本发明公开了一种基于时空IP地址画像的网络流异常检测方法，该方法包括：统计IP地址的出度、入度、访问频率等信息，给出时空IP地址画像的定义，利用DBSCAN算法对同类型IP地址进行聚类；基于当前IP地址画像，对比同类别IP的历史一周对应时期的画像信息，通过对历史平均值和方差的计算，设计异常阈值，判断当前时期的IP画像是否异常；基于极值理论算法，定义网络流数据中的峰值，对历史数据的峰值加以拟合，推理极值的分布，对异常阈值进行动态调整。本发明方法使用时空IP地址画像的定义以及DBSCAN聚类算法，可以准确地表示同类别IP的历史访问特征，配合历史统计数值与基于极值理论的算法计算阈值，可以动态调整异常检测阈值，检测网络流中出现的异常。