高级持续性威胁（APT）已经成为企业级安全用户的首要安全威胁。传统基于特征检测、边界防护的安全防范措施在应对APT攻击时存在不足。为此，介绍了网络异常行为检测方法的现状；分析了基于统计学习的检测方法的技术路线和体系架构，并以命令控制通道、获取行为等APT攻击中的典型环节为例，介绍了相关的参数提取和统计分析建模方法；总结了基于大数据的异常行为检测的特点，并指出了后续研究方向。

针对目前日益严重的网络安全威胁以及用户数据安全保障的需求，有效的抵抗Web攻击的异常入侵检测算法研究变得越发重要。考虑到基于传统聚类方法的异常入侵检测算法实现复杂度较高且检测精度低的问题，文中提出基于KNN （K—Nearest Neighbor，K近邻）聚类算法的异常入侵检测算法。首先，文中通过结合数据挖掘技术建立异常入侵检测系统，以实现异常行为模式的统计分析和重要系统、数据文件的完整性评估。根据采集的网络抓包数据构建数据库，并利用机器学习中的KNN聚类分析算法对数据进行聚类分析，检测是否存在