本公开提供了一种网络异常流量分析方法，涉及下一代互联网威胁检测领域，异常流量分析方法包括：根据网络协议将目标骨干网的数据分成至少一类协议数据；其中，协议数据包括至少一个源地址、至少一个目的地址、源地址与目的地址之间交互产生的请求包数、请求流量、响应包数、响应流量；分别对至少一类协议数据进行会话预处理，得到源地址或目的地址对应的访问路径所包含的会话数据；根据会话数据计算每一个源地址或目的地址对应的检测数据集；根据检测数据集确定流量异常的访问路径；本公开以分布式拒绝服务攻击和异常扫描两个场景为切入点，通过两种方式分析目标骨干网中的流量数据，可以有效提高对网络流量的检测速率和检测效果。