互联网在全球范围内迅猛发展的同时,网络安全问题也越发成为关注的焦点。软件定义网络(SDN)技术因其独特优势备受人们青睐,但其集中控制特性易于遭受网络攻击,特别是DDoS等攻击对于SDN核心组件即SDN控制器的安全威胁一直没有得到很好的解决。在另一方面,网络功能虚拟化(NFV)技术具有资源灵活共享、新业务的快速开发和部署以及易于管理等优点,已经受到业界的高度重视。NFV与SDN这两种技术的结合已经成为当前的研究热点。本学位论文针对当前SDN控制器中存在的两类安全相关问题进行了研究,提出了基于NFV/SDN的解决方案,并且研究了检测与防御系统的自动化部署和控制技术。本文的主要工作及贡献包括:(1)提出了一种SDN控制器防范大量UDP冗余分组攻击的机制,该机制在OpenFlow交换机端口前设置检测中间盒,以检测并滤除UDP冗余分组;提出了一种检测中间盒算法,在SDN控制器下发流表之前只允许UDP流首分组通过中间盒,保证后续UDP流分组在到达OpenFlow交换机时已经有相关的流表项存在;基于NFV技术设计实现了相应的原型系统,试验结果表明该系统能够有效地解除大量UDP冗余分组对SDN控制器的威胁。(2)提出了一种防范DDoS攻击SDN控制器的检测中间盒前置机制UDM,该机制在SDN交换机端口与用户主机之间部署前置检测中间盒,以检测并拒止DDoS攻击报文;提出了一种中间盒检测DDoS攻击的算法,适当调整中间盒缓存空间就能消除DDoS攻击的影响;基于NFV技术设计实现了相应的原型系统,试验结果表明该系统能够实时有效地检测和防止对控制器的DDoS攻击。(3)实现了基于NFV的网络安全试验平台,通过软件定义的方法研究和设计了自动化部署和控制网络安全试验的方案;在其上进行了试验,试验结果表明了该方法的可行性。