本发明公开了一种HTTP会话异常检测方法，包括对HTTP流量进行识别；提取每个HTTP用户会话的特征；对每个HTTP会话所对应的会话特征进行向量化处理得到特征向量；对于会话集合采用聚类算法进行聚类和标记并判断得到异常会话。本发明还提供了一种实现所述HTTP会话异常检测方法的检测系统。本发明根据HTTP流量划分的用户会话，在无需标签数据的情况下利用聚类算法进行高效聚类和核心点保存，利用保存的核心点，计算待测HTTP会话与核心点的距离来发现HTTP流量中的会话异常，进而发现Web攻击；本发明解决了现有技术存在的大量问题，而且可靠性高、实用性好而且准确性较高。