本申請涉及一種網絡異常檢測方法、系統及電子設備。該方法包括：步驟a：根據分布式網絡下網絡節點和通信鏈路的網絡結構繪制網絡結構拓撲圖；步驟b：根據所述網絡結構拓撲圖建立對應的貝葉斯網絡模型；步驟c：將預分類事件輸入所述貝葉斯網絡模型，所述貝葉斯網絡模型采用貝葉斯條件概率公式與時間函數T(t)相結合的概率計算公式計算得到預分類事件屬于不同異常類型的條件概率，并根據最大條件概率得出預分類事件的異常類型分類結果。本申請針對現實網絡環境的拓撲結構建立貝葉斯網絡模型，能有更好的靈活性和擴展性，提高檢測準確率，并結合時間函數進行網絡異常檢測，提高了模型對某一時間段異常檢測的敏感度，能有效地減少誤報率和漏報率。

技術領域

本申請屬于網絡安全系統技術領域，特別涉及一種網絡異常檢測方法、系統及電子設備。

背景技術

隨著互聯網的普及和網絡的飛速發展，互聯網絡Internet已經深入到千家萬戶，為人們的生活和工作帶來了不少方便。但是網絡技術也是一把雙刃劍，它的快速發展和廣泛應用也帶來了前所未有的挑戰。伴隨著Internet信息時代的飛速發展，網絡分布式和無邊界的開放特性，人們在互聯網絡的環境中的開放式結構中享受與之帶來的便利。但是TCP/IP協議自身未考慮和較少考慮到的安全性問題，網絡安全問題嚴重影響到網絡的穩定運行和用戶的正常試用，甚至還威脅到了國家安全，給人們帶來了嚴峻的考驗和挑戰。因此，一系列網絡安全問題越來越引起人們的關注。雖然有防火墻、VPN、安全路由器等各種安全產品以不用的角度來保障計算機系統和網絡環境的安全，但是網絡攻擊方式在不斷更新，網絡安全事件還在不斷發生。

網絡異常檢測作為安全系統的最后一道防線，希望能在網絡環境被入侵的時候能檢測出具體是什么類型的異常，讓網絡管理員能采取人為措施去解決和干預，爭取將網絡環境的破壞和造成的損失降到最小。網絡異常檢測的研究一直是一個比較引人關注的問題，針對網絡異常檢測的研究也不在少數。

現有技術中，常見的對于解決網絡環境中異常檢測提出的模型方法有概率統計分析方法、模糊數學理論、人工免疫方法、神經網絡方法、支持向量機方法等。但是上述方法只是從網絡中采集到的數據進行數據層面上的分析，其中基準的參數范圍難以確定導致了靈活性差和誤報率高等一系列缺陷。關鍵在于傳統的檢測模型只是針對單一主機進行異常信息的分析，而沒有和現有的網絡分布式多節點主機環境結合起來，但是在實際網絡環境的操作中，傳統判別模型難以去確定各種模型需要的參數基準范圍，這樣使得傳統方法加大了判別的難度，存在一定的誤報率和漏報率。現有檢測方法是利用模型對網絡運行環境進行長時間大跨度的流量信息分析，但是現有環境下某些時間段的流量并不會發生，因此有必要把針對某一個時間段的流量進行重點分析檢測。

發明內容

本申請提供了一種網絡異常檢測方法、系統及電子設備，旨在至少在一定程度上解決現有技術中的上述技術問題之一。

為了解決上述問題，本申請提供了如下技術方案：

一種網絡異常檢測方法，包括以下步驟：

步驟a：根據分布式網絡下網絡節點和通信鏈路的網絡結構繪制網絡結構拓撲圖；

步驟b：根據所述網絡結構拓撲圖建立對應的貝葉斯網絡模型；

步驟c：將預分類事件輸入所述貝葉斯網絡模型，所述貝葉斯網絡模型采用貝葉斯條件概率公式與時間函數T(t)相結合的概率計算公式計算得到預分類事件屬于不同異常類型的條件概率，并根據最大條件概率得出預分類事件的異常類型分類結果。

本申請實施例采取的技術方案還包括：在所述步驟b中，所述根據所述網絡結構拓撲圖建立對應的貝葉斯網絡模型還包括：計算貝葉斯網絡模型中各個網絡節點發生不同異常類型的先驗概率和后驗概率，并更新貝葉斯網絡模型的條件概率表。