随着软件定义网络（Software-Defined Networking, SDN）和物联网（Internet of Things, IoT）技术的快速融合，现代网络架构在灵活性、可扩展性和集中管理方面取得了显著进展。然而，这种融合也带来了新的安全挑战。SDN通过分离控制平面与数据平面实现动态可编程的网络配置，而物联网则连接了数百亿异构设备并产生海量数据流量，二者的结合使得网络环境更加复杂和脆弱。传统的入侵检测系统（Intrusion Detection System, IDS）往往难以应对SDN-IoT动态异构环境的特殊需求，尤其是在攻击多样性和实时性要求方面存在明显不足。

尽管深度学习（Deep Learning, DL）技术已广泛应用于网络异常检测，并通过其强大的模式识别能力显著提升了检测精度，但其性能高度依赖于训练数据的质量和代表性。目前公开的IDS数据集，如BoT-IoT、ToN-IoT和InSDN，虽被广泛使用，但它们或未充分涵盖SDN-IoT架构特性，或存在类别不平衡、缺乏现实流量模拟等问题，限制了模型在实际场景中的泛化能力。

为此，研究人员开展了一项针对SDN-IoT环境的新型IDS数据集的构建与评估工作，并系统对比了该数据集与现有基准在多种深度学习模型上的表现。该研究旨在填补现有数据集的空白，为SDN-IoT网络提供更准确、更可靠的入侵检测解决方案。相关成果已发表在《Measurement: Digitalization》上。

为开展本研究，作者主要采用了以下关键技术方法：首先，利用多种开源攻击工具（如HOIC、LOIC、Metasploit、Nmap、Hping3）在Mininet-WiFi模拟环境中生成包括DDoS/DoS、探测（Probe）和Web攻击（如暴力破解BFA）在内的多种网络攻击流量，并通过Wireshark捕获数据包；其次，使用CICFlowMeter从原始PCAP文件中提取83维流特征，并进行数据清洗、去重和归一化处理；最后，采用分层抽样从大规模数据集中提取约86万条记录，按7:2:1的比例划分训练集、测试集和验证集，确保类别平衡。

在研究结果部分，作者通过多个维度展示了实验发现：

3.1. 攻击类型分析

研究人员首先系统分析了影响SDN网络的攻击类型及其可检测性，将攻击分为七大类，包括DDoS、DoS、探测攻击、Web攻击、恶意软件、远程到本地（R2L）和用户到根（U2R）攻击。最终确定仅包含网络层面可检测的攻击类型（如DDoS、DoS、Probe和Web攻击），以确保数据集的实用性和可操作性。

3.2. 攻击类型分析

通过多种工具模拟攻击行为，生成多样化攻击流量，并使用Wireshark记录和存储为PCAP文件，为后续特征提取和模型训练提供数据基础。

3.3. 数据集创建

共捕获约4亿个数据包，涵盖DDoS/DoS、Probe和BFA等攻击类型，最终生成包含85.9万条流记录的数据集，规模约430MB，每类攻击均经过人工标注以确保准确性。

3.4. 特征提取与归一化

利用CICFlowMeter提取83个特征，经过数据清洗、去重、缺失值处理和min-max归一化，将原始流量数据转换为适用于模型训练的结构化数据。

3.5. 数据集性能比较

为评估所提出数据集的质量，研究人员选取InSDN、ToN-IoT和BoT-IoT作为基准数据集，通过多种机器学习与深度学习模型进行性能对比。

3.6. 数据集划分

采用分层抽样从大规模数据中提取子集，并按7:2:1的比例划分训练、测试和验证集，确保数据分布均衡。

4. 基于深度学习的入侵检测模型

研究选用了CNN、LSTM、RNN和DNN四种深度学习模型，通过实验验证其在各数据集上的表现。模型均采用Adam优化器、分类交叉熵损失函数，配合L2正则化防止过拟合。

5. 统计指标

使用准确率、精确率、召回率、F1分数等指标评估模型性能，并采用多类混淆矩阵和加权交叉熵损失函数进行综合分析。

6. 结果

实验显示，SDN-IoT数据集在所有模型上均表现最佳，DNN和LSTM准确率分别达到98.48%和96.65%，而其他数据集因类别不平衡导致性能波动较大。实时检测实验中，SDN-IoT数据集在300个数据包测试中仍保持高置信度（≥0.98）和低延迟（9–16毫秒），显著优于其他数据集。

7. 实时检测性能评估

通过真实流量测试进一步验证了SDN-IoT数据集的实用性。所有模型在该数据集上均表现出色，检测延迟低于17毫秒，满足实时性要求。而在ToN-IoT和BoT-IoT数据集上，模型表现不稳定，存在大量误检和低置信度预测。

8. 结论

本研究提出的SDN-IoT数据集在类别平衡性、攻击多样性和模型泛化能力方面均优于现有基准数据集。其能够有效支持高精度、低延迟的入侵检测，特别适用于SDN-IoT混合环境。该数据集为未来智能安全系统的开发提供了重要基础，同时也凸显出现有公开数据集在现实场景中的局限性。

综上所述，这项研究不仅填补了SDN-IoT领域高质量数据集的空白，还为深度学习在入侵检测中的应用提供了新的实践路径，对推动网络安全管理向智能化、自适应化方向发展具有重要意义。