CN109992484A - 一种网络告警相关性分析方法、装置和介质 - Google Patents
一种网络告警相关性分析方法、装置和介质 Download PDFInfo
- Publication number
- CN109992484A CN109992484A CN201810001013.9A CN201810001013A CN109992484A CN 109992484 A CN109992484 A CN 109992484A CN 201810001013 A CN201810001013 A CN 201810001013A CN 109992484 A CN109992484 A CN 109992484A
- Authority
- CN
- China
- Prior art keywords
- alarm data
- network alarm
- network
- feature vector
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
- G06F11/3082—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by aggregating or compressing the monitored data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络告警相关性分析方法、装置和介质,用以降低网络告警事件处理对人工经验的依赖,提高网络告警事件的效率。所述网络告警相关性分析方法,包括:从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列;针对每一时间窗口对应的网络告警数据序列,从该网络告警数据序列中包含的网络告警数据中提取特征词得到特征向量;针对每一特征向量,分别确定该特征向量与其它特征向量之间的距离;确定距离不大于预设距离阈值的特征向量所对应的网络告警数据为与该特征向量对应的网络告警数据相关的网络告警数据。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种网络告警相关性分析方法、装置和介质。
背景技术
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
通信网络故障分析问题一直是一个十分困难的事情,需要多个专业的专家一同协作排查。由于通信网络在复杂、异构的网络结构中,网元数量巨大,当网络中发生故障的时候,会因为业务、设备的逻辑或物理关联导致短时间内告警数量爆发,对确定故障原因无意义的大量告警事件非常多,从而淹没故障的真正原因,给管理人员问题发现与排查造成很大困难。要解决这些问题,首先要第一时间,甚至提前从网络告警数据中发现故障发生,并发出预警,还需要找出根源原因,也就是分析告警的相关性。对于网络故障的相关性分析,目前业界有几种典型方法,如分析案例和基于规则的告警分析方法。
其中,基于规则的告警分析,是指网络专家通过对网络中实时产生的大量告警进行分析,总结出告警的规则,并储存在告警规则库中。在工作存储区存放一些被管网络的拓扑信息,当有故障出现的时候,首先与告警规则库中的已知规则进行比较,并进行告警信息的相关性分析,从而找出故障原因。案例分析法,是指每次故障出现的时候,网管人员会将发生故障的时间以及解决办法都记录成案例的形式。当遇到新问题的时候,就通过分析的方法,运用已知的经验来解决。如果未出现过此类问题,那么解决后的问题就加入到案例库中,成为经验。
上述第一种方法主要依靠网管人员在日常工作中总结出规则,因此该方法的缺点在于:依赖网管人员总结,会有获取瓶颈;而且规则随着时间会变得越来越多,当规模到达一定程度,维护变得很难;另外,系统和网络拓扑结构变化太快,规则可能会过时,给规则库维护带来更多的困难;当故障发生的时候,系统无法利用以前的经验,而是要从大量的规则里查找,效率不高。而上述第二种方法,需要多专业的领域专家共同协作解决问题,且没有通用的方法;网络情况复杂多变,一件告警事件的解决方法很难复用到其他问题上;处理过程时间长且复杂,不能满足告警事件实时性要求。
发明内容
本发明实施例提供一种网络告警相关性分析方法、装置和介质,用以降低网络告警事件处理对人工经验的依赖,提高网络告警事件的效率。
第一方面,提供一种网络告警相关性分析方法,包括:
从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列;
针对每一时间窗口对应的网络告警数据序列,从该网络告警数据序列中包含的网络告警数据中提取特征词得到特征向量;
针对每一特征向量,分别确定该特征向量与其它特征向量之间的距离;
确定距离不大于预设距离阈值的特征向量所对应的网络告警数据为与该特征向量对应的网络告警数据相关的网络告警数据。
可选地,从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列,具体包括:
采集网络告警数据;
对采集的网络告警数据进行预处理;
对预处理后的网络告警数据按照预设时长进行切分;
