本发明公开了一种网络流量异常检测方法，对网络空间安全态势的量化表达包括如下步骤：(1)流量特征采集与态势特征指标提取；(2)面向态势特征的自适应学习与异常分析；(3)网络异常态势检测与告警。本发明通过网络边界流量采集与特征刻画指标体系的方式实现，该方法从网络流量中连续不断地实时挖掘多个维度特征指标、实时刻画网络空间及其流量特征，一方面可保证网络态势实时或准实时的监控、预警、应急响应需求，另一方面可以通过少量的日志规模，实现对网络流量特征的细粒度刻画，为后续的流量异常分析检测、安全预警提供优质的基础信息来源；在实时性、刻画精确性、数据规模、数据优质性方面，与传统方法相比具有明显优势。