CN108156037B - 告警关联分析方法、装置、设备及介质 - Google Patents

Abstract

本发明实施例公开了一种告警关联分析方法、装置、设备及介质。该方法包括：获取告警数据，将告警数据进行线段去重及标准化，得到标准化告警数据；根据标准化告警数据和每类告警数据对应的特征字段构建告警族谱；基于告警族谱，按照预设告警规则挖掘参数挖掘告警关联规则，获得挖掘后告警关联规则；根据挖掘后告警关联规则获得预设告警社交网络；根据告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行告警分析。本发明能有效对海量告警数据合理的去重，通过关联规则挖掘，提升了计算效率，能够迅速抓住告警风暴的主要特征，对告警之间复杂关系，特别是连锁告警发生时的根源告警和衍生告警有更深入的分析。

Description

告警关联分析方法、装置、设备及介质

技术领域

本发明涉及网管告警分析技术领域，尤其涉及一种告警关联分析方法、告警关联分析装置、计算机设备及计算机可读存储介质。

背景技术

随着移动通信网络拓扑结构的日益复杂，各个网络类型在运行过程中都会产生大量告警。一个设备故障可能会使与有业务关联的不同类型设备都产生若干告警，还会以反应链的形式导致其他告警产生。

告警可以分为两种情况：一种是真正存在故障的对象所发出的告警，称为根源告警；另外一种是由于根源告警的出现而使其他相关对象实例不能正常工作，这种情况所产生的告警被称为是衍生告警。在实际网络架构下，当海量告警上报给系统后，系统应能迅速识别根源告警和衍生告警，进而针对根源告警快速准确地确定故障的性质和存在位置，以便迅速排除故障；针对衍生告警提前做出预警，对网络监控人员进行提示。

找到根源告警和衍生告警的关联关系是进行故障分析和衍生告警预警的关键。告警关联分析是利用海量告警数据，通过分析告警的相关性规律，识别出根源告警和衍生告警的关联关系，进而采取相关措施排查故障或对衍生告警进行预警的分析方法。对关联规则梳理并应用，可以使告警的呈现更为简洁清晰和富有逻辑性，避免或减少监控人员的重复性工作，加快对故障的定位速度，有效提高故障管理的工作效率。

现有的告警关联分析技术，分为人工经验和数据挖掘两种：

1)基于人工经验的技术，也是目前主要应用的技术，即依靠维护人员长期的经验积累得到。维护人员通过日常告警出现的情况结合自身知识，梳理出可能具有相关性的告警规则。

2)基于数据挖掘算法的技术，利用关联算法得出频繁项目集，进而生成告警关联规则。经典的关联规则算法有Apriori算法和FP-growth算法。

现有技术中至少存在以下的技术问题:

1.基于人工经验的技术的主要缺点有：

1)专家经验积累速度慢。随着新网络的快速建设，多项新技术、多种网络类型设备同时应用于现网，专家经验积累的速度落后于网络技术变化的速度。

2)对于跨专业的关联如传输、无线、动环设备的关联以及传输、承载、核心网设备的关联由于涉及跨专业部门管理，资源关系复杂，很难综合分析各专业告警之间的关系，更加难以快速形成可IT化的关联规则。

3)规则效果难评估，在实际业务运用中存在不足。规则由专家提供，通过对历史告警进行人工分析计算、对新发生告警验证等方式进行规则效果的评估，工作量大，不易实现。

2.基于数据挖掘算法的技术的主要缺点有：

1)告警关联分析使用的算法基本停留在通用算法上。虽然采用通用算法可以生成大量关联规则，但是产生了过多冗余的计算，而且生成的规则在可用性、准确性和场景适用性上存在不足。

2)目前的关联规则分析还是以计算两两告警之间的关联分析为主。事实上，告警之间还存在更高层次和更复杂的关系，即呈现一种族谱结构和社交网络结构。现有的关联分析视告警关系为孤立的存在，没有从更宏观的角度深入考虑告警的族谱关系和社交网络关系。

综上所述，如何从海量告警数据中，快速发现有效的、未知的关联规则，提升网络告警处理效率，挖掘出告警之间存在的族谱和社交网络，帮助运维人员掌握连锁告警，做出整体决策成为亟待解决的技术问题。

发明内容

本发明实施例提供了一种告警关联分析方法、告警关联分析装置、计算机设备及计算机可读存储介质。

第一方面，本发明实施例提供了一种告警关联分析方法，方法包括：获取告警数据，将告警数据进行线段去重及标准化，得到标准化告警数据；根据标准化告警数据和每类告警数据对应的特征字段构建告警族谱；基于告警族谱，按照预设告警规则挖掘参数挖掘告警关联规则，获得挖掘后告警关联规则；根据挖掘后告警关联规则获得预设告警社交网络；根据告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析或告警特征分析。

