本发明公开了一种工控环境下的DDoS攻击检测方法，该方法通过更改搜索算法的数据结构对KNN进行改进，建立KD树的方法能在索引阶段避免大量无效数据的查询，为了进一步减少搜索KD树中K近邻所需的回溯次数，提供一个优先级队列，存储二分查找错过的节点，按照各节点所在的超平面到待查询点的距离由小到大进行排序，直到队列为空算法结束；同时设立一个时间限制，如果算法运行时间超过该限制，不管是不是为空，一律停止运行，返回当前的最近邻点作为结果。本发明有效减少了索引量提高了搜索效率，提高了DDoS攻击流量检测的检测率、正确率与精确率，并降低检测过程中导致的误报率和分类效率。