本发明提供一种基于深度森林的分布式反射拒绝服务攻击检测、防御方法，检测方法包括：对正常网络流进行采样，获取风险服务的数据包信息，数据包信息包括源IP地址、目的IP地址、源端口、目的端口及数据包的应用层载荷；根据数据包信息分别计算：Cq、Vq、Pq、Cr、Vr及Pr，并将Cq、Vq、Pq、Cr、Vr及Pr整合为六元组特征，采集一定时间段内的六元组特征作为正常样本；通过模拟分布式反射拒绝服务攻击，对攻击网络流进行采样，获取攻击网络流中的六元组特征作为异常样本；采用正常样本和异常样本组合成的训练集，进行深度森林模型训练，得到检测模型；采用检测模型进行DRDoS攻击。本发明提高了在大数据环境下的DRDoS攻击检测的有效性、效率和准确率。