本发明公开了一种基于FF协议的攻击检测方法，属于信息安全技术领域。其包括以下步骤：部署设置有FF协议的防火墙，并通过防火墙的网络监听模块接收含有FF协议的数据包，同时利用预处理模块进行含有FF协议的数据包的检查，检查后的数据包送入规则检测流量模块；部署管理平台，设置规则检测流量模块并将流量规则下发至访问设备，其中规则检测流量模块用于放行或阻断流量规则所定义的流量；部署自学习检测流量模块，其中自学习检测流量模块用于实现阻断不合法的FF协议的流量数据。创造性引入数据包的预处理、规则检测的处理及自学习检测的处理，并利用自学习检测流量模块的配准识别优化算法，检测流量中的攻击行为，实现非白名单的阻断。