从切分得到的、预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列。
可选地,针对每一网络告警数据,按照以下公式从该网络告警数据中提取特征词得到特征向量:其中:
C为整个告警数据库中的词库;
v为从该网络告警数据中提取的一个特征词;
Context(v)由v前后各c个词构成,c为正整数;
yv,p表示从该网络告警数据中提取的第p个特征词对应的概率,N为词库中包含的所有词的数量。
可选地,针对任两个特征向量,按照以下公式确定该两个特征向量之间的距离:其中:
w1,w2,w3…,wn分别表示该时间窗口包含的每一网络告警数据对应的特征向量,n为正整数;
K表示所述特征向量的维数;
i和j为特征向量标识。
第二方面,提供一种网络告警相关性分析装置,包括:
网络告警数据提取单元,用于从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列;
特征提取单元,用于针对每一时间窗口对应的网络告警数据序列,从该网络告警数据序列中包含的网络告警数据中提取特征词得到特征向量;
第一确定单元,用于针对每一特征向量,分别确定该特征向量与其它特征向量之间的距离;
第二确定单元,用于确定距离不大于预设距离阈值的特征向量所对应的网络告警数据为与该特征向量对应的网络告警数据相关的网络告警数据。
可选地,所述网络告警数据提取单元,包括:
采集子单元,用于采集网络告警数据;
预处理子单元,用于对所述采集子单元采集的网络告警数据进行预处理;
切分子单元,用于对预处理后的网络告警数据按照预设时长进行切分;
提取子单元,用于从切分得到的、预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列。
可选地,所述特征提取单元,具体用于针对每一网络告警数据,按照以下公式从该网络告警数据中提取特征词得到特征向量:其中:
C为整个告警数据库中的词库;
v为从该网络告警数据中提取的一个特征词;
Context(v)由v前后各c个词构成,c为正整数;
yv,p表示从该网络告警数据中提取的第p个特征词对应的概率,N为词库中包含的所有词的数量。
可选地,所述第一确定单元,具体用于针对任两个特征向量,按照以下公式确定该两个特征向量之间的距离:其中:
w1,w2,w3…,wn分别表示该时间窗口包含的每一网络告警数据对应的特征向量,n为正整数;
K表示所述特征向量的维数;
i和j为特征向量标识。
第三方面,提供一种计算装置,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行上述任一方法所述的步骤。
第四方面,提供一种计算机可读介质,其特征在于,其存储有可由计算装置执行的计算机程序,当所述程序在计算装置上运行时,使得所述计算装置执行上述任一方法所述的步骤。
本发明实施例提供的网络告警相关性分析方法、装置和介质,针对预设时间窗口大小内的网络告警数据,提取每一网络告警数据的特征词得到特征向量,针对每一特征向量,分别计算该特征向量与同一时间窗口内的其他特征向量之间的距离,来判断该特征向量对应的网络告警数据与同一时间窗口内的其他网络告警数据之间的相关性,这样,可以将某一告警事件的相关网络告警数据聚合在一起,提高了网络告警时间的处理效率,上述过程中,无需依赖人工经验,因此,降低了对人工经验的依赖。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例中,网络告警相关性分析方法的实施流程示意图;
图2为本发明实施例中,获得告警数据序列;
图3为本发明实施例中,网络告警相关性分析装置的结构示意图;
图4根据本发明实施方式的计算装置的结构示意图。
具体实施方式
为了提高网络告警事件处理的效率,减少网络告警时间处理对人工经验的依赖,本发明实施例提供一种网络告警相关性分析方法、装置和介质。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
本发明实施例中,将网络告警数据从不易分类的原始数据空间,通过深度神经网络的映射到特征空间,一方面可以降低维度,另一方面可以得到更准确完整的关联分析结果,为网络故障检测提供有效信息。
如图1所示,其为本发明实施例提供的网络告警相关性分析方法的实施流程示意图,可以包括以下步骤:
S11、从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列。
S12、针对每一时间窗口对应的网络告警数据序列,从该网络告警数据序列中包含的网络告警数据中提取特征词得到特征向量。
S13、针对每一特征向量,分别确定该特征向量与其它特征向量之间的距离。
S14、确定距离不大于预设距离阈值的特征向量所对应的网络告警数据为与该特征向量对应的网络告警数据相关的网络告警数据。
具体实施时,步骤S11中,可以按照图2所示的流程获得告警数据序列:
S111、采集网络告警数据。
S112、对采集的网络告警数据进行预处理。
