本发明涉及工控网络故障点定位,尤其涉及一种基于流量异常检测的工控网络故障点的定位方法。
背景技术:
1、工控网络存在着网络设备多且复杂、分布式部署且地域广等特点,由于横向协议复杂、纵向规模庞大,网络在运行中十分容易出现链路故障、连线错误、交换机流表错误、硬件失效、协议错误等故障,这些故障将使工控网络出现主机不可达、协议不工作、网络拥塞、传输质量下降等不可容忍的错误。此外,针对基础设施网络的攻击,如僵尸网络、回放攻击,也进一步增加了网络故障的可能性。这些故障可引起某些关键业务短时间内无法正常运行,甚至造成停机的严重后果。
2、目前,常用的手段是依赖管理员经验和设备替换对网络故障进行定位和排错,从故障的发现到网络的恢复往往需要几个甚至几十个小时,对于电力、先进制造等对网络故障低容忍的特殊行业,网络的中断可能会带来无法预估的损失。
技术实现思路
1、本发明的目的在于克服现有技术中所述的缺陷,从而提供一种基于流量异常检测的工控网络故障点的定位方法,该定位方法进行了故障点的判断和定位,降低工控网络故障对安全生产造成的影响和损失。
2、为了实现上述目的,本发明提供如下技术方案:
3、一种基于流量异常检测的工控网络故障点的定位方法,包括以下步骤:
4、步骤1:捕获流量;
5、步骤2:提取捕获流量中的特征信息;
6、步骤3:利用判断规则将特征信息与异常流量的匹配规则进行匹配,若匹配为异常流量,则进入步骤4;若匹配为非异常流量,则返回步骤1;
7、步骤4:进一步判断为路由黑洞、大量丢包、广播风暴和链路负载激增的一种,利用各个故障定位方法对故障点进行进一步的定位。
8、步骤4中,路由黑洞异常判断方法为:任意一条路径的交换机上都无法出现数据包。
9、步骤4中,路由黑洞异常定位方法为:在路由黑洞判定中,判断路由黑洞时通过某一个具体的流量,直接得出是哪条流量发生了路由黑洞,并且根据实际检测,得到流量是通过哪条路径发送的,定位这条具体路径上的交换机数据量是在哪一具体位置丢失,以此定位到此流量在何处发生的路由黑洞。
10、优选地,路由黑洞异常判断过程中设置一个检测时间。
11、步骤4中,大量丢包异常判断方法为:通过路径上交换机的数据包差值,得出流量每一跳的丢包情况,并且将流量的跳数丢包映射到链路上,得出链路的丢包数,当链路丢包数总数到达一定比例时,判断为大量丢包。
12、步骤4中,大量丢包异常定位方法为:在大量丢包的检测方式中,直接得出在哪条链路上修包最严重,同时分析出链路上的哪条流量丢包最严重。
13、优选地,大量丢包异常判断过程中设置一个检测时间。
14、步骤4中,广播风暴异常判断方法为:记录测量arp数据包的数据包数目和非arp数据包的数据包数目,通过二者的比例反应是否发生了广播风暴。
15、步骤4中,广播风暴异常定位方法为:统计各个设备发送的arp数据包数目定位是哪些设备在不断发送arp数据包。
16、优选地,在测量比例之前,设置一个稳定后的时间。
17、步骤4中,链路负载激增判断方法为:根据出一条具体的流量在哪些设备商出现,得到流量的实际路径,收到一个镜像数据包后,根据数据包当前所在设备和数据包的路径信息,得出数据包属于哪一个具体的端口,从而计算一条链路的负载,计算一段时间的负载变化,当负载变化值到达阈值,产生相应的报警。
18、步骤4中,链路负载激增定位方法为:分析从两端交换机发送到链路上的流量,判断得出链路负载激增的最直接影响是哪一条流量。
19、与现有技术相比,本发明提供的具有以下有益效果:
20、本发明基于采集的工控镜像流量,对工控网络可能发生的路由黑洞故障、丢包故障、链路负载激增故障、广播风暴故障等进行了故障点的判断和定位,降低工控网络故障对安全生产造成的影响和损失。
21、本发明能够准确快速的检测出工控网络较常见的黑洞故障、丢包故障、链路负载激增故障、广播风暴故障等故障点,提高工控网络的可靠性和高可用性。
1.一种基于流量异常检测的工控网络故障点的定位方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,步骤4中,路由黑洞异常判断方法为:任意一条路径的交换机上都无法出现数据包。
3.根据权利要求2所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,步骤4中,路由黑洞异常定位方法为:在路由黑洞判定中,判断路由黑洞时通过某一个具体的流量,直接得出是哪条流量发生了路由黑洞,并且根据实际检测,得到流量是通过哪条路径发送的,定位这条具体路径上的交换机数据量是在哪一具体位置丢失,以此定位到此流量在何处发生的路由黑洞。
4.根据权利要求2所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,路由黑洞异常判断过程中设置一个检测时间。
5.根据权利要求1所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,步骤4中,大量丢包异常判断方法为:通过路径上交换机的数据包差值,得出流量每一跳的丢包情况,并且将流量的跳数丢包映射到链路上,得出链路的丢包数,当链路丢包数总数到达一定比例时,判断为大量丢包。
6.根据权利要求5所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,步骤4中,大量丢包异常定位方法为:在大量丢包的检测方式中,直接得出在哪条链路上修包最严重,同时分析出链路上的哪条流量丢包最严重。
7.根据权利要求5所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,大量丢包异常判断过程中设置一个检测时间。
8.根据权利要求1所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,步骤4中,广播风暴异常判断方法为:记录测量arp数据包的数据包数目和非arp数据包的数据包数目,通过二者的比例反应是否发生了广播风暴。
9.根据权利要求8所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,步骤4中,广播风暴异常定位方法为:统计各个设备发送的arp数据包数目定位是哪些设备在不断发送arp数据包。
10.根据权利要求8所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,在测量比例之前,设置一个稳定后的时间。
11.根据权利要求1所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,步骤4中,链路负载激增判断方法为:根据出一条具体的流量在哪些设备商出现,得到流量的实际路径,收到一个镜像数据包后,根据数据包当前所在设备和数据包的路径信息,得出数据包属于哪一个具体的端口,从而计算一条链路的负载,计算一段时间的负载变化,当负载变化值到达阈值,产生相应的报警。
12.根据权利要求11所述的基于流量异常检测的工控网络故障点的定位方法,其特征在于,步骤4中,链路负载激增定位方法为:分析从两端交换机发送到链路上的流量,判断得出链路负载激增的最直接影响是哪一条流量。
