1.一種網絡安全防御系統，其特征在于包括：SDN控制器、IDS決策服務器和IDS設備；

所述IDS設備適于對報文進行抽檢，即當IDS設備檢測到具有DDoS攻擊特征的報文時，上報至IDS決策服務器；

所述IDS決策服務器根據上報信息以制定出與具有DDoS攻擊特征的報文對應的處理策略，并將該處理策略下發(fā)至SDN控制器以進行威脅處理；

所述IDS設備包括：

定時模塊，設定報文的抽檢間隔時間；

欺騙報文檢測模塊，對鏈路層和網際層地址的欺騙行為進行檢測；

破壞報文檢測模塊，對網際層和傳輸層標志位設置的異常行為進行檢測；

異常報文檢測模塊，對應用層和傳輸層泛洪式攻擊行為進行檢測；

在各間隔時間內通過所述欺騙報文檢測模塊、破壞報文檢測模塊、異常報文檢測模塊依次對報文進行檢測；且若任一檢測模塊檢測出報文存在上述相應行為時，則將該報文轉入IDS決策服務器；

所述IDS決策服務器適于當報文具有欺騙行為，且攻擊威脅在OpenFlow域中，則通過SDN控制器屏蔽攻擊主機；或當攻擊威脅不在OpenFlow域中，則通過SDN控制器將該報文所對應的OF交換機接入端口流量重定向至流量清洗中心進行過濾；

所述IDS決策服務器還適于當報文具有異常行為，則通過SDN控制器對攻擊程序或攻擊主機的流量進行屏蔽；以及

當報文具有泛洪式攻擊行為，則所述IDS決策服務器適于通過SDN控制器將該報文所對應的OF交換機接入端口流量重定向至流量清洗中心進行過濾；

所述SDN控制器內設一屏蔽計時模塊和屏蔽計數器；所述屏蔽計時模塊內設有屏蔽時間，該屏蔽時間適于限定屏蔽攻擊主機時間；所述屏蔽計數器設有一屏蔽閾值，適于當攻擊主機屏蔽次數超過該屏蔽閾值時，永久屏蔽該攻擊主機。