软件定义网络（SDN）因其集中控制架构而面临分布式拒绝服务（DDoS）攻击的严重威胁，特别是地毯式轰炸（Carpet-Bombing）DDoS攻击，这种攻击将恶意流量分散到多个目标以逃避传统检测机制。本文提出了一种基于检索增强生成（RAG）的框架，用于在SDN环境中实时检测和缓解此类攻击。该框架结合了接口级流量特征表示、语义嵌入生成、基于FAISS的相似性检索以及大语言模型（LLM）驱动的上下文推理，无需传统的监督模型训练或重训练即可对流量行为进行分类。为评估框架有效性，作者在多种地毯式轰炸DDoS攻击场景下进行了大量实验，涵盖不同攻击强度。同时，研究了两种流量表示策略：基于JSON的结构化表示和基于自然语言的表示（NLR），并使用了多个最先进的LLM。实验结果表明，该框架实现了高准确率和稳定的攻击检测性能，其中使用Gemma-4-31B-IT模型的配置取得了最强的整体检测效果。实时实验验证了该框架能够快速检测并缓解地毯式轰炸DDoS攻击，同时保持SDN网络稳定运行。研究成果凸显了将RAG机制与LLM相结合用于智能自适应SDN安全分析的有效性。

本文提出了一种基于溯源图的检测框架 PROVGUARD，用于识别软件定义网络（SDN）中的控制策略操纵（CPM）攻击。SDN 通过将控制平面与数据平面解耦提升了网络灵活性，但逻辑集中的控制平面易受 CPM 攻击，攻击者通过操纵控制器的网络视图引入错误策略。现有异常检测和配置验证方法因仅关注数据平面而存在局限性，某些隐蔽的 CPM 攻击若不分析控制器决策的因果关系则难以与正常行为区分。PROVGUARD 通过监控控制器活动来检测 CPM 攻击，利用静态分析识别与数据平面相关的控制器操作并指导控制器插桩，从捕获的控制平面活动构建溯源图。该框架通过减少冗余并提取溯源图中的路径作为上下文，以捕获简洁且长期的特征。基于序列到序列预测模型，通过识别导致预测误差超出正常范围的路径来标记可疑行为。作者在 Floodlight 控制器上实现了原型，实验证明该方法成功识别了先前方法无法完全处理的四种典型 CPM 攻击，并为攻击行为调查提供了有价值的见解。