一种调度交换网接入设备异常运行检测方法及系统与流程

本发明涉及电力通信领域，尤其涉及一种调度交换网接入设备异常运行检测方法及系统。

背景技术：

1、本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

2、所谓电力调度交换网，就是电力调度电话指挥的专用网络。该网络是保证电网安全生产运行的重要通信手段，需要具有高可靠性和快速连接能力。通常，电力调度交换网分为三级，第一级面向各省、地方调度中心、各大电厂和大型枢纽变电站；二级面向小变电站和二级电站；三级主要面向地区局内网。近年来，随着接入设备的不断增多，很容易出现被劫持的接入设备，从而对调度交换网络发起非法攻击，造成严重的网络安全风险。

3、目前常用的接入设备异常运行检测方法主要依靠两阶段聚类法识别异常运行状态，但面对大量数据处理效果不佳，精度和效率都无法满足日常生产需要。

技术实现思路

1、为了解决上述背景技术中存在的技术问题，本发明提供一种调度交换网接入设备异常运行检测方法及系统，本发明利用网络工具scapy对接入设备的流量数据进行采集，并对采集到的数据进行归一化和融合处理；通过时间滑动窗口和增量计算模式提取数据特征信息；以数据挖掘中的聚类算法和相关规则为核心，获得准确的异常检测结果。最后，基于递归图结构，对检测结果进行可视化，提高检测准确性和效率。

2、为了实现上述目的，本发明采用如下技术方案：

3、本发明的第一个方面提供一种调度交换网接入设备异常运行检测方法。

4、一种调度交换网接入设备异常运行检测方法，包括：

5、获取接入设备的入站流量数据和出站流量数据；

6、将入站流量数据和出站流量数据进行融合，得到融合数据；

7、基于融合数据，采用增量计算方法，计算融合数据的增量样本值，以此计算增量样本的统计量，依据历史样本的统计量和增量样本的统计量，得到当前样本统计值，作为特征信息；

8、基于特征信息，判断接入设备是否异常，并将异常结果以递归图进行显示。

9、进一步地，在进行所述融合之前还包括：对入站流量数据和出站流量数据，进行归一化处理，再基于归一化处理结果，计算不同数据结构之间的余弦相似度，选取余弦相似度大于设定第一阈值的数据进行融合，得到融合数据。

10、进一步地，在所述采用增量计算方法的过程之前还包括：基于融合数据，定义固定时间的滑动窗口，实时捕获流量数据，得到描述调度交换网络接入设备的实时运行状态。

11、进一步地，所述基于特征信息，判断接入设备是否异常的过程包括：将每个特征信息视为一个聚类，计算当前特征信息与随机特征信息之间的欧几里得距离，选取欧几里得距离大于设定第二阈值的多个特征信息进行聚类，再计算相邻聚类之间的距离，在满足一定条件时，对相邻的聚类进行合并处理，得到聚类后的特征信息。

12、更进一步地，所述基于特征信息，判断接入设备是否异常的过程还包括：对聚类后的特征信息进行关联分析，依据正常运行状态相对应的模式规则库，计算聚类后的特征信息与模式规则库中数据的相似性，在相似度大于设定第三阈值时，得出接入设备处于异常运行状态。

13、进一步地，所述将异常结果以递归图进行显示的过程包括：基于设备异常运行状态检测输出结果的时间序列，建立n维相空间，将所有输出的异常检测时间序列连接起来，形成递归图结构进行显示。

14、更进一步地，在递归图结构显示过程中，计算最小延迟时间，根据最小延迟时间计算结果的平均值，确定异常输出时间间隔，控制检测输出接口的输出时间。

15、本发明的第二个方面提供一种调度交换网接入设备异常运行检测系统。

16、一种调度交换网接入设备异常运行检测系统，包括：

17、数据获取模块，其被配置为：获取接入设备的入站流量数据和出站流量数据；

18、融合模块，其被配置为：将入站流量数据和出站流量数据进行融合，得到融合数据；

19、特征提取模块，其被配置为：基于融合数据，采用增量计算方法，计算融合数据的增量样本值，以此计算增量样本的统计量，依据历史样本的统计量和增量样本的统计量，得到当前样本统计值，作为特征信息；

