1.一種基于行為聚合特征的異常用戶檢測方法，其特征在于，方法包括：

統計預設時間段內訪問目標服務器的行為特征；

所述統計預設時間段內訪問目標服務器的行為特征包括：

在預設時間段內，統計與內網用戶連接過的目標服務器，并形成目標服務器IP列表；

統計內網用戶在預設時間段內與所連接過的目標服務器的IP列表、與每一個目標服務器連接所產生的上下行流量總和、與目標服務器連接的總頻次；

統計內網用戶在預設時間段內每次連接的結束時間減去起始時間，即與每個目標服務器連接的總時長、與每個目標服務器最后一次連接的時間距離當前時間的時長；

統計內網用戶在所述時間段內與每個目標服務器連接一共使用的應用層協議種類數；

在規定的時間窗口粒度按照用戶訪問過的目標IP聚合所述行為特征；

基于所述行為特征的每個源IP生成原始行為特征矩陣；

基于原始行為特征矩陣，做相鄰元素列變換，得到尺寸為目標服務器個數的行為方陣，再將每個用戶的矩陣配置成一行向量；

分別計算任意兩個用戶之間的相關系數，作為內網群組中兩用戶在一段時間內的行為相似度；

根據用戶之間的相似度矩陣，查找相似度最大的兩個用戶，聚成一類；

計算所述類與其他用戶之間的相似度，并更新聚成一類用戶的相似度矩陣，然后重復迭代計算；

重復迭代計算達到預先設定的閾值之后，停止聚類過程，此時脫離內網群組的用戶被認定為具有異常行為；

所述相鄰元素列變換包括：

將特征維度相鄰元素交叉相乘，拼湊成一個新的行為特征方陣：

其中m和n均是屬于[1,num_distip]區間；

m和n用來分別表示元素的下標，矩陣的列索引；

i表示行為矩陣的行索引；

P表示上述原始行為特征矩陣中的元素。