软件定义网络（Software defined network,简称SDN）是一种新型的网络架构。SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的灵活性、可扩展性和编程性。但是SDN也面临诸多的网络安全威胁,例如DDo S攻击、数据扫描、数据窃取等。SDN异常流量检测技术可以保护网络安全,防御各类网络攻击,已成为当下研究热点。本文对SDN异常流量检测技术进行了深入研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍与总结了各类异常流量检测框架与识别算法;并研究分析了支持隐私保护的SDN异常流量检测方法。但随着SDN网络规模的不断扩大,网络攻击手段呈现多样化、复杂化,给SDN异常流量检测带来了巨大挑战。为了提升SDN网络性能,实现可扩展的SDN流量检测,并防止SDN流量数据隐私信息泄露,本文围绕SDN异常流量检测算法改进,SDN检测框架优化、SDN分布跨域网络流量检测与SDN云边协同分层检测等几个方面展开研究,并取得创新成果如下:（1）针对单个控制器SDN局域网络异常流量检测精度有待进一步提高的问题,提出一种基于K-FKNN的SDN异常流量检测方法。使用K-means++聚类算法对各类训练数据进行预处理形成多个簇;然后通过簇半径法,计算检测节点的最邻近簇群,利用最邻近簇群来判别检测流量属性,若最邻近簇之间属性不一致,再通过最邻近簇形成的子集来进行识别,从而提高流量检测精度。此外,设计了相应的SDN检测系统模块,并对最邻近算法流程进行了改进,减小了算法复杂度。（2）针对SDN网络异常流量识别过程中检测延迟较高问题,提出一种基于EMSOM-KD的SDN异常流量多级检测方法。首先优化了现有的SDN异常流量检测框架,将模型训练与流量实时检测相解耦,减轻控制器负载。构建了基于信息熵度量的自组织映射网络与KD树的联合模型的SDN网络多级检测模型,通过信息熵度量模型来选择合适的自组织映射网络,并对SOM神经元进行分类。在流量实时检测过程中,首先通过基于信息熵度量的SOM网络对大部分SDN流量进行快速准确识别,对于无法判别的可疑流量则通过KD树算法实现细粒度流量检测,从而在进行高效检测的同时保障检测精度。（3）针对SDN分布式跨域网络数据不均衡,各子网因隐私安全顾虑形成数据孤岛,因而无法提升本地流量检测性能的问题,提出一种基于轻量化联邦学习的SDN异常流量跨域协作检测方法。利用联邦学习机制将初始的CNN模型部署至各子网;然后各子网控制器对模型进行训练与压缩;再由全局控制器对各模型参数进行聚合与分发,各子网控制器根据接收到的参数来更新本地模型。直到全局模型达到收敛条件时,各子网控制器利用最新模型对网络流量进行检测。这样各子网无需上传隐私数据即可共享各地数据效益,在保护各子网隐私数据的同时提高流量检测性能。此外通过模型压缩来缓解网络通信压力,且提升了CNN模型检测效率。（4）针对SDN网络规模扩大,网络攻击复杂多样,SDN本地数据情报与计算资源无法满足各类攻击精准识别与可靠防御的需求问题,提出基于云边协同与属性签密的SDN异常流量跨域安全检测方案。首先构建了SDN云边协同安全检测架构,根据检测架构提出了基于属性签密的边缘控制器与云端全局控制器的数据安全可靠共享机制。并设计了SDN云边协同分层检测方法,利用正常流量数据与攻击流量数据的差异度来选择有效特征,然后在边缘控制器部署朴素贝叶斯与反向传播神经网络的联合模型来有效区分网络中正常流量与恶意流量,再由全局控制器中的集成深度学习模型检测恶意流量的攻击类型,最后边缘控制器可以依据攻击类型信息采取不同的攻击缓解措施,从而维护网络的安全稳定。