本发明提供一种分布式拒绝服务攻击检测方法及装置，检测方法包括以下步骤：采集攻击开始前至攻击结束时的网络流数据信息，网络流数据信息包括数据包的时间、源IP地址、目的IP地址及目的端口；分别从网络流数据信息中提取网络流的“多对一”与“一对一”部分的源IP地址与目的端口的加权统计量和网络流中单向流的“多对一”部分的流量统计信息；将第一特征和第二特征整合为二元组合特征，并获取二元组合特征的时间序列样本；对时间序列样本进行采样，生成特征训练集；使用特征训练集训练随机森林分类器，得到DDoS攻击检测模型；采用DDoS攻击检测模型进行DDoS攻击检测。本发明提高了在大数据环境下DDoS攻击检测的准确率，降低了误报率和漏报率。