1.一种用于运输管理系统的异常监控报警系统，其特征在于：包括：指标数据模块，包括历史指标数据模块和实际指标数据模块，历史指标数据模块用于获取被监控指标项的历史指标数据并发送历史指标数据；实际指标数据模块，用于采集被监控指标项的实时指标数据，并发送实时指标数据；阈值模型设置模块，用于接收历史指标数据并根据历史指标数据设置阈值模型；异常检测模块，用于接收实时指标数据并检测实时指标数据是否符合设置的阈值模型；还用于当异常检测模块检测到实时指标数据在振荡状态下波峰超过阈值后，根据波峰的特征参数确定误报的异常信息并将误报的异常信息剔除；异常分类模块，用于对剔除后的异常信息进行统计归类并以邮件的形式发送分类结果；告警模块，用于接收分类结果并发出报警信息；

阈值模型设置模块设置阈值模型采用指数平滑法；

异常检测模块剔除异常信息的标准是振荡状态的数据的波峰超过设定的百分比；

异常检测模块采用贝叶斯分类算法对剔除后的异常信息进行筛选，确定出垃圾邮件和正常邮件；具体步骤包括：S11：将不符合阈值模型的检测结果的邮件分为垃圾邮件集和正常邮件集；

S12：提取垃圾邮件集和正常邮件集中所有邮件的主题和邮件体中的独立字符串作为TOKEN串，并统计提取出的TOKEN串出现的次数即字频；

S13：每一个邮件集对应一个哈希表，hashtable good对应正常邮件集而hashtable bad对应垃圾邮件集，哈希表中存储TOKEN串到字频的映射关系；

S14：计算每个哈希表中TOKEN串出现的概率P，P=（某TOKEN串的字频）/（对应哈希表的长度）；

S15：综合考虑hashtable good和hashtable bad，推断出当新来的邮件中出现某个TOKEN串时，该新邮件为垃圾邮件的概率；数学表达式为：A事件代表邮件为垃圾邮件，t1，t2……tn代表TOKEN串，则P（A|ti）表示在邮件中出现TOKEN串ti时，该邮件为垃圾邮件的概率，设P1（ti）=（ti在hashtable good中的值），P2（ti）=（ti在hashtable bad中的值），则P（A|ti）=P2（ti）/[（P1（ti）+P2（ti）]；

S16：建立新的哈希表hashtable probability存储TOKEN串ti到P（A|ti）的映射；

S17：根据建立的哈希表hashtable probability估计一封新到的邮件为垃圾邮件的可能性；

当新到一封邮件时，按照步骤S12，生成TOKEN串，查询hashtable probability得到该TOKEN串的键值；

假设由该邮件共得到N个TOKEN串，t1，t2……tn，hashtable probability中对应的值为P1，P2，……PN，P（A|t1，t2， t3……tn）表示在邮件中同时出现多个TOKEN串t1，t2……tn时，该邮件为垃圾邮件的概率；

由复合概率公式可得P（A|t1，t2，t3……tn）=（P1*P2*……PN）/[P1*P2*……PN+（1‑P1）*（1‑P2）*……（1‑PN）]，当P（A|t1，t2，t3……tn）超过预定阈值时，就将该邮件判断为垃圾邮件；

异常分类模块采用邻近算法将正常邮件集中的异常信息分为拒绝服务攻击、非授权访问尝试、预探测攻击、可疑活动、协议解码和系统代理攻击六类；具体步骤包括：S21：对正常邮件集中的数据进行预处理；

S22：选用合适的数据结构存储训练数据和测试元组；

S23：设定参数k；

S24：维护一个大小为k的、按距离由大到小的优先级队列，用于存储最近邻训练元组，随机从训练元组中选取k个元组作为初始的最近邻元组；分别计算测试元组到这k个元组的距离，将训练元组标号和距离存入优先级队列；

S25：遍历训练元组集，计算当前训练元组与测试元组的距离L；

S26：将所得距离L与优先级队列中的最大距离Lmax进行比较：若L>=Lmax，则舍弃该元组，遍历下一个元组；若L

S27：遍历完毕，计算优先级队列中k个元组的多数类，并将其作为测试元组的类别；

S28：测试元组集测试完毕后计算误差率，继续设定不同的k值重新进行训练，最后取误差率最小的k值。

2.根据权利要求1所述的一种用于运输管理系统的异常监控报警系统，其特征在于：报警模块包括拒绝服务攻击、非授权访问尝试、预探测攻击、可疑活动、协议解码和系统代理攻击六个子模块，子模块分别就其对应的异常信息进行报警；具体步骤包括：S31：将步骤异常分类模块分类出的六种异常信息文本转化为向量，通过窗口对词进行截取，将每个词转化为n个3 letter大小的片，再进行向量计算，最后规整为词向量；