第二方面，本发明实施例提供了一种告警关联分析装置，装置包括：标准化单元，用于获取告警数据，将告警数据进行线段去重及标准化，得到标准化告警数据；族谱单元，用于根据标准化告警数据和每类告警数据对应的特征字段构建告警族谱；规则单元，用于基于告警族谱，按照预设告警规则挖掘参数挖掘告警关联规则，获得挖掘后告警关联规则；网络单元，用于根据挖掘后告警关联规则获得预设告警社交网络；分析单元，用于根据告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析或告警特征分析。

第三方面，本发明实施例提供了一种计算机设备，包括：至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。

第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。

本发明实施例提供的告警关联分析方法、告警关联分析装置、计算机设备及计算机可读存储介质，将告警数据进行线段去重及标准化，得到标准化告警数据，能有效对海量告警数据合理的去重、压缩，提升计算效率；根据标准化告警数据和每类告警数据对应的特征字段构建告警族谱，根据告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析以及告警特征分析，能够利用族谱的特点分析告警的族特征，在告警风暴发生时，帮助运维人员迅速抓住告警风暴的主要特征；构造了告警社交网络，对告警之间的复杂关系，特别是连锁告警发生时的根源告警和衍生告警有了更深入的分析，做出更好的整体决策。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明一个实施例提供的告警关联分析方法的流程示意图；

图2示出了本发明一个具体实施例的告警族谱的示意图；

图3示出了本发明一个具体实施例的按告警族谱重构的告警A的示意图；

图4示出了本发明一个具体实施例的告警族谱构建及编码的流程示意图；

图5示出了本发明一个具体实施例的告警关联规则挖掘流程示意图；

图6示出了本发明一个实施例的告警社交网络的示意图；

图7示出了本发明一个具体实施例的衍生告警社交网络的示意图；

图8示出了本发明一个具体实施例的根源告警社交网络的示意图；

图9示出了本发明一个具体实施例的告警族谱的族概率相加的示意图；

图10示出了本发明一个实施例提供的告警关联分析的示意框图；

图11示出了本发明实施例提供的计算机设备的硬件结构示意图。

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

本发明第一方面的实施例提供了一种告警关联分析方法，图1示出了本发明一个实施例提供的告警关联分析方法的流程示意图。该方法包括：

步骤102，获取告警数据，将告警数据进行线段去重及标准化，得到标准化告警数据。

步骤104，根据标准化告警数据和每类告警数据对应的特征字段构建告警族谱。

步骤106，基于告警族谱，按照预设告警规则挖掘参数挖掘告警关联规则，获得挖掘后告警关联规则。

步骤108，根据挖掘后告警关联规则获得预设告警社交网络。

步骤110，根据告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析或告警特征分析。

本发明实施例提供的告警关联分析方法，将告警数据进行线段去重及标准化，得到标准化告警数据，能有效对海量告警数据合理的去重、压缩，提升计算效率；根据标准化告警数据和每类告警数据对应的特征字段构建告警族谱、挖掘后告警关联规则、预设告警社交网络，再基于告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析以及告警特征分析，能够利用族谱的特点分析告警的族特征，在告警风暴发生时，帮助运维人员迅速抓住告警风暴的主要特征；构造了告警社交网络，对告警之间的复杂关系，特别是连锁告警发生时的根源告警和衍生告警有了更深入的分析，做出更好的整体决策。

在一个示例中，步骤102获取告警数据，将告警数据进行线段去重及标准化，得到标准化告警数据，包括：将获取的告警数据按照第一预设时长划分成告警数据线段；获取告警数据线段的时间上限和时间下限；将时间下限与时间上限的差值作为告警数据线段的时长；将时长与第一预设时长的比值作为标准化告警数据。

在该示例中，预先输入历史告警数据，包括全量字段和至少设定时长(如6个月)的告警数据。将告警数据进行线段去重及标准化，得到标准化告警数据的步骤如下：

1)设定第一预设时长：

根据运维经验，提出相关告警时间缓冲区T_buf，认为一条主告警发生时刻前后缓冲区内发生的次告警可能为其关联告警，将两倍的告警时间缓冲区T_buf设定为告警发生单位时间，即第一预设时长，认为如果一条告警连续报警超过缓冲区的2倍时长，可以视为一条新的连续告警，否则视为同一条连续告警。

2)将告警时间序列分割为时间片段：

逐条抽取各告警在指定分析时间段内的时间序列Sa_i。扫描告警时间序列Sa_i，若相邻的同一条告警发生时间未超过第一预设时长(如5分钟)，记录在同一集合内Sa_i，j，称为一个时间片段。直到出现相邻发生时间超过5分钟的告警为止，写入下一时间片段Sa_i，j+1，将写在同一时间片段Sa_i，j内的告警称为连续发生的同一条重复告警。

3)告警时间片段线段化压缩：

将一连串连续发生的告警转化为一条时间轴上的线段。统计每个时间片段的时间上限T_mini，j和下限T_maxi，j。将连续发生的告警转化为一条线段，数学表达为(T_mini，j，T_maxi，j，Tlength)。Tlength＝T_maxi，j-T_mini，j，表示一条连续告警的持续时长。如此，将获取的告警数据按照第一预设时长划分成告警数据线段。

