本发明涉及网络安全协议，具体涉及一种基于历史统计判定偏差行为的交换机防御攻击方法；本发明以历史访问行为的特征为依据，对实时访问行为进行考察，如果实时访问行为中出现明显差异的行为，则认为存在攻击风险，可以提高判断效率；通过聚类统计的方法，消除了个别差异化的访问行为造成的判断干扰，提高了对攻击行为的判断准确性；通过聚类后计算差集的方式判断机器攻击，现有技术中机器攻击可以具有一定的规律性，即使随机化的攻击行为也会在聚类统计下表现出预设的攻击特征，通过聚类后的差集计算，可以准确找到历史访问行为中未出现过的规律性访问行为，这样，可以准确高效地判断出机器攻击风险，并报给监管员进行预警或人工复查。