1.一種基于NCS-SVM的LDoS攻擊檢測方法，其特征在于，所述LDoS攻擊檢測方法包括以下幾個步驟：

步驟1、采樣數據：實時獲取路由器上的TCP流量，對單位時間內所有的TCP流量進行采樣，得到樣本原始值；

步驟2、處理數據：基于逆向云生成器，獲得單位時間內TCP流量對應的正態云模型；

步驟3、分析數據：根據預先生成的基準云模型，分析計算該單位時間內TCP流量對應的正態云模型與基準云模型之間的相似度；

步驟4、判定檢測：使用預先訓練的支持向量機對該單位時間內的TCP流量對應的正態云模型與基準云模型之間的相似度進行檢測，若支持向量機分類結果為1，判定為該單位時間內TCP流量對應的網絡受到LDoS攻擊；

步驟1中對路由器上的TCP流量，以固定取樣時間獲取單位時間內所有TCP流量，形成樣本原始值；

步驟2中根據步驟1獲取的樣本原始值，使用逆向云生成器，計算獲得樣本對應的正態云模型，計算獲得單位時間內的正態云模型是將該單位時間內的TCP流量映射到云空間中，從而將定量的數值轉換為定性概念，以度量兩個單位時間內的TCP流量的相似度，包括兩個步驟：

步驟2.1、使用逆向云生成器，挑選無攻擊的TCP流量，計算該單位時間內TCP流量對應的正態云模型，稱為基準云模型；

步驟2.2、使用逆向云生成器，計算待檢測樣本數據單位時間內TCP流量對應的正態云模型；

所述正態云模型的三個數字特征為：期望Ex、熵En和超熵He，其中，Ex＝V；V為樣本的均值，M₁為樣本的一階矩，M₂為樣本的二階矩；

步驟3中根據步驟2中計算獲得的該單位時間內正態云模型與基準云模型，分析計算該單位時間內云模型相似度，經過計算分析，單位時間內沒有受到LDoS攻擊時，正常TCP流量對應的正態云模型與基準云模型之間的相似度幾乎為1，而受到LDoS攻擊時，TCP流量對應的正態云模型與基準云模型之間的相似度遠小于1；步驟4中根據步驟3中計算獲得的該單位時間內正態云模型與基準云模型之間的相似度，對該單位時間內的TCP流量進行判定檢測，步驟為：將均值輸入預先訓練的支持向量機，根據支持向量機的分類結果判斷是否受到了LDoS攻擊，若分類結果為1，判定該單位時間內的TCP流量對應的網絡受到了LDoS攻擊，若分類結果為0，判定該單位時間內的TCP流量中沒有受到LDoS攻擊；

在計算相似度的過程中，使用基于期望曲線的正態云模型相似度算法來定量度量云模型之間的相似度，兩個云模型對應的期望曲線之間的重合面積代表兩個云模型之間的相似度；

所述正態云模型的期望曲線的表達式為：

所述相似度的表達式為：

其中，C₁表示正態云模型，C₂表示基準云模型，S表示期望曲線之間的相交面積；

支持向量機由訓練樣本集完成訓練，訓練樣本集中包含正常流量和受到LDoS攻擊的流量以及對應的分類號。