本步骤中,对采集的网络告警数据进行数据清洗:对于从网络设备中收集设备的告警数据,将工程数据、系统错误,字段缺失等异常数据从数据集中清除,去掉无意义告警和误警,筛选出适合的告警字段,得到规范化的网络告警数据。
S113、对预处理后的网络告警数据按照预设时长进行切分。
S114、从切分得到的、预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列。
本步骤中,对于步骤S112输出的网络告警数据,按照适当的时长进行切分,保证在同一个时间切片中,尽可能保留故障相关的告警信息,使得有关联的告警信息能够同时出现,例如,将步骤S112输出的网络告警数据按照五分钟一切片,三十秒滑动的时间窗口进行切分,一个时间窗口中的网络告警数据组成一条网络告警数据序列,所有的网络告警数据序列组成数据样本。具体实施时,可以根据实际需要确定时间窗口大小,本发明实施例中对此不进行限定。
至此,得到了训练所需的网络告警数据序列。
针对网络告警数据序列中包含的每一网络告警数据,在步骤S12中,可以运用word2vec算法提取每一网络告警数据的特征词得到特征向量。其中,word2vec使用skip-gram模型。基于此,针对每一网络告警数据,按照以下公式从该网络告警数据中提取特征词得到特征向量:其中:
C为整个告警数据库中的词库;
v为从该网络告警数据中提取的一个特征词;
Context(v)由v前后各c个词构成,c为正整数;
yv,p表示从该网络告警数据中提取的第p个特征词对应的概率,N为词库中包含的所有词的数量。
这样,每一网络告警数据被转变为K维的特征向量,假设每一时间窗口中包含有M条网络告警数据,则每一个时间窗口对应的网络告警数据序列被映射为一个M*K的矩阵,p为不大于K的正整数。
对于得到的特征向量,通过计算向量之间的距离获取它们之间的关联性,在向量空间中两个网络告警数据对应的向量之间的距离表征了两个网络告警数据之间的关联关系,距离近的表示这两个网络告警数据相关性很大,距离远表征两个网络告警数据相关性很小。基于此,本发明实施例中,通过计算两个网络告警数据对应的向量之间的距离来确定这两个网络告警数据之间的相关性。
具体地,在本发明实施例中,采用余弦夹角值来计算告警向量之中的距离,作为告警相关性的强度,基于此,在步骤S14中,针对任两个特征向量,可以按照以下公式确定该两个特征向量之间的距离:其中:
w1,w2,w3…,wn分别表示该时间窗口包含的每一网络告警数据对应的特征向量,n为正整数;
K表示所述特征向量的维数;
i和j为特征向量标识,i和j为正整数。
具体实施时,还可以考虑加入网络信息来优化向量距离,例如,可以引入如逻辑拓扑、业务拓扑、网元位置信息、网元专业等信息,为每一种信息增加权重值,与计算出的多个网元之间的向量距离加权相加,得到最终的两两网络告警数据对应的向量之间的距离。
对于每一个网络告警数据,根据确定出的该网络告警数据对应的特征向量与其他网络告警数据对应的特征向量之间的距离,进行从小到大排序,通过阈值筛选,输出与该网络告警数据相关的候选集。
例如,具体实施时,可以收集两个月的核心网告警数据,假设整理形成了3957623条数据,其中经过去重、去掉缺失字段。此外,其中有些时段会频繁发生人为因素导致的故障,且不可追踪故障发生原因。通过将从网络设备中收集设备的告警数据,将工程数据、系统错误,字段缺失等异常数据从数据集中清除,去掉无意义告警和误警,筛选出适合的告警字段,得到规范化的告警数据样本3157623条。进一步地,为了保证在同一个切片中,尽可能保留故障相关的告警信息,使得有关联的告警信息能够同时出现,将规整过的告警数据按照五分钟一个切片,三十秒滑动的时间窗口切分,一个时间窗口中的告警数据组成一条告警数据序列,所有的告警数据序列组成数据样本。获得滑动时间窗口告警数据序列,共得到68312条滑动窗口告警数据序列。对每一条规范化的告警数据用word2vec算法提取特征词,得到每一个时间窗的告警数据对应的特征向量,并计算两两特征向量之间的距离。对于word2vec算法,假设取向量维度为100。距离越近的告警数据意味着相关性越强。然后,对于得到的特征向量,通过计算向量之间的距离获取它们之间的关联性,在向量空间中两个告警之间的向量距离表征了两个告警之间的关联关系,距离近的表示这两个告警相关性很大,距离远表征两个告警相关性很小。在本发明实施例中,采用余弦夹角值来计算告警向量之中的距离,作为告警相关性的强度。对于每一个告警,根据上一步骤求得的向量距离,进行从小到大排序,通过阈值筛选,输出与该告警相关的候选集。
本发明实施例提供的网络告警相关性分析方法所需的知识可以通过深度神经网络来获得,减少了对网管专家的依赖;而且无需知道网络拓扑结构。尤其是当网络拓扑结构发生改变时,可以通过分析历史记录,自动发现新的告警关联规则,适应电信网络变化快的需求,减轻了网管人员的工作负担,提高了工作效率。另外,直接应用到原始数据上面,摆脱了过去机器学习需要手工进行特征工程的步骤。最后,充分利用告警的先后顺序信息,提高了相关性分析的效率和准确性。本发明实施例提供的方法可自动运行,不需要人工干涉,因此很容易独立运行,或作为一个子模块嵌入到网管监控系统中。
