本发明公开一种基于时空特征与双层注意力的加密恶意流量检测方法，收集网卡节点处的原始流量，通过双层注意力机制结合时空特征对，采用端对端方法，直接输入原始加密流量，提取加密恶意特征，从而检测加密恶意流量，该过程包括：加密流量的提取与预处理、数据包内恶意特征提取层、数据流内恶意特征提取层。通过卷积神经网络提取数据包内空间特征，再基于数据包字段的注意力机制层提取包内重要恶意特征，通过循环神经网络提取数据流间的时间特征，再通过基于流中数据包的注意力机制层提取数据流中的重要恶意特征进行加密恶意流量检测模型的构建。本发明通过基于时空特征与双层注意力的加密恶意流量检测方法，结合时间空间特征，并且通过在数据包层面和数据流层面设置双层注意力机制，在多个层次上提取数据包和数据流中的恶意特征，能够有效检测加密恶意流量，提高了检测准确率。