互联网的高速发展为人们生活带来便利的同时,也面临着严峻的安全问题,高效准确识别异常网络流量是网络安全问题研究的焦点。软件定义网络(Software Defined Network,SDN)作为一种新型网络架构,它实现了转发控制分离、具有可编程性和高度的灵活性,为网络异常流量检测提供了新的方法和手段。本文首先重点介绍了异常流量检测基本原理,接着对网络异常流量检测算法以及面向SDN的网络异常检测机制做了归纳总结,并分析了各类算法的优缺点。针对SDN下的网络异常检测,本文分别从两个维度研究,一是异常检测的精准性,二是异常检测的实时性。具体工作如下:第一,本文提出了一种组合机器学习算法,将K-means算法和孤立森林算法结合用于网络异常流量检测。首先采用孤立森林算法将流量粗粒度分类为正常和异常,再结合优化后的K-means聚类算法,进一步把异常数据分类为细粒度类别。最后基于真实数据集KDD CUP99进行模拟仿真,为了提高算法的准确率和性能,本文提出熵值选择法筛选特征,并通过与其他机器学习算法做对比,证明了本文提出的算法的优越性。第二,针对网络异常流量检测的实时性要求,本文提出了基于时间序列图的频繁模式挖掘算法,将提取的流量数据抽象为子图形式,以30秒为时间周期构建出时间序列图,通过项集支持度的计算为每个子图赋予异常系数。最后基于Mininet平台搭建网络拓扑,使用Scapy发包工具模拟正常流量和异常流量,验证了方法的可行性和有效性。