基于同一发明构思,本发明实施例中还提供了一种网络告警相关性分析装置,由于上述装置解决问题的原理与网络告警相关性分析方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图3所示,其为本发明实施例提供的网络告警相关性分析装置的结构示意图,包括:
网络告警数据提取单元31,用于从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列;
特征提取单元32,用于针对每一时间窗口对应的网络告警数据序列,从该网络告警数据序列中包含的网络告警数据中提取特征词得到特征向量;
第一确定单元33,用于针对每一特征向量,分别确定该特征向量与其它特征向量之间的距离;
第二确定单元34,用于确定距离不大于预设距离阈值的特征向量所对应的网络告警数据为与该特征向量对应的网络告警数据相关的网络告警数据。
可选地,所述网络告警数据提取单元,包括:
采集子单元,用于采集网络告警数据;
预处理子单元,用于对所述采集子单元采集的网络告警数据进行预处理;
切分子单元,用于对预处理后的网络告警数据按照预设时长进行切分;
提取子单元,用于从切分得到的、预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列。
可选地,所述特征提取单元,具体用于针对每一网络告警数据,按照以下公式从该网络告警数据中提取特征词得到特征向量:其中:
C为整个告警数据库中的词库;
v为从该网络告警数据中提取的一个特征词;
Context(v)由v前后各c个词构成,c为正整数;
yv,p表示从该网络告警数据中提取的第p个特征词对应的概率,N为词库中包含的所有词的数量。
可选地,所述第一确定单元,具体用于针对任两个特征向量,按照以下公式确定该两个特征向量之间的距离:其中:
w1,w2,w3…,wn分别表示该时间窗口包含的每一网络告警数据对应的特征向量,n为正整数;
K表示所述特征向量的维数;
i和j为特征向量标识。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
在介绍了本发明示例性实施方式的方法和装置之后,接下来,介绍根据本发明的另一示例性实施方式的计算装置。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本发明的计算装置可以至少包括至少一个处理单元、以及至少一个存储单元。其中,所述存储单元存储有程序代码,当所述程序代码被所述处理单元执行时,使得所述处理单元执行本说明书上述描述的根据本发明各种示例性实施方式的网络告警相关性分析方法中的步骤。例如,所述处理单元可以执行如图1中所示的步骤S11、从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列,和步骤S12、针对每一时间窗口对应的网络告警数据序列,从该网络告警数据序列中包含的网络告警数据中提取特征词得到特征向量;步骤S13、针对每一特征向量,分别确定该特征向量与其它特征向量之间的距离,以及步骤S14、确定距离不大于预设距离阈值的特征向量所对应的网络告警数据为与该特征向量对应的网络告警数据相关的网络告警数据。
下面参照图4来描述根据本发明的这种实施方式的计算装置40。图4显示的计算装置40仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,计算装置40以通用计算设备的形式表现。计算装置40的组件可以包括但不限于:上述至少一个处理单元41、上述至少一个存储单元42、连接不同系统组件(包括存储单元42和处理单元41)的总线43。
总线43表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储单元42可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)421和/或高速缓存存储器422,还可以进一步包括只读存储器(ROM)423。
存储单元42还可以包括具有一组(至少一个)程序模块424的程序/实用工具425,这样的程序模块424包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算装置40也可以与一个或多个外部设备44(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与计算装置40交互的设备通信,和/或与使得该计算装置40能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口45进行。并且,计算装置40还可以通过网络适配器46与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器46通过总线43与用于计算装置40的其它模块通信。