本发明公开了一种全网络异常数据流分类方法，包括以下步骤：步骤一：对全网络数据流量进行异常数据流量抽取，并输出异常数据流量中的异常数据流的集合；步骤二：计算异常数据流按包计数时的异常数据流大小的平均值(其中1≤p≤i)，计算异常数据流按照字节计数时的包大小的平均值(其中1≤p≤i)，提取异常数据流的至少一个特征，并统计提取的特征的分布熵H，以及各特征的分布熵H为坐标值，将异常数据流特征向量化，形成多维空间的点集；步骤三：将点集根据Canopy方法进行粗聚类，得到聚类中心以及中心点的个数K值；步骤S4：根据聚类中心以及K值采用K‑means计算方法将特征向量化后的异常数据流进行细聚类，最终得到异常数据流的精确分类结果。