本发明提供一种网络异常行为检测方法及装置。方法包括：获取网络设备的历史日志数据；解析所述历史日志数据，生成历史网络行为数据；根据所述历史网络行为数据和规则模板，生成白名单、黑名单和基调规则；获取所述网络设备的当前日志数据；解析所述当前日志数据，生成当前网络行为数据；根据所述白名单对所述当前网络行为数据进行过滤，得到可疑行为数据；根据所述黑名单对所述可疑行为数据进行过滤，得到异常行为数据和未知行为数据；将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较，将超出所述基调规则的未知行为数据标识为异常行为数据；输出包括所述异常行为数据的告警信息。