4)标准化告警发生量：

将一条连续发生的告警标准化为以告警发生单位时间(2×T_buf)计量的发生量标准值St_i，j

令St_i，j＝Tlength/(2×T_buf)

其中，T_buf为时间缓冲区。如此，通过获取告警数据线段的时间上限和时间下限，将时间下限与时间上限的差值作为告警数据线段的时长，再将告警数据线段的时长与第一预设时长的比值作为标准化告警数据，避免了在网络管理场景中，当出现同一条告警长时间连续重复报告的情况，如果不对同一条告警信息压缩合并，会让同一条重复的告警大量出现，误导性的提高该告警的发生高频次和重要性，与实际的运维场景不符的情况发生，实现了有效对海量告警数据合理的去重、压缩，提升了计算效率。

在此基础上，下文关于告警发生量等的含义都指的是告警线段化标准化后的告警数据，而非原告警数据。

在一个示例中，步骤104根据标准化告警数据和每类告警数据对应的特征字段构建告警族谱包括：获取每类告警数据对应的特征字段以及特征字段包含的字段子类；根据每类告警数据和包含特征字段的告警数据计算每类告警数据的字段族概率；根据每类告警数据和包含字段子类的告警数据计算每类告警数据的子类族概率；根据字段族概率和子类族概率构建告警族谱。

在该示例中，构建告警族谱具体包括：

1)获取每类告警数据对应的特征字段以及特征字段包含的字段子类：每种告警包含若干属性特征字段，每个属性特征字段包含若干字段子类。

2)计算字段族概率：

计算每类告警在对应特征字段中的发生概率，即某条告警在该字段告警中的发生概率：

P_flied＝#(alarm_x)/#(flied_x)

其中，#(alarm_x)表示历史告警数据中的发生次数，#(flied_x)表示含有此字段的告警发生次数。

3)计算子类族概率：

计算每类告警在对应特征字段子类中的发生概率，即某条告警在该子类告警中的发生概率：

P_listclass＝#(alarm_x)/#(class_x)

其中，#(alarm_x)表示历史告警数据中的发生次数，#(class_x)表示含有此字段子类的告警发生次数。

4)根据字段族概率和子类族概率构建告警族谱。

在一个示例中，上一示例中步骤4)根据字段族概率和子类族概率构建告警族谱包括：根据子类族概率计算子类族概率序列方差；根据子类族概率序列方差按照第一预设规则将字段子类进行排序；根据字段子类按照第二预设规则将特征字段进行排序；或字段子类和子类族概率序列方差按照第三预设规则将特征字段进行排序；根据排序后的字段子类和其对应的子类族概率、排序后的特征字段以及其对应的字段族概率构建告警族谱。

在该示例中，根据子类族概率计算子类族概率序列方差，计算每种告警在某特征字段中的各子类发生概率：

P_S＝{P₁，P₂，...，P_N}

则子类族概率序列方差：

其中，

为P_S的均值。

通过对特征字段及其字段子类排序，构造出告警族谱。如图2示出了一个具体实施例的告警族谱，参与分析的历史告警数据拥有5个告警特征字段，通过计算每个告警字段所含有的子类数及其族概率，进而计算字段间排序和各字段中子类的排序。根据子类族概率序列方差按照第一预设规则将字段子类进行排序，第一预设规则为：依照字段子类族概率大小排序，概率大的排在前面；如果各字段子类数目不同，则根据字段子类按照第二预设规则将特征字段进行排序，第二预设规则为：依照特征字段子类数目排序，数目大的排在前面；如各字段子类数目中存在相同情况，则根据字段子类和子类族概率序列方差按照第三预设规则将特征字段进行排序，第三预设规则为：先依照特征字段子类数目排序，数目大的排在前面，数目相同的，依照子类族概率序列方差排序，方差小的排在前面。

在一个示例中，在步骤4)根据字段族概率和子类族概率构建告警族谱之后还包括：应用告警族谱，按照预设模式关系对每类告警数据重建；按照第四预设规则对重建后的每类告警数据编码，以获得每类告警数据对应的告警族谱编码。其中，预设模式关系包括：告警数据与特征字段及字段族概率的对应关系、告警数据与字段子类及子类族概率的对应关系。

在该示例中，在构建成如图2所示的告警族谱后，利用告警族谱对每一种告警进行重构。例如一种告警A，被构造为如图3所示形式，如图3所示，告警A含有字段1至字段5，分别对应的子类为第2类，第1类，第2类，第1类，第3类，则告警A可以被编码为2.1.2.1.3，用该编码表示告警A。其中，在图3中，“字段1”下边的单词“A_P”表示其特征字段概率，“A_P1.2”表示告警A的字段1里边的字段子类为第2类，其子类概率为A_P1.2。

