随着大数据、云计算技术的不断发展，传统网络架构已经越来越难以满足当前的网络应用和服务的需求了，因而产生了软件定义网络这一新型网络架构，该架构的主要特征是转发与控制分离、集中控制、网络可编程。传统网络中应对安全威胁时采取的静态配置部署防御措施，这种一定程度上固定不变的、被动的方式很容易被攻击者搜集到其所需要的信息，并通过渗透节点对其他主机进行扩散。而在软件定义网络(Software Defined Network,SDN)环境中则可以利用集中控制的优势，引入移动目标防御思想，并在结合掌握全局网络信息的情况下来构建一个动态的，不可预测的网络环境，这种基于OpenFlow的移动目标防御技术通过化被动为主动的方式将会是未来网络安全领域的一个重要的发展方向。　　针对静态网络容易被侦查渗透的缺点，本文在软件定义网络中发挥新型架构的优势同时在保证地址不断变化的同时还能不影响网络数据包的转发，提出一种基于OpenFlow的移动目标防御技术。在控制器中产生虚拟地址，通过下发流表到交换机并在数据包交付主机时用虚拟地址替代真实地址的效果，发送数据包时源主机查询目的主机的IP地址时返回的是目的主机的虚拟地址，而当数据包到达目的主机时，数据包的源地址封装的是源主机的虚拟地址，保证通信双方是不能看到对方的真实地址，网络主机变成移动目标，并进行路径跳变，防御网络侦查渗透。同时使用sFlow协议对软件定义网络网络进行监控，引入一个时间周期和触发机制，当链路流量满足触发条件时下发新流表执行改变目标地址，阻断链路流量，防止渗透主机通过给潜在主机不断发送流量来扩大渗透影响。　　用当前的软件定义网络开源软件模拟出实验环境，对提出的基于OpenFlow的移动目标防御技术进行实验验证，证实了该技术的可行性，通过对技术进行安全性分析，对与主机直接相连的交换机下发流表实现，并测试了流表下发延迟和性能，并进行了静态和动态效费对比和转发时延对比。