本发明公开了一种基于相似程度的慢速DoS攻击检测与缓解方法，属于网络安全领域。其中所述方法包括：该方法通过控制器采集聚合流量数据，结合动态阈值判断网络状态是否异常；若网络状态异常，则收集流量的六个特征，将其输入机器学习分类器，从而判断是否发生慢速DoS攻击；若发生了攻击，则实时计算每条流量序列与聚合流量序列的三个范数，并对每个IP的可疑程度打分，若某个IP的可疑得分超过了预设阈值，则判定其为攻击源，予以阻断。该方法能够实际部署在SDN控制器上，实现对慢速DoS攻击的实时检测与缓解，检测准确率较高，且误报率和漏报率低，因此该方法可普适于检测与缓解SDN中的慢速DoS攻击。