在一个示例中，进行告警族谱构建及编码的流程如图4所示，在该示例中，将编码后的告警族谱传给实现告警关联挖掘的模块，实现计算简化。同时，在各特征字段和类别节点中存储告警数据对应的族概率，为告警特征族分析做准备。

在一个示例中，步骤106基于告警族谱，按照预设告警规则挖掘参数挖掘告警关联规则，获得挖掘后告警关联规则包括：根据告警数据的主次关系定义告警关联规则；根据时间上限、时间下限以及第二预设时长获取告警数据线段的影响时长；根据影响时长和第一预设时长计算告警关联规则的支持度，删除支持度小于第一阈值的告警关联规则；根据支持度计算告警关联规则的置信度，删除置信度小于第二阈值的告警关联规则；根据删除后的告警关联规则获得挖掘后告警关联规则；其中，第一预设时长等于两倍第二预设时长。

在该示例中，从大规模数据集中寻找物品间的隐含关系被称作关联分析或者关联规则挖掘。关联分析是一种在大规模数据集中寻找有趣关系的任务。频繁项集是经常出现在一块的物品的集合，关联规则暗示两种物品之间可能存在很强的关系。比如告警关联规则

这意味这如果告警X发生了，极有可能在一定时间内发生告警Y。基于上述理论，进行如下定义：

定义1：关联规则：

给定一组项目I＝{I_i，I₂，I₃，…，I_m}。关联规则是形如

的蕴含式，其中

是两个项目集合，称为项目集并且

一个项集的支持度被定义为数据集中包含该项集的记录所占的比例。支持度是针对项集来说的，因此可以定义一个最小支持度，而只保留满足最小支持度的项集。这里可以变通的定义支持度为告警发生次数而不是比例。

定义2：支持度：

关联规则

的支持度(s)是数据库中包含X∪Y的事物占库中所有事物的百分比，为了直观理解，这里变通的定义为包含X∪Y的事物的数量。规则

的支持度(s)是概率P(X，Y)≈#(X，Y)/#，变化为#(X，，Y)，其中#表示发生的数量。

置信度是针对一条诸如告警

的关联规则来定义的。这条规则的置信度被定义为“支持度(告警X，告警Y)/支持度(告警X)”。

定义3：置信度：

关联规则

的置信度(α)是包含X∪Y的事物与包含X的事物数的比值。置信度是条件概率P(Y|X)≈#(X，Y)/#(X)的估计值。

基于上述定义，首先，将一连串连续发生的告警在转化为一条时间轴上的线段。统计每个时间片段的时间上限T_mini，j和下限T_maxi，j。Tbuf为时间缓冲区。将连续发生的告警及其扩展缓冲区转化为一条线段，数学表达为(timel，time2，Tlength)。timel为时间片段最早发生时刻T_mini，j减去告警时间缓冲区，time2为时间片段最晚发生时刻T_maxi，j加上告警时间缓冲区，Tlength＝time2-time1，表示一条连续告警的影响时长。

如果一条主告警和一条次告警线段在影响时长内相交，即表示这是一对关联告警。线段相交的部分表示告警相互影响时长。遍历相关主次告警，寻找相交的主次告警线段。如果两条主次告警线段发生相交，计算相交线段的长度，记为In(X，Y)。将相交线段的长度标准化为以告警发生单位时间(2×T_buf)计量的告警规则发生量标准值St(X，Y)

令St(X，Y)＝In(X，Y)/(2×T_buf)

然后，重新定义支持度和置信度：

支持度(s)是概率P(X，Y)≈#(X，Y)/#，这里变为∑St(X，Y)，其中∑St表示告警标准值之和。

置信度(α)是条件概率P(Y|X)≈#(X，Y)/#(X)，变为∑St(X，Y)/∑St(X)。

在一个具体实施例中，告警关联规则挖掘流程如图5所示。在该实施例中，告警线段化编码关联规则挖掘算法采用基于MapReduce算法的分布式计算引擎实现，如Spark，采用的计算引擎能支持海量数据处理，用于大规模并行和分布式数据处理。

在一个示例中，步骤108根据挖掘后告警关联规则获得预设告警社交网络包括：在挖掘后告警关联规则中搜索以任一告警数据为主告警数据的挖掘后告警关联规则；根据满足第一预设条件的衍生告警数据获得衍生告警社交网络；其中，第一预设条件为：衍生告警社交网络任一条支链的各级度置信度乘积小于第三预设阈值。

在该示例中，告警社交网络的定义：一个告警社交网络是由告警节点集合以及连接节点的边的集合组成，用符号(N，E)表示，其中，N表示节点的集合，E表示边的集合。节点表示一种告警。边表示告警之间的关联关系，箭头的方向表示主次关联关系。例如，图6中的网路可以描述为：N＝{1，2，3，4，5}表示5种告警。E＝{(1，2)，(1，3)，(2，3)，(2，5)，(3，4)，(3，5)，(4，2)，(4，5)，(5，2)}表示5种告警之间存在的关联关系。