应当理解,尽管图中未示出,可以结合计算装置40使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本发明提供的网络告警相关性分析方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本发明各种示例性实施方式的网络告警相关性分析方法中的步骤,例如,所述计算机设备可以执行如图1中所示的步骤S11、从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列,和步骤S12、针对每一时间窗口对应的网络告警数据序列,从该网络告警数据序列中包含的网络告警数据中提取特征词得到特征向量;步骤S13、针对每一特征向量,分别确定该特征向量与其它特征向量之间的距离,以及步骤S14、确定距离不大于预设距离阈值的特征向量所对应的网络告警数据为与该特征向量对应的网络告警数据相关的网络告警数据。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本发明的实施方式的用于网络告警相关性分析的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网络告警相关性分析方法,其特征在于,包括:
从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列;
针对每一时间窗口对应的网络告警数据序列,从该网络告警数据序列中包含的网络告警数据中提取特征词得到特征向量;
针对每一特征向量,分别确定该特征向量与其它特征向量之间的距离;
确定距离不大于预设距离阈值的特征向量所对应的网络告警数据为与该特征向量对应的网络告警数据相关的网络告警数据。
2.如权利要求1所述的方法,其特征在于,从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列,具体包括:
采集网络告警数据;
对采集的网络告警数据进行预处理;
对预处理后的网络告警数据按照预设时长进行切分;
从切分得到的、预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列。
3.如权利要求1或2所述的方法,其特征在于,针对每一网络告警数据,按照以下公式从该网络告警数据中提取特征词得到特征向量:其中:
C为整个告警数据库中的词库;
v为从该网络告警数据中提取的一个特征词;
Context(v)由v前后各c个词构成,c为正整数;
yv,p表示从该网络告警数据中提取的第p个特征词对应的概率,N为词库中包含的所有词的数量。
4.如权利要求3所述的方法,其特征在于,针对任两个特征向量,按照以下公式确定该两个特征向量之间的距离:其中:
w1,w2,w3…,wn分别表示该时间窗口包含的每一网络告警数据对应的特征向量,n为正整数;
K表示所述特征向量的维数;
i和j为特征向量标识。
5.一种网络告警相关性分析装置,其特征在于,包括:
网络告警数据提取单元,用于从预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列;
特征提取单元,用于针对每一时间窗口对应的网络告警数据序列,从该网络告警数据序列中包含的网络告警数据中提取特征词得到特征向量;
第一确定单元,用于针对每一特征向量,分别确定该特征向量与其它特征向量之间的距离;
第二确定单元,用于确定距离不大于预设距离阈值的特征向量所对应的网络告警数据为与该特征向量对应的网络告警数据相关的网络告警数据。
6.如权利要求5所述的装置,其特征在于,所述网络告警数据提取单元,包括:
采集子单元,用于采集网络告警数据;
预处理子单元,用于对所述采集子单元采集的网络告警数据进行预处理;
切分子单元,用于对预处理后的网络告警数据按照预设时长进行切分;
提取子单元,用于从切分得到的、预设时长内的网络告警数据中按照预设的时间窗口大小提取网络告警数据组成网络告警数据序列。
7.如权利要求5或6所述的装置,其特征在于,
所述特征提取单元,具体用于针对每一网络告警数据,按照以下公式从该网络告警数据中提取特征词得到特征向量:其中:
C为整个告警数据库中的词库;
v为从该网络告警数据中提取的一个特征词;
Context(v)由v前后各c个词构成,c为正整数;
yv,p表示从该网络告警数据中提取的第p个特征词对应的概率,N为词库中包含的所有词的数量。
8.如权利要求7所述的装置,其特征在于,
所述第一确定单元,具体用于针对任两个特征向量,按照以下公式确定该两个特征向量之间的距离:其中:
w1,w2,w3…,wn分别表示该时间窗口包含的每一网络告警数据对应的特征向量,n为正整数;
K表示所述特征向量的维数;
i和j为特征向量标识。
9.一种计算装置,其特征在于,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行权利要求1~4任一权利要求所述方法的步骤。
10.一种计算机可读介质,其特征在于,其存储有可由计算装置执行的计算机程序,当所述程序在计算装置上运行时,使得所述计算装置执行权利要求1~4任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810001013.9A CN109992484B (zh) | 2018-01-02 | 2018-01-02 | 一种网络告警相关性分析方法、装置和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810001013.9A CN109992484B (zh) | 2018-01-02 | 2018-01-02 | 一种网络告警相关性分析方法、装置和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109992484A true CN109992484A (zh) | 2019-07-09 |
