本发明公开了一种深度追踪团伙攻击行为的AI检测方法和装置，此方法包括：从网络访问日志中提取各用户IP的第一信息、第二信息和第三信息；基于第一信息获取各用户IP的第一统计特征，基于第一统计特征对用户IP进行主题聚类，获得分别对应不同主题的大簇；基于第二信息获取各用户IP的第二统计特征，基于第二统计特征对每个大簇中的用户IP进行行为聚类，获得分别对应不同行为的多个小簇；基于第三信息获取各小簇的第三统计特征；当小簇的第三统计特征与团伙攻击行为模型的攻击特征匹配时，确定该小簇中的各用户IP存在团伙攻击行为。本发明提高了检测团伙攻击行为的准确率。