La detección de anomalías en los flujos de tráfico de red es un problema no trivial en el campo de la seguridad de redes debido a la complejidad del tráfico de red. Sin embargo, la mayoría de los métodos de detección basados en aprendizaje automático se centran en la detección de anomalías en la red, pero ignoran la detección del comportamiento anómalo del usuario. En escenarios reales, el comportamiento anómalo de la red puede perjudicar los intereses del usuario. En este artículo, proponemos un modelo de detección de anomalías basado en patrones frecuentes cerrados con decaimiento temporal para abordar este problema. El modelo extrae patrones frecuentes cerrados del tráfico de red de cada usuario y utiliza un factor de decaimiento temporal para distinguir el peso del tráfico de red actual e histórico. Debido a la naturaleza dinámica del comportamiento de red del usuario, se proporciona una estrategia de actualización del modelo de detección en el marco de detección de anomalías. Además, los patrones frecuentes cerrados pueden proporcionar explicaciones interpretables para las anomalías. Los resultados experimentales muestran que el método propuesto puede detectar anomalías en el comportamiento del usuario, y el rendimiento de detección de anomalías en la red logrado por el método propuesto es similar al de los métodos más avanzados y significativamente mejor que los métodos de referencia.