如果两条告警有关联关系，那它们之间有一条有向边连接。相似以告警A为例的一个具体示例中，构造衍生告警生长社交网络。该过程包括：

a.在挖掘后的关联规则库中，搜索以告警A为主告警的关联规则，关联规则置信度要大于阈值α_th＝0.6。首先找到符合条件的三条告警，

它们的置信度分别为α_AB＝0.9、α_AC＝0.95、α_AD＝0.85。

b.衍生告警社交网络生长：

以告警关联规则

为例，规则置信度阈值α_th＝0.6，α_AC＝0.95。衍生告警社交网络生长，告警关联规则

向下一级生长。要符合条件：α_ACC.＞α_th/α_AC即该具体示例中，社交网络向下一级生长时就是要在关联规则库中寻找α_ACC.＞0.6/0.95的关联规则。告警关联规则

的置信度α_ACC.＝0.75大于0.63。故衍生告警社交网络可以向下一级生长。接着寻找是否有关联规则满足α_ACC.C..＞(α_th·α_ACC.)/α_AC。在本示例中α_ACC.C..＝0.9，(α_th·α_ACC.)/α_AC＝(0.6*0.75)/0.95＝0.47，故衍生告警社交网络可以继续向下一级生长。依次类推，直到找不到符合条件的关联规则为止。

第一预设条件就是衍生告警社交网络一条支链的各级度阈值之积要小于置信度阈值α_th，即

其中α_j表示支链中某一级的置信度，M为支链的长度。以告警支链

为例，α_AC＝0.95，α_AC.＝0.75，α_AC..＝0.9。故

大于置信度阈值α_th＝置信度阈值α_th＝0.6。故该条衍生告警社交网络支链符合条件。该具体示例中的衍生告警社交网络生长如图7所示，以告警A为圆心层层向外寻找符合条件的关联规则，直到不符合条件后，社交网络停止生长。

在一个示例中，步骤108根据挖掘后告警关联规则获得预设告警社交网络包括：在挖掘后告警关联规则中搜索以任一告警数据为次告警数据的挖掘后告警关联规则；根据满足第二预设条件的衍生告警数据获得根源告警社交网络；其中，第二预设条件为：根源告警社交网络任一条支链的各级度置信度乘积小于第四预设阈值。

在一个具体示例中，以告警A为例，构造根源告警生长社交网络。这个过程与衍生告警生长社交网络的构造过程类似，该过程包括：

a.在关联规则库中，搜索以告警A为次告警的关联规则，关联规则置信度要大于阈值α_th＝0.6。首先找到符合条件的三条告警，

它们的置信度分别为α_BA＝0.85、α_CA＝0.75、α_DA＝0.9。

b.根源告警社交网络生长：

以告警关联规则

为例。规则置信度阈值α_th＝0.6，α_BA＝0.85。根源告警社交网络生长，告警关联规则

向下一级生长。要符合条件：α_BB.A.＞α_th/α_BA即本例中，社交网络向下一级生长时就是要在关联规则库中寻找α_BB.A＞0.6/0.85的关联规则。告警关联规则

和关联规则

的置信度α_BB.1A.＝0.8，α_BB.2A.＝0.78大于0.71。故衍生告警社交网络可以向下一级生长。接着寻找是否有关联规则α_BB.B..A＞(α_th·α_BB.A)/α_BA，依次类推，直到找不到符合条件的关联规则为止。最终生成如图8所示的根源告警社交网络。

第二预设条件就是根源告警社交网络一条支链的各级度阈值之积要小于置信度阈值α_th，即

其中，α_j表示支链中某一级的置信度，M为支链的长度。

在一个示例中，在步骤108根据挖掘后告警关联规则获得预设告警社交网络之后，还包括：将告警族谱、挖掘后告警关联规则、预设告警社交网络保存至告警数据库。

在该示例中，运维专家结合现网设备实际情况、规则部署的实用性、可行性等因素对挖掘后的关联规则进行筛选确认，得出融合专家经验的、可用的挖掘后告警关联规则。并与前面计算得到的告警族谱、告警社交网络一起存入告警知识库。将告警知识库存入集中告警管理系统，等待实时告警发生，触发知识库的知识，对海量发生时的告警根源告警、衍生告警，告警风暴特征做出分析。

在一个示例中，步骤110根据告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析以及告警特征分析包括：获取实时告警数据；若实时告警数据是主告警，则利用挖掘后告警关联规则获取与主告警关联的次告警，基于主告警和次告警，调用衍生告警社交网络，对主告警的衍生告警进行预警；若实时告警数据是次告警，则利用挖掘后告警关联规则获取与次告警关联的主告警，基于次告警和主告警，调用根源告警社交网络，对次告警的根源告警进行告警分析。

在该示例中，发现指定告警后，与告警关联知识库做匹配。如果发现指定告警是主告警，利用规则库找到关联的次告警，并调用根源告警的社交网路，对社交网络中涉及的连锁衍生告警进行预警。如果发现指定告警是次告警，利用规则库找到关联的主告警，并调用根源告警的社交网路，对社交网络中涉及的告警进行连锁根源告警分析。

