近年来,网络在人们的日常生活中发挥着越发重要的作用,而网络中存在的DoS、DDoS等大量网络恶意攻击行为对人们的生活,乃至国家的经济、军事、国土安全等方面造成巨大影响,网络安全事件检测技术已成为一个重要的研究课题。软件定义网络(Software Defined Network,SDN)的出现,为网络安全提供了新的机遇。SDN体系结构将控制层和转发设备进行分离,能够对整个网络进行集中控制。本文通过研究传统网络的安全检测技术存在的问题以及正常网络和存在攻击时的网络数据流的一些特点,充分利用SDN全网视角的审视优势,提出了两种面向SDN网络架构的安全事件检测方法。(1)基于相对熵的SDN网络安全异常检测方法。传统网络获取统计信息的方法缺少全局控制,无法灵活应对网络拓扑结构实时更新,而且统计检测方法中大多使用香农熵或分类算法,没有考虑不同时刻的流量变化情况,计算量较大。本文主要针对这一问题,从流量的统计特征角度,利用SDN控制器的全网视角优势,提出了一种基于指数平滑的相对熵统计方法。该方法结合三次指数平滑预测模型,通过控制器实时获取OpenFlow交换机的流表信息,对每个交换机的测度模型选择不同尺度进行预测,根据相对熵公式实时计算每个时间窗口的相对熵值,并根据3?准则判断是否存在异常攻击。对比实验表明,采用相对熵理论进行网络异常检测,有效地提高了检测率。(2)基于选择性采样的SDN网络安全误用检测方法。网络安全事件并不一定会引起网络流量特征的变化,需要进一步对数据内容匹配进行检测。本文从误用检测技术角度出发,以Snort作为入侵检测系统底层实现。传统网络节点间相互独立,所有的网络支路都在其每个出口和入口确保部署入侵检测系统,成本高,容易出错。另外,超负载的情况下,Snort会随意丢包,造成大量的漏报情况。本文主要针对这一问题,结合SDN控制器的全网视角,提出一种基于SDN网络的选择性采样方法,根据Snort检测系统的负载情况,实时下发采样规则,选择性采集数据包发送给Snort进行误用检测。同时,SDN控制器根据异常流量的五元组信息及时修改流表项信息,将异常流量进行快速隔离。对比实验表明,该检测方法在负载较大的情况下,有效地降低了漏报率,且该检测方法具备良好的灵活性和可扩展性。