随着网络技术的快速发展和新型网络应用的不断出现,互联网的通信模式已从端到端之间的资源共享逐渐转变为对多媒体音视频等内容的获取。当前的以主机为中心的TCP/IP网络架构在内容分发、移动性、安全性等方面表现出越来越多的不适应性。为了从根本上解决这些问题,研究人员提出了一系列的下一代网络体系结构,其中命名数据网络（Named Data Networking,NDN）自提出后便引起广泛关注,被认为是最有潜力的下一代网络体系结构之一。虽然NDN的设计使其可以防御当前TCP/IP网络中的大多数DDo S攻击,但是攻击者也可能利用NDN的特性来实施新型的DDo S攻击,例如易于实施且危害极大的兴趣包泛洪攻击。目前,大多数现有的兴趣包泛洪攻击检测与防御机制均主要关注于高速度的攻击场景,可能无法防御较为隐蔽的攻击,并且存在攻击检测不及时、无法准确定位攻击者、防御时损害合法消费者的数据访问请求等问题。针对以上问题,本文提出一种基于控制器整体网络视图的兴趣包泛洪攻击检测与防御机制来防御较为隐蔽的兴趣包泛洪攻击。本文主要包括以下几点研究内容:（1）提出一种较为隐蔽的兴趣包泛洪攻击方式。通过对常见的高速度的兴趣包泛洪攻击场景以及现有的攻击检测方法的总结与分析,针对现有方法的不足,提出一种新型的较为隐蔽的兴趣包泛洪攻击方式,并对该攻击方式的特点进行分析。在该攻击方式下,攻击者通过控制其攻击速度来确保在连续的两个时间间隔内路由器的相关状态数据发生的变化不明显而不易察觉,使得现有的关注于高速攻击场景的攻击检测方法无法在攻击的早期阶段及时检测到攻击的存在。（2）提出一个隐蔽兴趣包泛洪攻击的检测与防御机制。基于上述所提出的隐蔽兴趣包泛洪攻击的特点以及已有机制存在的攻击检测不及时、难以定位攻击者、防御时损害合法请求等问题,提出一个基于控制器整体网络视图的隐蔽兴趣包泛洪攻击的检测与防御机制,来在攻击开始的早期阶段即攻击还未对网络造成较大损害前及时检测到攻击并准确定位攻击者,然后在攻击源处采取针对性防御措施,避免损害合法消费者的数据访问请求。（3）基于以上提出的机制设计并实现了兴趣包泛洪攻击检测与防御原型系统。原型系统中主要实现了多种应用程序来分别执行对应的攻击检测与防御操作,并提供了各种应用程序之间需要共享的公共服务如命名空间、安全机制等。此外,为方便系统的使用人员了解系统的运行情况,原型系统中实现了一个日志系统来实时地展示各个应用程序所进行的攻击检测与防御相关操作。