在一个示例中，步骤110根据告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析以及告警特征分析包括：根据第三预设时长内的多种实时告警数据构建与其对应的告警族谱；将告警族谱对应位置的字段族概率和子类族概率相加；获取相加后的族概率大于第五阈值的字段族概率和子类族概率；分别将字段族概率对应的特征字段和子类族概率对应的字段子类作为批量告警的主要特征。

在该示例中，对接入的一段时间内的实时告警做告警线段化去重标准化；计算一条处理后的告警族概率，并将告警转化为如图3所示的告警族谱的形式；将一段时间内的告警族谱的族概率相加，以图9所示，将告警A与告警B对应位置的族概率进行相加，得到告警族谱特征概率分布；检索出族概率超过阈值的特征字段或字段子类，该特征字段或字段子类是本次批量告警发生时的主要特征。如此，能快速计算出告警的族概率分布，分析得到告警的主要特征字段和子类。在告警风暴发生时，该方法能有效分析出告警的主要特征。

在一个示例中，在步骤110根据告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析以及告警特征分析之后，还包括：将告警分析结果实时显示或发送至指定终端。

在该示例中，展示实时告警分析后得到的告警族谱和告警社交网络。并将预警信息或者根源告警分析信息，以指定的形式反馈到指定的地方。比如，以弹窗、邮件、短信的形式反馈给干系人。

本发明第二方面的实施例提供了一种告警关联分析装置100，图10示出了本发明一个实施例提供的告警关联分析装置100的示意框图。如图10所示，告警关联分析装置100包括：标准化单元10、族谱单元20、规则单元30、网络单元40和分析单元50。

本发明实施例提供的告警关联分析装置100中，标准化单元10，用于获取告警数据，将告警数据进行线段去重及标准化，得到标准化告警数据；族谱单元20，用于根据标准化告警数据和每类告警数据对应的特征字段构建告警族谱；规则单元30，用于基于告警族谱，按照预设告警规则挖掘参数挖掘告警关联规则，获得挖掘后告警关联规则；网络单元40，用于根据挖掘后告警关联规则获得预设告警社交网络；分析单元50，用于根据告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析或告警特征分析。该实施例提供的告警关联分析装置100，将告警数据进行线段去重及标准化，得到标准化告警数据，能有效对海量告警数据合理的去重、压缩，提升计算效率；根据标准化告警数据和每类告警数据对应的特征字段构建告警族谱，根据告警族谱、挖掘后告警关联规则、预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析以及告警特征分析，能够利用族谱的特点分析告警的族特征，在告警风暴发生时，帮助运维人员迅速抓住告警风暴的主要特征；构造了告警社交网络，对告警之间的复杂关系，特别是连锁告警发生时的根源告警和衍生告警有了更深入的分析，做出更好的整体决策。

在一个示例中，标准化单元10具体用于将获取的告警数据按照第一预设时长划分成告警数据线段；获取告警数据线段的时间上限和时间下限，将时间下限与时间上限的差值作为告警数据线段的时长；将时长与第一预设时长的比值作为标准化告警数据。

在一个示例中，族谱单元20具体用于获取每类告警数据对应的特征字段以及特征字段包含的字段子类；根据每类告警数据和包含特征字段的告警数据计算每类告警数据的字段族概率；根据每类告警数据和包含字段子类的告警数据计算每类告警数据的子类族概率；根据字段族概率和子类族概率构建告警族谱。

在一个示例中，族谱单元20具体还用于根据子类族概率计算子类族概率序列方差；根据子类族概率序列方差按照第一预设规则将字段子类进行排序；根据字段子类按照第二预设规则将特征字段进行排序；或根据字段子类和子类族概率序列方差按照第三预设规则将特征字段进行排序；根据排序后的字段子类和其对应的子类族概率、排序后的特征字段以及其对应的字段族概率构建告警族谱。

在一个示例中，告警关联分析装置100还用于应用告警族谱，按照预设模式关系对每类告警数据重建；按照第四预设规则对重建后的每类告警数据编码，以获得每类告警数据对应的告警族谱编码。其中，预设模式关系包括：告警数据与特征字段及字段族概率的对应关系、告警数据与字段子类及子类族概率的对应关系。

在一个示例中，规则单元30具体用于根据告警数据的主次关系定义告警关联规则；根据时间上限、时间下限以及第二预设时长获取告警数据线段的影响时长；根据影响时长和第一预设时长计算告警关联规则的支持度，删除支持度小于第一阈值的告警关联规则；根据支持度计算告警关联规则的置信度，删除置信度小于第二阈值的告警关联规则；根据删除后的告警关联规则获得挖掘后告警关联规则；其中，第一预设时长等于两倍第二预设时长。

在一个示例中，网络单元40具体用于在挖掘后告警关联规则中搜索以任一告警数据为主告警数据的挖掘后告警关联规则；根据满足第一预设条件的衍生告警数据获得衍生告警社交网络；其中，第一预设条件为：衍生告警社交网络任一条支链的各级度置信度乘积小于第三预设阈值。

