1.一種SDN數據中心中防御DDoS攻擊的方法，其特征在于，包括如下步驟：

(1)流量帶寬檢測與反饋：流量信息收集服務器作為旁路設備外掛于SDN網絡的核心層，各SDN交換機定時將轉發至不同目的服務器的流量信息發送至流量信息收集服務器，由流量信息收集服務器匯總出某一時刻發往每臺服務器的流量信息；當發現發往某臺服務器的流量大小超過閾值時，則認為這臺服務器遭到了DDoS攻擊，立即通知控制器；

(2)流量清洗平臺攻擊流量與合法訪問流量分離

(2.1)控制器接收到某臺服務器遭到DDoS攻擊的消息后，向交換機下發流表，將轉發至攻擊目標的所有流量牽引至流量清洗平臺；

(2.2)流量清洗平臺對包進行深度檢測，將正常訪問的數據包分離出來并重新發往目標服務器，最后將正常訪問的數據包與DDoS攻擊數據包分開送往蜜罐節點；

(3)蜜罐節點攻擊流量特征提取、反饋禁止流表：蜜罐節點對正常訪問的數據包和DDoS攻擊數據包進行對比并提取攻擊流的特征，根據特征生成訪問控制列表并發送至控制器；控制器根據收到的訪問控制列表生成新的流表并下發至交換機，使得DDoS攻擊數據包在進入交換機后被丟棄，從而達到減輕DDoS攻擊，減輕服務器、流量清洗平臺和蜜罐節點壓力的效果。

2.根據權利要求1所述的一種SDN數據中心中防御DDoS攻擊的方法，其特征在于，所述步驟(2.2)具體為：

流量清洗平臺根據其自身數據庫中存儲的畸形攻擊包特征，對轉發來的數據包進行匹配，對于畸形的攻擊包進行丟棄并將攻擊包的信息發送至蜜罐節點；

對于經過第一輪過濾剩下的包，將其分為TCP和UDP兩類；

針對TCP連接，流量清洗平臺代替服務器進行響應回復，但并不為連接請求分配內存和CPU資源，若能收到客戶端再次發來的ACK確認，則認為此連接是由正常用戶發起的，并將連接轉交至真正的服務器，同時將正常用戶信息發送至蜜罐節點；若超時仍然無法收到客戶端的ACK確認，則認為此連接是由DDoS攻擊者發起的虛假連接請求，隨后將攻擊包的信息發送至蜜罐節點并刪除連接；

對于UDP類型的包，流量清洗平臺對其進行報文分析，當發現有大量的包內容很長或是相似度很高甚至相同，則認為這些包是DDoS攻擊的包，隨后將這些包的特征及正常UDP信息發送至蜜罐節點并將這些包丟棄，正常的UDP包發送至目標服務器。