为保障用户安全、快速、稳定的享受网络服务,网络业务数据流通常需要有序的经过一些网络服务功能点,如防火墙、入侵检测。若要业务数据流按特定业务逻辑有次序的经过服务功能节点,便需要对它进行服务路径配置。虽然新型网络架构软件定义网络(SDN)为服务路径配置带来了巨大的便利,但同时也存在着架构安全问题。本文研究,旨在解决SDN中服务路径配置安全问题,提供一套安全可靠的防御方法。设计了一种用于路径配置的SDN拟态防御架构。首先将拟态防御的动态异构冗余思想应用到SDN控制层中,设计了动态异构冗余的SDN控制层。其次改进了目前拟态防御中多数采用的随机调度算法与多数判决算法,提升了拟态防御性能,有效地解决了目前SDN控制层易被攻击的问题,保障了SDN中服务路径配置的安全。提出了一种基于packet_in消息的路径验证机制。通过配置交换机路径验证标识,使得数据流经过交换机时发送packet_in消息收集路径验证标识,最后得到数据流的实际传输路径。将实际的传输路径与配置的传输路径进行对比,验证数据流的转发路径,保障路径配置信息在交换机上的正确实施,确保了数据流按服务路径配置的传输路径进行转发。