本发明实施例提供一种畸形数据包检测方法及装置，所述畸形数据包检测方法由于对网络数据包进行了协议解析检测、协议规范约束检测和基于历史合法流量数据的现场规范约束检测这三重检测，因此，可以有效避免针对特定数据包基于黑名单命中低效的问题，从而提高畸形数据包检测的效率。需要说明的是，本发明实施例在进行畸形数据包检测时，不但利用了协议规范约束对畸形数据包进行检测，而且还充分利用了目标网络的历史合法流量数据，对畸形数据包进行现场规范约束检测，从而能够有效提高畸形数据包的检测效率和检测准确度。本发明实施例提供的畸形数据包检测方法尤其适用于网络数据包的内容周期性强、特征显著的工控网络。