软件定义网络（Software-Defined Networking,SDN）为新型网络体系结构的发展提供了方向,成为当前网络领域最热门和最具发展前途的技术之一。SDN数据平面与控制平面解耦的架构在简化了网络管理方式的同时也带来了新的安全威胁,并且随着软件交换机的广泛应用与网络规模的逐步扩大逐渐暴露在人们的视野中。数据平面转发设备作为策略执行的单元,其管理权限不应被任何非授权的网络实体窃取。然而,在经济技术全球化背景下,开放式产业生态环境使得SDN的各类软硬件设备极易被“毒化污染”,基于已知/未知漏洞、后门的网络攻击致使SDN面临严峻的安全挑战,SDN中所有转发设备都是可信赖的这一假设并不成立。数据平面的可靠性是SDN网络功能实现的前提,数据平面的异常行为会篡改数据流的传输路径,误导控制器的决策产生,严重影响网络的安全性。当前,围绕SDN数据平面异常行为,现有解决方案分别从主动探测、被动分析、设备冗余等层面展开研究,但这些工作因为缺乏全面且细致的考虑,在设计异常检测方案时容易忽视攻击者精心设计的攻击所导致的攻击逃逸。以确保数据平面可靠性为研究目标,本文针对SDN数据平面异常行为及相关检测方法展开研究,从异常交换机存在场景下的SDN数据平面安全性质验证、边缘交换机异常行为及检测方法、核心交换机异常行为及检测方法三个方向进行切入,致力于提高SDN数据平面整体安全性。其中SDN数据平面安全性质验证方法为其它检测方法提供了有效的形式化认证手段,边缘交换机异常检测方法与核心交换机异常检测方法彼此交互又互为表里,共同检测数据平面所有转发设备的异常。本文的主要工作和贡献概括如下:（1）SDN数据平面安全性质验证:针对形式化描述模型对转发设备的功能抽象不够完备的问题,提出了新的数据平面转发设备模型与主机模型,同时对控制平面与攻击者进行功能抽象,在模型检测工具（Process Analysis Toolkit,PAT）中实例化了模型系统。随后对基于转发路径探测的异常检测方法与基于统计信息一致性分析的异常检测方法的原理进行分析,通过在实例化模型系统中设置断言验证两种方法在不同场景下的有效性,发现了两种方法的共同漏洞。最后,对漏洞产生原因进行分析,提出了边缘交换机异常检测方法,在PAT中验证了方法原理的可行性后对方法进行仿真评估,评估结果表明检测方法可以实现对漏洞的有效检测。（2）边缘交换机异常行为及检测方法:针对与数据平面边缘交换机受损时的异常行为及其影响相关的研究不够完备这一问题,首先正式提出了存在一种边缘交换机被攻击者劫持后发起的数据窃取攻击,并且由于边缘交换机的特殊位置,不论拓扑如何变化,目标数据流会被合法的路由至攻击者设置的终端主机。随后,对这种攻击的隐蔽性进行了证明,攻击不会在网络范围内产生不一致,进而可以逃避在网络范围内的异常检测方法。为了抵御此种攻击提出了一种基于流信息一致性的检测方法,将主机信息纳入一致性检测中检测异常。最后对所提方法进行仿真,仿真结果表明本方法在检测异常的同时仅增加了微量的CPU、内存与时间负载（小于1%,1%,2%）。（3）核心交换机异常行为及检测方法:针对受损交换机伪造统计信息误导控制器决策这一问题,首先正式提出错误的统计信息会影响基于统计信息一致性分析的异常检测方法的准确性,并结合实例进行说明。之后,对交换机统计信息不可信场景下数据平面统计信息间的一致性变化进行分析,结合动态路由的技术,提出一种基于路由路径变化的异常交换机定位方法,通过改变路由路径,对异常链路集进行多次筛选定位异常交换机。最后对所提方法进行了仿真评估,仿真结果表明所提方法在网络中仅存在少量受损交换机时即使统计信息不可信也可以准确定位受损交换机。