本发明公开了一种DDoS攻击检测方法包括：获取多个采样间隔对应的IP流平均长度，获取各个采样间隔对应的IP包流入流出比增长速率，以及获取各个采样间隔对应的源IP地址熵；将IP流平均长度、IP包流入流出比增长速率以及源IP地址熵，作为一个样本特征向量，获得训练样本集；将样本特征向量输入预训练的分类模型进行模型训练，获得分类结果；若训练结果包括异常流量，则判定异常流量对应的样本特征向量为分布式拒绝服务DDoS攻击流量。本发明还公开了一种DDoS攻击检测装置、设备及计算机程序产品。本发明通过采用与流量大小不相关的样本特征向量作为训练数据，能够避免流量大小的变化对检测结果影响，进而降低对检测结果的误判，提高了DDoS攻击检测的准确率。