在一个示例中，网络单元40具体用于在挖掘后告警关联规则中搜索以任一告警数据为次告警数据的挖掘后告警关联规则；根据满足第二预设条件的衍生告警数据获得根源告警社交网络；其中，第二预设条件为：根源告警社交网络任一条支链的各级度置信度乘积小于第四预设阈值。

在一个示例中，告警关联分析装置100还用于将告警族谱、挖掘后告警关联规则、预设告警社交网络保存至告警数据库。

在一个示例中，分析单元50具体用于获取实时告警数据；若实时告警数据是主告警，则利用挖掘后告警关联规则获取与主告警关联的次告警，基于主告警和次告警，调用衍生告警社交网络，对主告警的衍生告警进行预警；若实时告警数据是次告警，则利用挖掘后告警关联规则获取与次告警关联的主告警，基于次告警和主告警，调用根源告警社交网络，对次告警的根源告警进行告警分析。

在一个示例中，分析单元50具体用于根据第三预设时长内的多种实时告警数据构建与其对应的告警族谱；将告警族谱对应位置的字段族概率和子类族概率相加；获取相加后的族概率大于第五阈值的字段族概率和子类族概率；分别将字段族概率对应的特征字段和子类族概率对应的字段子类作为批量告警的主要特征。

在一个示例中，告警关联分析装置100还用于将告警分析结果实时显示或发送至指定终端。

另外，结合图1描述的本发明实施例的告警关联分析方法可以由计算机设备来实现。图11示出了本发明实施例提供的计算机设备的硬件结构示意图。

计算机设备可以包括处理器401以及存储有计算机程序指令的存储器402。

具体地，上述处理器401可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，ASIC)，或者可以被配置成实施本发明实施例的一个或多个集成电路。

存储器402可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器402可包括硬盘驱动器(Hard Disk Drive，HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus，USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器402可在数据处理装置的内部或外部。在特定实施例中，存储器402是非易失性固态存储器。在特定实施例中，存储器402包括只读存储器(ROM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。

处理器401通过读取并执行存储器402中存储的计算机程序指令，以实现上述实施例中的任意一种告警关联分析方法。

在一个示例中，计算机设备还可包括通信接口403和总线410。其中，如图11所示，处理器401、存储器402、通信接口403通过总线410连接并完成相互间的通信。

通信接口403，主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。

总线410包括硬件、软件或两者，将XXX设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线410可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线，但本发明考虑任何合适的总线或互连。

另外，结合上述实施例中的告警关联分析方法，本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种告警关联分析方法。

需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。

以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。

Claims (13)

1.一种告警关联分析方法，其特征在于，所述方法包括：

获取告警数据，将所述告警数据进行线段去重及标准化，得到标准化告警数据；

根据所述标准化告警数据和每类告警数据对应的特征字段构建告警族谱；

基于所述告警族谱，按照预设告警规则挖掘参数挖掘告警关联规则，获得挖掘后告警关联规则；

根据所述挖掘后告警关联规则获得预设告警社交网络；

根据所述告警族谱、所述挖掘后告警关联规则、所述预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析或告警特征分析；

