[发明专利]一种网络异常检测方法、系统及电子设备

权利要求书

1.一种网络异常检测方法，其特征在于，包括以下步骤：

步骤a：根据分布式网络下网络节点和通信链路的网络结构绘制网络结构拓扑图；

步骤b：根据所述网络结构拓扑图建立对应的贝叶斯网络模型；

步骤c：将预分类事件输入所述贝叶斯网络模型，所述贝叶斯网络模型采用贝叶斯条件概率公式与时间函数T(t)相结合的概率计算公式计算得到预分类事件属于不同异常类型的条件概率，并根据最大条件概率得出预分类事件的异常类型分类结果。

2.根据权利要求1所述的网络异常检测方法，其特征在于，在所述步骤b中，所述根据所述网络结构拓扑图建立对应的贝叶斯网络模型还包括：计算贝叶斯网络模型中各个网络节点发生不同异常类型的先验概率和后验概率，并更新贝叶斯网络模型的条件概率表。

3.根据权利要求2所述的网络异常检测方法，其特征在于，所述步骤c还包括：通过所述贝叶斯网络模型判断输入的预分类事件下的节点属于原因节点还是结果节点，如果属于原因节点，采用贝叶斯条件概率公式结合时间函数T(t)计算得到预分类事件属于不同异常类型的条件概率；如果属于结果节点，通过所述条件概率表查到预分类事件的最大概率，根据所述最大概率得到预分类事件的异常类型分类结果。

4.根据权利要求3所述的网络异常检测方法，其特征在于，在所述步骤c中，所述贝叶斯条件概率公式与时间函数T(t)相结合的概率计算公式为：

上述公式中，p(H_j|X)表示事件X属于H_j的类条件概率，H_j表示事件所属的异常类型，p(H_j)表示事件属于H_j的先验概率，p(X|H_j)表示事件属于H_j的后验概率，v_i表示根节点，n，k为累乘的数学表示。

5.根据权利要求3所述的网络异常检测方法，其特征在于，在所述步骤c中，所述如果属于结果节点，通过条件概率表查到预分类事件的最大概率，根据所述最大概率得到预分类事件的异常类型分类结果具体为：所述结果节点为根节点v_i构成的集合，i代表包含了结果节点的个数，对于事件X下不同的结果节点对应不同的条件概率P(H_j|P_a(v_i))，P_a(v_i)表示节点v和其父节点的集合；利用条件独立性进行分解，联合概率简化用公式表示为全概率的模式P(H_j)＝∑P(v_i)P(H_j|v_i)，由条件概率表查到事件X的最大概率，进行异常类型的分类。

6.一种网络异常检测系统，其特征在于，包括：

拓扑图构建模块：用于根据分布式网络下网络节点和通信链路的网络结构绘制网络结构拓扑图；

贝叶斯网络构建模块：用于根据所述网络结构拓扑图建立对应的贝叶斯网络模型；

第一异常分类模块：用于将预分类事件输入所述贝叶斯网络模型，所述贝叶斯网络模型采用贝叶斯条件概率公式与时间函数T(t)相结合的概率计算公式计算得到预分类事件属于不同异常类型的条件概率，并根据最大条件概率得出预分类事件的异常类型分类结果。

7.根据权利要求6所述的网络异常检测系统，其特征在于，所述贝叶斯网络构建模块还用于计算贝叶斯网络模型中各个网络节点发生不同异常类型的先验概率和后验概率，并更新贝叶斯网络模型的条件概率表。

8.根据权利要求7所述的网络异常检测系统，其特征在于，还包括节点判断模块和第二异常分类模块；

所述节点判断模块用于判断输入的预分类事件下的节点属于原因节点还是结果节点，如果属于原因节点，通过第一异常分类模块计算预分类事件属于不同异常类型的条件概率；如果属于结果节点，通过所述第二异常分类模块查到条件概率表得到预分类事件的最大概率，根据所述最大概率得到预分类事件的异常类型分类结果。