传统封闭的网络体系被软件定义网络的分层思想解耦为数据平面、控制平面和应用平面,网络的集中控制与管理在逻辑上得到了实现。集中管控的机制和开放的编程接口增加了SDN管理、运营等方面的灵活性,同时也为攻击者提供了便利,为SDN安全防护带来了更多挑战。如果攻击者能够伪造来自控制器的流规则,便能够控制网络流量的路径,进而绕开SDN中部署的各种网络设备。防火墙、入侵检测系统等中间设备是网流监控的物理载体,而网流监控是提供网络高级处理服务的基础,同时是保障网络安全的核心技术手段。本论文研究了基于流规则的软件定义网络安全技术及算法,主要内容和研究价值如下:1.针对软件定义网络中数据流的动态性问题,设计基于数据流规则的网络安全通信模型。首先,针对控制平面可能遭受的基于数据控制转发机制的攻击,设计相应的安全机制。其次,针对安全控制机制中数据流通信遇到的环路问题,设计对应的网络安全通信协议,确保安全通信机制能够正确实施。2.针对软件定义网络设备负载问题,设计了负载均衡算法。首先,通过启发式算法寻找中间设备在网络中网络时延最小的部署位置;其次,为了避免某一中间设备成为网络热点造成单点失效,本论文基于中间设备和SDN交换机容量限制,制定了整数线性规划(ILP)逻辑路由减枝算法以及线性规划(LP)流量控制算法,使得整个网络能够负载均衡。最后,为了避免中间设备对数据包的头部做修改,本论文设计了数据流关联算法,以确保相关算法和安全机制能正确执行。最后,结合DARPA的真实数据集,进行实验验证。实验表明,本论文提出的模型和算法有效结合了软件定义网络的数据流动态性问题,可以更加有效地管理网络数据流,保护网络的负载均衡,进而提升整个软件定义网络的稳定性与安全性。