S32：通过LSTM得到句向量；

S33：针对句向量进行对比和距离计算，将六种异常信息与其对应的报警操作匹配起来；

S34：发送报警邮件。

3.根据权利要求2所述的一种用于运输管理系统的异常监控报警系统，其特征在于：报警邮件采用群发的方式。

4.根据权利要求3所述的一种用于运输管理系统的异常监控报警系统，其特征在于：还包括拦截模块，用于在接收分类结果后根据预设的安全操作执行拦截操作。

5.根据权利要求4所述的一种用于运输管理系统的异常监控报警系统，其特征在于：拦截模块包括拒绝服务攻击、非授权访问尝试、预探测攻击、可疑活动、协议解码和系统代理攻击六个子模块，子模块分别拦截对应的异常信息；具体步骤包括：S41：获取六种异常信息的规则库，读取异常信息规则库中的记录；

S42：读取异常分类模块分类出的六种异常信息的网络数据包；

S43：将读取到网络数据包的与异常信息规则库中的记录进行对比；

S44：当网络数据包存在与异常信息规则库中的记录相匹配的操作行为时，拦截该网络数据包。

6.一种用于运输管理系统的异常监控报警方法，其特征在于：包括以下步骤，S1：指标数据模块获取被监控指标项的历史指标数据和实时指标数据；

S2：阈值模型设置模块根据历史指标数据设置阀值模型；

S3：异常检测模块接收实时指标数据并检测实时指标数据是否符合设置的阈值模型；

当检测到实时指标数据在振荡状态下波峰超过阈值后，根据波峰的特征参数确定误报的异常信息并将误报的异常信息剔除；

S4：异常分类模块对剔除后的异常信息进行统计归类并以邮件的形式发送分类结果；

S5：告警模块接收分类结果并发出报警信息；拦截模块在接收分类结果后根据预设的安全操作执行拦截操作；

阈值模型设置模块设置阈值模型采用指数平滑法；

异常检测模块剔除异常信息的标准是振荡状态的数据的波峰超过设定的百分比；

异常检测模块采用贝叶斯分类算法对剔除后的异常信息进行筛选，确定出垃圾邮件和正常邮件；具体步骤包括：S11：将不符合阈值模型的检测结果的邮件分为垃圾邮件集和正常邮件集；

S12：提取垃圾邮件集和正常邮件集中所有邮件的主题和邮件体中的独立字符串作为TOKEN串，并统计提取出的TOKEN串出现的次数即字频；

S13：每一个邮件集对应一个哈希表，hashtable good对应正常邮件集而hashtable bad对应垃圾邮件集，哈希表中存储TOKEN串到字频的映射关系；

S14：计算每个哈希表中TOKEN串出现的概率P，P=（某TOKEN串的字频）/（对应哈希表的长度）；

S15：综合考虑hashtable good和hashtable bad，推断出当新来的邮件中出现某个TOKEN串时，该新邮件为垃圾邮件的概率；数学表达式为：A事件代表邮件为垃圾邮件，t1，t2……tn代表TOKEN串，则P（A|ti）表示在邮件中出现TOKEN串ti时，该邮件为垃圾邮件的概率，设P1（ti）=（ti在hashtable good中的值），P2（ti）=（ti在hashtable bad中的值），则P（A|ti）=P2（ti）/[（P1（ti）+P2（ti）]；

S16：建立新的哈希表hashtable probability存储TOKEN串ti到P（A|ti）的映射；

S17：根据建立的哈希表hashtable probability估计一封新到的邮件为垃圾邮件的可能性；

当新到一封邮件时，按照步骤S12，生成TOKEN串，查询hashtable probability得到该TOKEN串的键值；

假设由该邮件共得到N个TOKEN串，t1，t2……tn，hashtable probability中对应的值为P1，P2，……PN，P（A|t1，t2， t3……tn）表示在邮件中同时出现多个TOKEN串t1，t2……tn时，该邮件为垃圾邮件的概率；

由复合概率公式可得P（A|t1，t2，t3……tn）=（P1*P2*……PN）/[P1*P2*……PN+（1‑P1）*（1‑P2）*……（1‑PN）]，当P（A|t1，t2，t3……tn）超过预定阈值时，就将该邮件判断为垃圾邮件；

异常分类模块采用邻近算法将正常邮件集中的异常信息分为拒绝服务攻击、非授权访问尝试、预探测攻击、可疑活动、协议解码和系统代理攻击六类；具体步骤包括：S21：对正常邮件集中的数据进行预处理；

S22：选用合适的数据结构存储训练数据和测试元组；

S23：设定参数k；

S24：维护一个大小为k的、按距离由大到小的优先级队列，用于存储最近邻训练元组，随机从训练元组中选取k个元组作为初始的最近邻元组；分别计算测试元组到这k个元组的距离，将训练元组标号和距离存入优先级队列；

S25：遍历训练元组集，计算当前训练元组与测试元组的距离L；

S26：将所得距离L与优先级队列中的最大距离Lmax进行比较：若L>=Lmax，则舍弃该元组，遍历下一个元组；若L

S27：遍历完毕，计算优先级队列中k个元组的多数类，并将其作为测试元组的类别；

S28：测试元组集测试完毕后计算误差率，继续设定不同的k值重新进行训练，最后取误差率最小的k值。