本发明公开了一种软件定义网络中的两级DDoS攻击检测与防御方法,基于控制器北向接口采集交换机流表数据并提取直接特征和派生特征,攻击检测采用序贯概率比检验(Sequential Probability Ratio Test,SPRT)和轻量级梯度提升机(Light Gradient Boosting Machine,LightGBM)设计两级攻击检测算法,SPRT一级攻击检测算法用于在攻击早期快速定位攻击端口,LightGBM二级攻击检测算法用于对攻击进行具体分类,攻击防御通过下发流表规则对攻击流量进行实时过滤,粗粒度规则用于对攻击的快速响应,保护控制器的安全,细粒度规则用于对特定类型的攻击进行防御,以防止对正常通信流量的过滤,能够在发生DDoS攻击时有效地保护SDN网络的安全。