本发明涉及一种异常网络连接的检测方法及系统，所述方法包括以下步骤：基于信息系统网络连接样本建立信息系统业务访问模型；所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型；基于所述信息系统业务访问模型识别异常网络连接。所述方法及系统充分利用了任何高级复杂攻击在攻击过程中都将表现为各种类型异常网络连接的特征以及异常检测方法的优点,可以不依赖于传统高级攻击检测中的网络流量攻击特征和恶意代码分析等技术，通过检测出各种异常网络连接，并以异常网络连接为突破点，通过与其它网络安全情报信息进行关联分析，从而可能检测出各种已知和未知的高级复杂攻击。