1.一種異常行為識別方法，其特征在于，包括：

獲取主機行為數據；根據主機行為數據和主機與用戶的綁定關系，確定用戶行為數據；所述用戶行為數據包括：用戶若干行為特征的數據；

針對識別維度：根據當前用戶在當前時間段和歷史時間段若干行為特征的數據，確定所述當前用戶的行為偏離向量；包括：針對所述當前用戶的每種行為特征：歷史時間段的數量大于1，根據各個歷史時間段行為特征的數據，生成箱形圖；根據箱形圖，在各個歷史時間段行為特征的數據中確定若干非異常行為特征的數據；通過取對數對非異常行為特征在各個歷史時間段的數據以及所述非異常行為特征在當前時間段的數據進行歸一化；根據歸一化后的行為特征在各個歷史時間段和當前時間段的數據，計算與行為特征對應的當前用戶的行為偏差；每種所述行為特征對應的所述當前用戶的行為偏差為所述行為偏離向量的一個元素；

根據所述當前用戶的行為偏離向量，確定所述當前用戶的行為偏離方向；

根據所述當前用戶的行為偏離方向和其他用戶的行為偏離方向，確定所述當前用戶在所述識別維度下的第一分數；根據所述當前用戶的行為偏離向量，確定所述當前用戶在所述識別維度下的第二分數；根據所述其他用戶以及所述當前用戶的若干行為特征在當前時間段的數據，確定所述當前用戶在所述識別維度下的第三分數；其中，所述第一分數用于表征所述當前用戶的行為偏離方向相對于其他用戶的行為偏離方向的偏離程度；所述第二分數用于表征所述當前用戶的當前行為相對于其歷史行為的偏離程度；所述第三分數用于表征所述當前用戶的當前行為相對于所述若干其他用戶的當前行為的偏離程度；

根據所述當前用戶在所述識別維度下的第一分數、第二分數和第三分數，確定所述當前用戶的當前行為是否存在異常。