本发明提供一种基于网络性能的网络入侵异常检测方法、装置及设备，该基于网络性能的网络入侵异常检测方法，包括：选取目标网络性能的最小观测事件集；基于内核可观测性技术，获取目标网络性能的最小观测事件集的观测结果；将观测结果输入已经训练好的异常检测模型，得到目标网络性能对应的异常分数偏差值；若异常分数偏差值超过异常偏差的阈值，确定目标网络性能异常，提取网络性能异常特征；根据网络性能异常特征确定引起目标网络性能异常的类型(网络故障、网络入侵、负载过载或硬件故障)；若为网络入侵类型，基于观测事件的预测结果误差，确定异常检测结果的原因，从而实现基于网络性能的网络异常行为的检测，同时降低系统资源开销。