本发明提供了一种基于网络安全恶意行为知识库的网络攻击检测装置和方法。该装置包括：图谱构建模块根据预设网络安全的实体和实体间关系，基于原始数据构建包括流量行为知识图谱、恶意行为特征图谱、实体行为感知图谱和恶意行为溯源图谱的网络安全恶意行为知识库；数据收集模块收集多源异构网络安全数据，提取DDoS攻击流特征；行为推理模块基于网络安全恶意行为知识库进行感知和推理，获取DDoS攻击相关信息；知识反馈模块将DDoS攻击相关信息反馈给后续的检测处理过程。本发明装置能够自动完成网络安全恶意行为知识库的知识收集、构建、推理、反馈以及分布式传输过程，安全性高和可扩展性强，从而有效地利用网络安全恶意行为知识库进行DDoS攻击检测。