本申请提供一种基于告警日志的主机异常状态检测方法及装置，在获取到告警日志后，对告警日志进行预处理，得到告警时间序列，基于告警时间序列通过平顶检测得到平顶二元组集合；基于同一个告警时间序列通过尖峰检测得到尖峰目标增率动点集合；最后根据平顶二元组集合和尖峰目标增率动点集合确定主机的异常状态。整个检测过程在不打扰用户的情况下，实现了对网络中用户可能产生的非法行为的异常状态的检测，进而保护用户的网络安全。