软件定义网络（Software Defined Networking,SDN）是在传统网络模式的基础上提出的一种新的网络架构。传统网络中的硬件设备是将控制与转发集中在了一起,而SDN的核心思想是将控制权限从转发设备中进行剥离,转发设备只关注数据包的转发,被剥离的控制权限上移至控制器中,由控制器对分布式的网络进行统一的管理,并且控制器又对外开放北向接口,网络开发人员可以通过编程的方式对SDN网络进行动态配置,使网络变得更加智能,但也正是因为如此,SDN网络面临着更多的安全风险。在集中控制方面,攻击者可以通过攻击控制器使得网络服务出现大面积瘫痪,如DDoS攻击;在可编程方面,攻击者可以通过开放的北向接口对网络进行监听从而窃取信息,如在SDN应用层中植入恶意软件。这里的“窃取信息”和DDoS攻击都属于恶意流量,而流量的正确分类可以达到恶意流量检测的目的,因此,SDN网络的流量分类是当前的热门研究领域。随着OpenFlow协议的发布与迭代,SDN网络迈向了规范化,吸引了更多的网络开发者,推动了其进一步的发展。在早期的SDN网络中,流量的分类一般是基于To S字段,通过对该字段的解析可以获得数据包对应的服务类型,但这种方式识别准确率较低且难以应对现如今越来越复杂的网络流量。本文从SDN网络的安全性着手,主要研究了SDN网络中恶意软件流量的分类检测和DDoS攻击检测与防御,主要的工作内容如下:（1）针对SDN网络中的恶意软件流量分类检测问题,本文将孪生神经网络与恶意流量检测相结合,从相似度对比着手提出了一种在线的实时流量分类检测方法。该方法依据了孪生神经网络的特性,将流量数据集转化为灰度图像样本后再通过比较图像间的相似程度达到分类的目的。该方法在取得良好的检测准确率前提下,又依据孪生神经网络的另一特性,对样本不均衡的分类问题也提出了一种解决方案,因此该方法适用于真实的网络环境中。未来可在SDN网络的应用层中部署相关模块,通过北向接口实时的将捕获到的流量数据传输到应用层的各个模块中,由对应的模块完成相应的功能,从而实现流量的分类检测。（2）针对SDN网络中的DDoS攻击检测与防御问题,提出了一种基于SVM的DDoS攻击检测与防御的方法。本文在前人的研究基础上通过多次对比实验,从众多的特征值中筛选出了“最佳”的五元组特征,以较少的特征数量达到了良好的检测效果。同时还加入了一个异常检测模块,该模块利用控制器单位时间内的负载值增量来预判断当前的网络状态,当异常检测模块认为当前网络为异常时才会去执行最终的攻击检测模块。此模块的加入降低了整个检测与防御过程中的CPU占用率。