[发明专利]基于大数据的工控网络交换机灰度检测方法

权利要求书

1.一种基于大数据的工控网络交换机灰度检测方法，其特征在于，包括如下步骤：

步骤1：解析整个工控网络的拓扑结构，将控制节点和与其相连的交换机作为一个设备组，按照设备层级对设备组进行编号，找出所有数据包传递路径并记录路径内包含的设备组编号；

步骤2：由中央控制电脑向工控网络中所有设备组定时连续发送数据包，以获得电路状态信息，记录电路状态信息及各个交换机实时流量数据，构建数据集；所述电路状态信息包括收发包时间差、接收端IP地址、数据传输路径是否接通；保存每个数据包所收集的电路实时状态信息，若出现丢包，则将丢包位置的状态信息记为“None”，同时记录所有交换机实时流量，得到数据集如下：

其中vector表示全部数据集，D_mn表示在m时刻，第n条数据传输途径中所有交换机的收发包数据，M是传输路径总数，N是记录的时刻总数，IP_i表示第n条数据传输途径中第i个设备的IP，K_i表示m时刻发出的数据包所收集的电路状态信息，F_i表示m时刻与对应IP为IP_i设备组中交换机实时流量；

步骤3：提取数据集中的各项数据特征，利用前一段时间内的数据特征对当前时刻的数据进行预测，当预测值与真实值相差超过设定阈值时，判定路径出现异常，并对出现异常的所有路径进行记录，同时结合实时流量信息，若判定当前时刻出现异常，但对应异常路径上有交换机流量过大，则忽略该次异常情况；所述数据特征包括长时间内数据周期性变化、当前时刻数据相对于数据集中所有数据平均值的偏离量；数据特征提取方法具体为：对于每个IP，设置包含N个数据的缓存，存放最近N次收集的电路状态信息，提取其数值特征，以预测下一个时刻的电路状态，当实际值与预测值相差超过一定程度时，判定数据包在收发过程中出现了延时异常，数据集中返回值为None时，对应判定为在收发过程中发生了丢包异常，对每个异常数据，读取该时刻数据包收发过程中途经的所有交换机流量信息，若有明显超过交换机收发限度的大流量出现时，忽略该次异常情况；

步骤4：根据不同路径的判定结果进行拓扑分析，根据最长路径对出现异常的所有路径进行分组，对于每次发现的异常，对该数据包传输路径上所有交换机做等概率的怀疑，将包含于L条不同长路径的所有异常路径根据所处长路径分为L组，当其中一组路径包含交换机S₁，S₂，S₃，...S_i，...S_n，且在长时间发送数据包过程中对各路径判定延时异常次数分别为x₁，x₂，x₃，...x_i，...x_n时，则该组路径上的第i个交换机出现延时异常的概率为：

其中

上式中k表示该组路径包含的交换机编号，x_k表示各个交换机在收发包过程中出现的延时异常次数；

在长时间连续发送数据包过程中对各路径判定丢包异常次数分别为y₁，y₂，y₃，...y_n，则该组路径上的第i个交换机出现丢包异常的概率为：

其中

上式中k表示该组路径包含的交换机编号，y_k表示各个交换机在收发包过程中出现的丢包异常次数；

根据延时异常概率和丢包异常概率得到量化的交换机灰度，从而完成工控网络中交换机在连续长时间工作时出现小概率异常的可能性检测；交换机灰度公式如下：

H_i＝C₁*P_i¹+C₂*P_i²

式中H_i表示该组路径中各个交换机的灰度，C₁、C₂分别代表延时、丢包两种异常所占的权重，所述灰度即随着交换机使用时间的增加，由于内部电路元件受到空气氧化、尘埃沾染影响，导致其在长时间连续工作时出现小概率的异常情况，为定位这种小概率的异常情况，使用交换机灰度来表示一台交换机在一段连续时间内出现异常的可能性。