En los últimos años, han surgido varios ataques de red. Estos ataques suelen registrarse en forma de datos Pcap, que contienen muchos detalles y características de los ataques que no se pueden analizar solo a través de métodos tradicionales. Por lo tanto, restaurar el escenario de ataque de red mediante la reconstrucción de escenas para lograr la regeneración de datos se ha convertido en un punto de entrada importante para detectar y defenderse contra los ataques de red. Sin embargo, los escenarios actuales de ataque de red reproducen principalmente los pasos de ataque del agresor mediante la construcción de una colección de secuencias de escenarios de ataque, la construcción de un diagrama de comportamiento de ataque o simplemente reproduciendo el tráfico de red capturado. Estos métodos aún tienen deficiencias en cuanto a la regeneración del tráfico. Para abordar esta limitación, este artículo propone un método de recuperación de escenarios de ataque de red basado en SDN. Al analizar los datos Pcap y utilizar la reconstrucción de la topología de red, la probabilidad y los modelos de secuencia de paquetes, se pueden regenerar los datos de tráfico de red. Los resultados experimentales muestran que el método propuesto se acerca más a la red real, con una mayor similitud entre los escenarios de ataque reconstruidos y reales. Además, este método permite ajustar la intensidad del ataque de red y los nodos de topología generados, lo que ayuda a los defensores de red a comprender mejor la postura de los atacantes y analizar y formular estrategias de seguridad correspondientes.