20、输出模块，其被配置为：基于特征信息，判断接入设备是否异常，并将异常结果以递归图进行显示。

21、本发明的第三个方面提供一种计算机可读存储介质。

22、一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一个方面所述的调度交换网接入设备异常运行检测方法中的步骤。

23、本发明的第四个方面提供一种计算机设备。

24、一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述第一个方面所述的调度交换网接入设备异常运行检测方法中的步骤。

25、与现有技术相比，本发明的有益效果是：

26、本发明利用网络工具scapy对接入设备的流量数据进行采集，并对采集到的数据进行归一化和融合处理；通过时间滑动窗口和增量计算模式提取数据特征信息；以数据挖掘中的聚类算法和相关规则为核心，获得准确的异常检测结果。最后，基于递归图结构，对检测结果进行可视化，提高检测准确性和效率。

27、本发明在调度交换网络中接入设备异常运行的传统检测方法的基础上，以数据挖掘中的聚类算法和相关规则为核心，并基于递归图结构，对检测结果进行可视化，有效提高异常状态识别的准确性和检测效率。

28、本发明实现了高电力调度交换网接入设备异常状态快速、精准识别，并可视化展示。

技术特征：

1.一种调度交换网接入设备异常运行检测方法，其特征在于，包括：

2.根据权利要求1所述的调度交换网接入设备异常运行检测方法，其特征在于，在进行所述融合之前还包括：对入站流量数据和出站流量数据，进行归一化处理，再基于归一化处理结果，计算不同数据结构之间的余弦相似度，选取余弦相似度大于设定第一阈值的数据进行融合，得到融合数据。

3.根据权利要求1所述的调度交换网接入设备异常运行检测方法，其特征在于，在所述采用增量计算方法的过程之前还包括：基于融合数据，定义固定时间的滑动窗口，实时捕获流量数据，得到描述调度交换网络接入设备的实时运行状态。

4.根据权利要求1所述的调度交换网接入设备异常运行检测方法，其特征在于，所述基于特征信息，判断接入设备是否异常的过程包括：将每个特征信息视为一个聚类，计算当前特征信息与随机特征信息之间的欧几里得距离，选取欧几里得距离大于设定第二阈值的多个特征信息进行聚类，再计算相邻聚类之间的距离，在满足一定条件时，对相邻的聚类进行合并处理，得到聚类后的特征信息。

5.根据权利要求4所述的调度交换网接入设备异常运行检测方法，其特征在于，所述基于特征信息，判断接入设备是否异常的过程还包括：对聚类后的特征信息进行关联分析，依据正常运行状态相对应的模式规则库，计算聚类后的特征信息与模式规则库中数据的相似性，在相似度大于设定第三阈值时，得出接入设备处于异常运行状态。

6.根据权利要求1所述的调度交换网接入设备异常运行检测方法，其特征在于，所述将异常结果以递归图进行显示的过程包括：基于设备异常运行状态检测输出结果的时间序列，建立n维相空间，将所有输出的异常检测时间序列连接起来，形成递归图结构进行显示。

7.根据权利要求6所述的调度交换网接入设备异常运行检测方法，其特征在于，在递归图结构显示过程中，计算最小延迟时间，根据最小延迟时间计算结果的平均值，确定异常输出时间间隔，控制检测输出接口的输出时间。

8.一种调度交换网接入设备异常运行检测系统，其特征在于，包括：

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-7中任一项所述的调度交换网接入设备异常运行检测方法中的步骤。

10.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1-7中任一项所述的调度交换网接入设备异常运行检测方法中的步骤。

技术总结
本发明涉及电力通信领域，提供了一种调度交换网接入设备异常运行检测方法及系统。该方法包括，获取接入设备的入站流量数据和出站流量数据；将入站流量数据和出站流量数据进行融合，得到融合数据；基于融合数据，采用增量计算方法，计算融合数据的增量样本值，以此计算增量样本的统计量，依据历史样本的统计量和增量样本的统计量，得到当前样本统计值，作为特征信息；基于特征信息，判断接入设备是否异常，并将异常结果以递归图进行显示。

技术研发人员：卞若晨,翟洪婷,孙丽丽,张庆锐,翟启,张延童,权玮虹,刘保臣,王敏,张化代
受保护的技术使用者：国网山东省电力公司信息通信公司
技术研发日：
技术公布日：2024/2/8