本文提出了一种基于溯源图的检测框架 PROVGUARD，用于识别软件定义网络（SDN）中的控制策略操纵（CPM）攻击。SDN 通过将控制平面与数据平面解耦提升了网络灵活性，但逻辑集中的控制平面易受 CPM 攻击，攻击者通过操纵控制器的网络视图引入错误策略。现有异常检测和配置验证方法因仅关注数据平面而存在局限性，某些隐蔽的 CPM 攻击若不分析控制器决策的因果关系则难以与正常行为区分。PROVGUARD 通过监控控制器活动来检测 CPM 攻击，利用静态分析识别与数据平面相关的控制器操作并指导控制器插桩，从捕获的控制平面活动构建溯源图。该框架通过减少冗余并提取溯源图中的路径作为上下文，以捕获简洁且长期的特征。基于序列到序列预测模型，通过识别导致预测误差超出正常范围的路径来标记可疑行为。作者在 Floodlight 控制器上实现了原型，实验证明该方法成功识别了先前方法无法完全处理的四种典型 CPM 攻击，并为攻击行为调查提供了有价值的见解。