由于传统网络架构存在安全漏洞,分布式拒绝服务攻击非但没有被杜绝,反而呈现愈演愈烈的态势。业界为了改革传统网络架构的弊端,提出了软件定义网络,其集中控制网络的特点为防御DDoS攻击提供了支持。因此,进行基于软件定义网络防御DDoS攻击的研究,既满足现实需求,又顺应时代潮流的发展。本文研究基于软件定义网络防御分布式拒绝服务攻击的问题。从三个方面展开研究,分别是:SDN控制器部署问题、基于SDN的DDoS攻击流量过滤问题以及DDoS攻击条件下SDN动态负载均衡问题,文章的最后依据前述章节的内容实现了 DDoS防御系统。首先,为了提升SDN的运行效率,以提高SDN应对DDoS攻击的能力,研究SDN中的控制器部署问题,提出NOPK算法。NOPK算法致力于降低控制器到控制器以及控制器到交换机的总跳数,并且实验表明NOPK能够有效提升上述优化目标。本章研究的内容可用于后续章节的网络部署。其次,研究基于SDN的DDoS攻击流量过滤问题,提出HHHscore算法。使用sflow协议进行数据采集,引入多个分类特征和数据包评分机制,并根据评分结果过滤DDoS攻击流量。实验表明,该算法在应对各种攻击时,分类准确率达到90%左右。由于DDoS攻击发生时,DDoS防御机制不能立即发挥作用,因此研究了 DDoS攻击时SDN动态负载均衡问题,并提出DM解决方案。首先计算出每条链路的剩余带宽并对网络流量进行预估,然后计算得出剩余带宽足够的路径集合用于网络负载均衡。实验表明,当受到DDoS攻击时,该方案使得网络吞吐率达到83%,高于对比方法。最后,以spring boot为基础框架,对上述内容进行系统实现,并证明系统的有效性。