软件定义网络(software-defined networking,SDN)的出现完全颠覆了传统网络操纵数据流的控制方式,其解耦数据平面与控制平面的理念完美弥补了传统网络在大数据冲击下所凸显的架构局限。但随着SDN的发展和普及,SDN集中控制特性所存在的安全隐患也逐渐暴露,现有的一些网络安全技术(如入侵检测系统、入侵防御系统)并不总是有效的,攻击者可通过伪造恶意数据包、利用OpenFlow协议漏洞等多种技术手段发动攻击,通过劫持或感染SDN控制器来获得控制整个网络的最高权限。因此,当网络出现异常或遭受攻击时,能够实现事后追踪、快速定位攻击源是解决此类攻击的有效途径之一,也是加强SDN架构安全亟待解决的问题之一。本文在分析SDN体系结构和数据标记相关技术的基础上,从融合不同安全机制的角度出发,设计了一种基于数据包标记的SDN溯源系统,主要工作和成果如下:(1)针对SDN网络安全机制的不足,在分析SDN技术特性的基础上,提出了一种适用于SDN网络的全方位的溯源系统框架,主要由流量检测、溯源和决策三大安全组件构成。(2)在分析OpenvSwitch交换机工作流程的基础上,通过修改源码添加了标记和存储功能,并结合路径重构算法,从数据平面提出了一种溯源组件的具体实现方法。(3)在分析Ryu二层交换机应用和编程模型的基础上,开发了基于Ryu控制器的标记应用,并结合路径重构算法,从控制平面提出了一种溯源组件的具体实现方法。(4)从架构设计和实验性能两个方面分析了两种溯源组件实现存在的差异,并具体描述了溯源组件在Debugger和网络行为分析场景下的具体应用。