自20世纪末,互联网在大量技术的支持下高速发展,因此用户可以共享文件、实时通信,也可以通过共享计算资源在不同的地方协作执行任务。然而不断增长的互联网资源数量导致服务会存在很多潜在攻击。其中攻击可以采取多种形式,包括对物理信息技术（Information Technology,IT）环境的攻击、利用应用程序弱点的攻击、通过第三方应用的攻击等。分布式拒绝服务（Distribute Denial of Service,DDoS）攻击利.用多台计算机组成的集群进行协同攻击从而导致网络无法自力更生而瘫痪,严重威胁军事、医疗、商业等领域的网络安全。目前DDoS攻击检测主要有基于统计学习、机器学习、深度学习三大类方法。然而在检测过程中依赖于人为设定的阈值或攻击流量特征,导致其无法应用于不断变化的DDoS攻击场景中。因此,本文直接从原始流量中学习攻击流量特征提出基于深度学习的DDoS攻击流量检测方法,主要工作如下:（1）基于真实网络环境下的DDoS攻击方式,本文通过分析数据流量的趋势走向提出一种新的数据流量预处理方法。首先对数据流量使用会话切片方法进行流量分割,然后将同一条数据流中的数据包按照固定的时间窗口进行取样,最后生成数据包-字节数组格式用作本文分类模型的输入。（2）由于攻击过程中流量具备短时间突发性等特点,手工设计的流量特征无法准确表征攻击流量特性。因此本文提出CNN-BiLSTM的良恶性流量的分类模型,该模型可以直接从原始数据流量中自动学习攻击流量的时空特征。时空特征包括空间特征提取模块和时间特征提取模块。空间特征提取模块利用卷积神经网络CNN学习固定时间窗口中数据包的局部区域特征;时间特征提取模块利用双向长短时记忆网络BiLSTM进行双向上下文信息提取,从而学习固定时间窗口间数据包的攻击行为特征。最后基于两个模块进行区分DDoS攻击流量和良性流量。本文在三个公开的DDoS攻击数据集上验证该模型的分类性能并与其他深度学习方法进行对比分析,结果表明该模型具有良好的分类表现,可实际应用于DDoS攻击检测。（3）针对DDoS攻击检测分类任务中分类精度低,误报率高的问题,本文将注意力机制加入至CNN-BiLSTM模型中的时间特征提取模块,即CNN-Att BiLSTM。根据所提取的数据包特征对分类结果的贡献程度进行相应的权重分配,将有限注意力资源聚焦于高价值信息从而提高检测性能。通过分析该模型在三个公开数据集的分类性能,结果表明加入注意力机制的CNN-BiLSTM模型可以有效的提升良恶性流量分类准确性。