随着大数据、物联网等技术的发展，层出不穷的新型服务和不断扩大的网络规模都要求现有网络能快速动态地配置网络资源。但由于现有网络的复杂性和臃肿性，使得这种需求难以被满足。SDN作为下一代网络架构之一，把现有的网络分成了三个相互分离的平面，将网络的控制大权交给了集中式的控制器。其转控分离、集中式控制的特点虽然能够满足对网络设备的快速配置，但同时也带来了单点失效的风险，使它更易成为DDoS攻击的目标。
　　本文详细地研究了SDN网络特点以及OpenFlow协议，并对DDoS的攻击方式、检测算法、溯源方案以及缓解方法进行了分析。在此基础上，本文着力于溯源算法，提出了以此为核心的攻击检测和防御方案。该方案主要分为三个部分：基于决策树的攻击检测技术，基于统计分析的溯源技术和缓解技术。论文的主要工作包括：
　　1. 本文详细分析了“闪拥”流和DDoS攻击流的异同点，并针对这两种流提取了协议类型和数据包大小等值作为区分特征。之后，采用C4.5决策树作为检测算法，将这些特征作为输入建立决策树。
　　2. 本文分析了正常情况下和异常情况下的网络流量变化情况，并利用SDN对全网的监控效果提出了基于统计分析的溯源算法。该算法在获得网络的拓扑之后，通过对交换机中的流量进行分析，依据在采样时间内的流量变化情况，判断当前交换机是否异常。将异常的交换机记录下来，组成异常树。之后，遍历异常树，并调用DDoS攻击检测算法对其进行剪枝，去除发生“闪拥”的节点。最终得到攻击路径。
　　3. 本文分析了六种 DDoS 攻击流，使用数据包大小来辨别攻击流的类型。缓解技术在得到溯源算法生成的攻击路径后，对路径中的每个节点计算通过的数据包大小，判断当前攻击流的类型。对于洪泛攻击，控制器下发相应的流表，使交换机丢弃来自该 IP 地址的流。对于反射或放大攻击，控制器下发流表，使交换机对来自该 IP 地址的流限速。
　　4. 最后，实验验证了本文所提的DDoS攻击检测、溯源和缓解算法的可行性。通过对SDN网络进行仿真，随机选取攻击主机与目标主机，从攻击主机中发送大量的混合DDoS攻击流到目标主机。试验结果表明，本文提出的溯源算法能够快速准确地发现流量异常的交换机，并生成异常树；检测算法对于“闪拥”和DDoS攻击有很好的区分效果；缓解算法在得到攻击路径后能够快速有效地处理不同类型的攻击流。本文所提的算法从整体上提高了SDN网络的安全性。