随着云计算和大数据技术日趋成熟发展,网络服务的分布式框架技术应用的快速增长,为用户提供多站点并行线路、集群式的数据服务,形成大量网络服务器主机以业务为轴心且须交互协作的复杂网络行为。与此同时,集群式的计算资源相较于以往更容易获取和使用,利用分布式技术进行攻击的受害案例日益增多。这些异常流量形成了以受害主机、恶意主机为中心的主机社区,这些主机社区之间具有密切的网络交互行为。可见,使用网络服务的用户主机越多,这个网络应用系统的业务处理越大、网络流量越大、网络结构更复杂;同理,攻击规模和强度越大,恶意主机越多、企事业单位波及的受害主机数量级越大,造成的损失越无法衡量。网络应用快速普及和增长,网络流量的数据规模大规模剧增,分析和检测异常、不期望的网络行为比以往更具挑战性。异常流量对网络行为的影响是多方面的,网络中主机等设备既具有功能独立性,又具有业务协作的空间交互性。在网络边界流量中,可见大量以某个(服务器)、某些主机(客户端)聚合为社区的通信行为,还发现利用分布式技术执行大规模攻击的异常行为,形成了以受害主机为聚合的主机社区。面向具有社区和大规模特性的主机交互,传统异常检测方法无法有效的从整体流量、一个主机的视角进行检测,使传统安全检测工具的局限性更显突出。针对现有技术中的上述不足,本发明公开了一种面向主机社区行为的异常流量检测方法,采集网络边界网络流量数据,构建主机社交网络图对主机社区进行识别,并量化正常主机社区行为的特征基线,度量主机社区行为与其正常行为的偏离度以检测异常主机社区。本发明在识别流量社交网络图中主机社区的基础上,提出了基于主机社区演化的异常检测算法,通过识别密切联系的主机社区行为,从而有效检测隐蔽参与网络安全事件的异常主机。该方法适用于具有社区行为的聚合主机进行异常流量检测,融合了社交网络和网络流量异常检测两个交叉学科领域,为异常流量检测问题提供了新方法、新途径和分析视角。