其中，所述获取告警数据，将所述告警数据进行线段去重及标准化，得到标准化告警数据的步骤，包括：

将获取的所述告警数据按照第一预设时长划分成告警数据线段；

获取所述告警数据线段的时间上限和时间下限，将所述时间下限与所述时间上限的差值作为所述告警数据线段的时长；

将所述时长与所述第一预设时长的比值作为所述标准化告警数据的发生量；

其中，所述告警族谱和所述预设告警社交网络分别为基于所述告警数据的网络拓扑结构中的一种。

2.根据权利要求1所述的方法，其特征在于，所述根据所述标准化告警数据和每类告警数据对应的特征字段构建告警族谱的步骤，包括：

获取所述每类告警数据对应的特征字段以及所述特征字段包含的字段子类；

根据所述每类告警数据和包含所述特征字段的告警数据计算所述每类告警数据的字段族概率；

根据所述每类告警数据和包含所述字段子类的告警数据计算所述每类告警数据的子类族概率；

根据所述字段族概率和所述子类族概率构建所述告警族谱。

3.根据权利要求2所述的方法，其特征在于，根据所述字段族概率和所述子类族概率构建所述告警族谱的步骤，包括：

根据所述子类族概率计算子类族概率序列方差；

根据所述子类族概率序列方差按照第一预设规则将所述字段子类进行排序；

根据所述字段子类按照第二预设规则将所述特征字段进行排序；或

根据所述字段子类和所述子类族概率序列方差按照第三预设规则将所述特征字段进行排序；

根据排序后的字段子类和其对应的子类族概率、排序后的特征字段以及其对应的字段族概率构建所述告警族谱。

4.根据权利要求3所述的方法，其特征在于，在根据所述标准化告警数据和每类告警数据对应的特征字段构建告警族谱之后，还包括：

应用所述告警族谱，按照预设模式关系对所述每类告警数据重建；

按照第四预设规则对重建后的每类告警数据编码，以获得每类告警数据对应的告警族谱编码；

其中，所述预设模式关系包括：告警数据与特征字段及字段族概率的对应关系、告警数据与字段子类及子类族概率的对应关系。

5.根据权利要求1所述的方法，其特征在于，所述基于所述告警族谱，按照预设告警规则挖掘参数挖掘告警关联规则，获得挖掘后告警关联规则的步骤，包括：

根据所述告警数据的主次关系定义所述告警关联规则；

根据所述时间上限、所述时间下限以及第二预设时长获取所述告警数据线段的影响时长；

根据所述影响时长和所述第一预设时长计算所述告警关联规则的支持度，删除所述支持度小于第一阈值的所述告警关联规则；

根据所述支持度计算所述告警关联规则的置信度，删除所述置信度小于第二阈值的所述告警关联规则；

根据删除后的所述告警关联规则获得所述挖掘后告警关联规则；

其中，所述第一预设时长等于两倍所述第二预设时长。

6.根据权利要求1所述的方法，其特征在于，所述根据所述挖掘后告警关联规则获得预设告警社交网络的步骤，包括：

在所述挖掘后告警关联规则中搜索以任一告警数据为主告警数据的挖掘后告警关联规则；

根据满足第一预设条件的衍生告警数据获得所述衍生告警社交网络；

其中，第一预设条件为：所述衍生告警社交网络任一条支链的各级置信度乘积小于第三预设阈值。

7.根据权利要求6所述的方法，其特征在于，所述根据所述挖掘后告警关联规则获得预设告警社交网络的步骤，包括：

在所述挖掘后告警关联规则中搜索以任一告警数据为次告警数据的挖掘后告警关联规则；

根据满足第二预设条件的衍生告警数据获得所述根源告警社交网络；

其中，第二预设条件为：所述根源告警社交网络任一条支链的各级置信度乘积小于第四预设阈值。

8.根据权利要求1所述的方法，其特征在于，在所述根据所述挖掘后告警关联规则获得预设告警社交网络之后，还包括：

将所述告警族谱、所述挖掘后告警关联规则、所述预设告警社交网络保存至告警数据库。

9.根据权利要求7所述的方法，其特征在于，所述根据所述告警族谱、所述挖掘后告警关联规则、所述预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析或告警特征分析的步骤，包括：

获取所述实时告警数据；

若所述实时告警数据是所述主告警，则利用所述挖掘后告警关联规则获取与所述主告警关联的次告警，基于所述主告警和所述次告警，调用所述衍生告警社交网络，对所述主告警的衍生告警进行预警；

若所述实时告警数据是所述次告警，则利用所述挖掘后告警关联规则获取与所述次告警关联的主告警，基于所述次告警和所述主告警，调用所述根源告警社交网络，对所述次告警的根源告警进行告警分析。

10.根据权利要求2所述的方法，其特征在于，所述根据所述告警族谱、所述挖掘后告警关联规则、所述预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析或告警特征分析的步骤，包括：

根据第三预设时长内的多种实时告警数据构建与其对应的告警族谱；

将所述告警族谱对应位置的字段族概率和子类族概率相加；

获取相加后的族概率大于第五阈值的字段族概率和子类族概率；

分别将所述字段族概率对应的特征字段和所述子类族概率对应的字段子类作为批量告警的主要特征。

11.一种告警关联分析装置，其特征在于，所述装置包括：

标准化单元，用于获取告警数据，将所述告警数据进行线段去重及标准化，得到标准化告警数据；

族谱单元，用于根据所述标准化告警数据和每类告警数据对应的特征字段构建告警族谱；

规则单元，用于基于所述告警族谱，按照预设告警规则挖掘参数挖掘告警关联规则，获得挖掘后告警关联规则；

网络单元，用于根据所述挖掘后告警关联规则获得预设告警社交网络；

分析单元，用于根据所述告警族谱、所述挖掘后告警关联规则、所述预设告警社交网络对实时告警数据进行根源告警分析、衍生告警分析或告警特征分析；

其中，所述标准化单元具体用于将获取的所述告警数据按照第一预设时长划分成告警数据线段；获取所述告警数据线段的时间上限和时间下限，将所述时间下限与所述时间上限的差值作为所述告警数据线段的时长；将所述时长与所述第一预设时长的比值作为所述标准化告警数据的发生量；

其中，所述告警族谱和所述预设告警社交网络分别为基于所述告警数据的网络拓扑结构中的一种。

12.一种计算机设备，其特征在于，包括：至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令，当所述计算机程序指令被所述处理器执行时实现如权利要求1至10中任一项所述的方法。

13.一种计算机可读存储介质，其上存储有计算机程序指令，其特征在于，当所述计算机程序指令被处理器执行时实现如权利要求1至10中任一项所述的方法。

Images