本申请公开了一种攻击检测方法，包括：获取目标主机的加密流量；对加密流量进行行为特征提取，获得流量行为特征；其中，流量行为特征包括流量包数量和/或流量包大小和/或流量包时间；基于历史流量行为特征对流量行为特征进行极值差异评估，得到评估值；其中，历史流量行为特征的时间长度大于流量行为特征的时间长度；根据评估值确定目标主机是否被攻击。应用本申请所提供的技术方案，根据历史流量行为特征和加密流量的特征信息检测出恶意的加密流量，进而检出失陷主机，能够充分利用异常的特征信息检测出更多的恶意加密流量。本申请还公开了一种攻击检测装置、设备及计算机可读存储介质，均具上述有益效果。