SDN网络具有集中控制与开放的可编程接口的特点,在控制调度和网络应用的部署方面具有很大优势。但是,在SDN环境下的攻击会同时影响到目标主机和控制器,进而,给正常通信带来严重影响。因此,研究在SDN环境下部署安全检测技术是很有必要的。已有的检测机制存在预判性不足,攻击信息获取针对性不足等缺陷。针对此问题,本文提出了一种SDN环境下的DDoS攻击检测机制。该机制利用SDN控制器的全局视角进行访问状态预判,进而分别利用流表特征和深度包解析方法获取攻击信息,结合攻击特点在不同位置获取特定攻击特征。并通过基于XGBoost和多元相关统计分析算法构建的检测模型对攻击特征进行分类检测。本文对整体检测机制中涉及的网络访问状态监控及检测机制、基于流表特征及基于协议划分及深度包解析的DDoS攻击检测机制、DDoS攻击检测模型分别进行了设计与实现。首先,通过对Opendaylight控制器的二次开发,设计并实现了网络访问状态监控及检测机制,执行攻击预判和流量镜像,触发下一机制。其次,分别针对大流量洪水攻击和有协议特点的攻击,并结合SDN网络可编程的特点,设计并实现了两种攻击检测机制:基于流表特征的攻击检测机制利用OpenFlow的统计特性执行攻击检测;基于深度包解析的攻击检测机制通过SDN控制器执行端口流量镜像,以旁路侦听的方式执行攻击检测。最后,为了进行有效的攻击分类,利用XGBoost算法和多元相关统计分析技术构建出两种攻击分类模型:PTXT模型通过对不同协议类型的攻击单独的训练和检测来提高检测能力;XTMCA模型通过结合有监督的学习和基于阈值的二次过滤加强对未知攻击的检测能力。为验证所提机制的有效性,本文通过利用Mininet搭建模拟环境和公开数据集的方式对机制进行了验证,验证结果表明,本文所提的SDN环境下DDoS攻击检测机制达到了论文预期目标,可有效检测出攻击,构建的模型在检测率等指标也优于已有方法。