现阶段，计算机网络中的攻击朝着更加复杂化和智能化的方向发展，给网络基础设施以及应用的安全性带来更为严重的威胁。例如，攻击者常常使用分布式的集群发送隐秘的流量对网络主机进行恶意探测，或者对链路进行拥塞；再如，攻击者产生规模动态变化的流量影响防御系统的性能；亦或者将流量的内容进行加密处理以规避防御系统的检测。传统的网络防御系统经常利用相对固定的策略与资源来处理上述问题，因此令攻击者在其攻击活动中占据着有绝对优势的主动地位。为了打破这一不利局面，亟需构建具有灵活部署、弹性拓展、智能对抗等特点的动态网络防御机制。
　　现今学术界和工业界蓬勃发展的软件定义网络(Software-Defined Networking, SDN)和网络功能虚拟化(Network Function Virtualization, NFV)技术给网络安全功能的创新带来了新的机会，有望进一步提升网络的安全性。具体地，利用SDN技术提供的集中监测与控制能力，可以在网络中直接实现多种安全功能，以及将流量定向到具有更多特定安全功能的NFV中间件中。而NFV技术带来了中间件的灵活部署与弹性拓展能力，可以令安全功能根据网络流量的种类与规模进行动态适配。
　　在上述背景下，本文的主旨为利用SDN和NFV技术进一步提升计算机网络的安全性。主要拟解决的问题为，基于SDN和NFV技术对复杂化、智能化攻击下的流量进行检测与防御。为了解决上述问题，本文对以下四项基于SDN和NFV的动态防御机制进行了研究：
　　1.针对高级网络恶意探测攻击下的流量，提出了一种基于SDN的，使用欺骗防御思想与其进行对抗的方案。该方案的主要思路是将网络中的弱点主机在攻击者扫描时对其进行隐藏，并将攻击者诱导至蜜罐主机。在实现上，该方案基于SDN提供的全网监测能力对攻击者行为进行建模；以及主机虚拟地址变换能力针对性地改变弱点主机和蜜罐主机的地址。实验结果表明，该方案相较于现有的方案对高级网络恶意探测具有更好的防御能力。
　　2.针对低速链路洪水攻击下的流量，提出了一种基于SDN的，利用卷积神经网络的检测和防御方案。该方案的主要思路是对拥塞链路上的相关主机行为进行建模并分类正常和恶意主机。在实现上，基于SDN提供的全局视图实时地监控网络中的拥塞行为，并基于收集到的主机历史行为信息构建特征灰度图，进而使用卷积神经网络进行分类。实验结果表明，该方案有较高的准确率并对合法主机造成较小的服务质量影响。
　　3.针对突发的、不可预测的动态攻击流量，提出了一种基于SDN和NFV中间件的高效弹性拓展方案。该方案基于排队理论，在保证系统入侵防御性能的同时，使用最少的资源完成动态流量的检测；此外，该方案设计了一个流量到中间件的分配方案，可以确保在分配过程中，中间件之间的检测状态共享次数最少并且实现中间件的流量负载平衡。通过实验证明了该方案能令中间件高效适配动态攻击流量，以及对合法流量的吞吐量造成较小的影响。
　　4.针对数量日趋增多且难以检测的加密攻击流量，提出了一种无监督的异常流量检测方案，该方案可以作为一个通用的NFV中间件来使用。其特点为不依赖于标签化数据、适应于流量分布的变化、以及实现实时检测。其具体的思想是先通过长短记忆神经网络自编码器(LSTM-Autoencoder)对流量的原数据进行时序特征提取，然后基于深度字典学习表示流量的正常模式，当某条新流量与正常流量模式的差异度较大时，则判定其为异常。实验结果表明了其在真实网络环境的设置下，实现了较高的准确率与稳定性。
　　本文依托于国家重点研发计划“深度安全机理研究”、国家重点研发计划“网络空间拟态防御技术机制研究”、国家863项目课题“支持资源弹性调度的软件定义网络(SDN)关键技术研究”等项目进行展开。本文对以上四项内容进行研究并取得了一些初步成果，为构建网络动态防御机制的研究提供了新的方法与参考。