随着软件定义网络技术（Software Defined Networking,SDN）的不断发展,SDN存在的安全问题也越发突出,SDN的安全问题已经成为SDN领域中的重点问题。SDN作为一种新型的网络结构,它的技术核心是实现了网络设备的控制部分与数据部分分离,能够对网络进行更灵活的控制。SDN可编程的思想为异常流量检测提供了新的方法和手段,目前在SDN网络中有很多异常检测的架构,本文提出了一种工业SDN网络安全网关系统,可以灵活地检测网络中的攻击。安全网关由一个路由器和一个处理器组成,具有重要且独特的保护作用,它可以防止外网中不安全因素侵入到内部网络。但是由于传统以太网和SDN网络的区别,传统的安全网关系统不能直接移植到SDN网络中。SDN网络中的安全网关系统设计也成为了所需要面临的主要难题。为了解决这一问题,很多研究在SDN的三个网络架构层面提出了各种各样的异常流量检测架构,以此来确保SDN网络的安全性和可靠性。本文在此基础上提出了一种SDN安全网关检测系统,本文首先重点介绍了异常流量检测基本原理,然后对目前已有的网络异常流量检测算法以及面向SDN的网络异常检测机制简单做了归纳总结,并分析了各类算法的优缺点。针对SDN下的异常流量检测,本文分别从以下两个维度展开研究,一是SDN异常检测算法的研究,二是SDN安全网关检测系统的设计和实现。现有的异常检测算法的算法实时响应大多较缓慢,针对异常流量检测的实时性要求,考虑到提升算法时间性能,传统近似最近邻算法计算最小距离耗费大量时间,近似最近邻找到的向量不要求一定是准确的最近邻,但减小了算法的时间消耗,于是本文从近似最近邻算法入手研究异常检测算法。本文运用设计的异常检测算法,设计了一种基于特征检测的SDN安全网关检测系统,该系统作为一种灵活的安全系统,能够及时有效地捕获网络中的流量数据并进行检测分析,及时向用户反馈网络中异常流量的活动。在此基础上设计并搭建了模拟的工业SDN网络环境并进行了系统功能性测试。实验表明本文提出的系统能有效地检测网络中异常流量并根据特点向用户进行反馈,积极响应网络中存在的异常流量,从而防御和保护系统资源。异常检测算法部分的工作具体如下:1.本文提出了一种运用近似最近邻的算法,将近似最近邻的思想运用于网络异常流量检测,利用近似最近邻算法对流量进行分类。然后基于真实数据集KDD CUP99和CIC-IDS-2017进行实验,与其他的检测算法进行对比,验证算法的有效性。2.利用模拟搭建的工业SDN网络中的攻击数据集进行实验,验证算法的可行性。安全网关检测系统的设计部分工作具体如下:1.将传统网络的流量特征统计方法改编到工业网络中。将从SDN控制器上获取到的数据基于该统计方法提取出所需要的特征信息,构建出8维特征向量。2.检测部分利用优化后的近似最近邻检测算法进行流量检测。3.设计并实现实时检测效果展示,将检测的结果实时的展示出来。