协议类型,当控制器确定攻击发生时,下发攻击包特征,由边缘交换机通过匹配分析,得到攻击流进入网络的端口,以便在源头处阻断攻击。整个过程没有对数据包进行标记修改,大大降低了溯源系统的复杂性,其预警机制同样可以有效的降低控制器的工作负担。3.结合攻击检测与攻击溯源两部分内容,设计了一种基于SDN的DDoS攻击防御系统,该系统充分利用了 SDN架构的特性与交换机的空闲计算资源,将部分简单的统计工作放置在边缘交换机端,并通过引进预警机制,有效降低了控制器的工作负担,为SDN中DDoS攻击的防御研究提供了新的方向与思路。