摘要：网络资源的有限性和网络管理的分散性是传统网络难以解决分布式拒绝服务攻击问题的重要原因。当前的防御方法存在静态性、滞后性的不足，并且难以定位攻击者。针对上述问题，该文提出一种动态防御的方法。利用软件定义网络（SDN）集中控制和动态管理的特性构建OpenFlow交换机洗牌模型，使用贪心算法实现用户一交换机连接的动态映射，通过多轮洗牌区分出用户群中的攻击者和合法用户，对合法用户提供低延迟不间断服务。在开源SDN控制器Ryu上实现原型系统，并在SDN环境下进行测试。性能测试结果表明采用该方法可以通过有限次的洗牌筛选出攻击者，降低DDoS攻击对合法访问的影响；能力测试结果则说明了在由一个控制器组成的环形拓扑结构下该方法的防御效果与攻击流的大小无关，而是仅与攻击者的数目有关。

关键词：网络安全 软件定义网络 分布式拒绝服务攻击 动态防御 

单位：解放军信息工程大学网络空间安全学院; 郑州450001; 数学工程与先进计算国家重点实验室; 郑州450001