软件定义网络(software-defined networking,SDN)是对传统网络技术的一种颠覆性创新。其最大的特点是实现了数据转发层和控制层的解耦。分布式拒绝服务攻击(Distributed Denial of Service attacks,DDoS)发起简单且危害性强。因为SDN网络架构的特点,攻击者向目标主机发动DDoS攻击时,大量和流表不匹配的数据包发向控制器,并下发许多无用的流表项到交换机。DDoS攻击不仅会对被攻击的目标,对所连交换机以及控制器都会产生极大的危害。所以DDoS攻击对于SDN架构的网络是致命的。如何准确有效的检测出DDoS攻击以及对攻击进行主动防御是SDN安全问题的重点研究方向。本文针对SDN环境下的DDoS攻击检测与主动防御展开研究,主要工作如下:(1)针对SDN网络中的DDoS攻击检测问题,提出了一种基于信息熵和PSO-BP神经网络相结合的DDoS攻击检测方法。首先利用部署在交换机的广义信息熵方法预检测网络流量,把检测结果分为正常,异常。控制器只需定位到发出异常警报的交换机收集流表信息,通过提取相关6元流量特征后利用基于粒子群算法优化的BP神经网络来检测是否发生攻击。(2)针对SDN网络中的DDoS攻击防御问题,提出SDN环境下基于端信息跳变技术的自适应移动目标防御方法。在固定端信息跳变的基础上结合SDN特点,设计跳变同步,跳变及转发,自适应跳变策略,利用源地址熵值和数据流速率方法对网络状况进行检测,根据检测结果对端信息进行时间自适应或空间自适应跳变调整,构建自适应主动网络防御模型。(3)对于上述所提出的SDN中的DDoS攻击检测方法和主动防御方法分别进行了仿真实验。实验结果表明,所提检测方法保证了检测准确率,降低了控制器CPU占用率,具有更好的综合检测能力;所提的主动防御方法增强了抗攻击性和服务性,具有更强的动态性和安全性。