本申请公开了一种DDoS攻击检测方法、装置及设备，能够通过过滤掉一对一和一对多流量，只留下多对一数据包，减少检测过程的资源消耗和时间消耗，并且利用提取出的特征值对目标网络流进行检测，也进一步提高了检测结果的准确度。该方法包括：首先获取目标网络流，并对目标网络流进行过滤，得到过滤后的目标网络流；其中，过滤后的目标网络流为多个源IP地址对应一个目标IP地址的多对一网络流，然后，对过滤后的目标网络流进行特征提取，得到四个特征值；其中，四个特征值表征了当前网络异常行为，接着，可以对这四个特征值进行融合处理，得到融合特征值；并利用融合特征值对网络异常行为进行分类，以根据分类结果确定DDoS攻击检测结果。