CN109992484B CN109992484B (zh) | 2023-09-19 |
Family
ID=67128209
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810001013.9A Active CN109992484B (zh) | 2018-01-02 | 2018-01-02 | 一种网络告警相关性分析方法、装置和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109992484B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110502571A (zh) * | 2019-08-29 | 2019-11-26 | 智洋创新科技股份有限公司 | 一种输电线路通道可视化告警高发线段的识别方法 |
CN111010306A (zh) * | 2020-03-10 | 2020-04-14 | 清华大学 | 动态网络告警分析方法、装置、计算机设备及存储介质 |
CN111162945A (zh) * | 2019-12-30 | 2020-05-15 | 中国移动通信集团江苏有限公司 | 一种告警关联关系的确定方法、装置、设备及存储介质 |
CN112737799A (zh) * | 2019-10-14 | 2021-04-30 | 中国移动通信有限公司研究院 | 一种数据处理方法、装置及存储介质 |
CN113315785A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种告警消减方法、装置、设备和计算机可读存储介质 |
CN113839799A (zh) * | 2020-06-24 | 2021-12-24 | 中国移动通信集团广东有限公司 | 一种告警关联规则挖掘方法及装置 |
CN115941446A (zh) * | 2022-12-27 | 2023-04-07 | 中国联合网络通信集团有限公司 | 告警根因定位方法、装置、电子设备和计算机可读介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105550714A (zh) * | 2015-12-30 | 2016-05-04 | 国家电网公司 | 一种异构网络环境中告警信息的聚类融合方法 |
WO2017181805A1 (zh) * | 2016-04-20 | 2017-10-26 | 中兴通讯股份有限公司 | 告警信息的显示方法及装置、计算机存储介质 |
CN107528832A (zh) * | 2017-08-04 | 2017-12-29 | 北京中晟信达科技有限公司 | 一种面向系统日志的基线构建与未知异常行为检测方法 |
-
2018
- 2018-01-02 CN CN201810001013.9A patent/CN109992484B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105550714A (zh) * | 2015-12-30 | 2016-05-04 | 国家电网公司 | 一种异构网络环境中告警信息的聚类融合方法 |
WO2017181805A1 (zh) * | 2016-04-20 | 2017-10-26 | 中兴通讯股份有限公司 | 告警信息的显示方法及装置、计算机存储介质 |
CN107528832A (zh) * | 2017-08-04 | 2017-12-29 | 北京中晟信达科技有限公司 | 一种面向系统日志的基线构建与未知异常行为检测方法 |
Non-Patent Citations (2)
Title |
---|
姚东: "《基于流的大规模网络安全态势感知关键技术研究》", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
李酉戌: "《基于卷积神经网络的网络故障诊断模型》", 《软件导刊》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110502571A (zh) * | 2019-08-29 | 2019-11-26 | 智洋创新科技股份有限公司 | 一种输电线路通道可视化告警高发线段的识别方法 |
CN112737799A (zh) * | 2019-10-14 | 2021-04-30 | 中国移动通信有限公司研究院 | 一种数据处理方法、装置及存储介质 |
CN112737799B (zh) * | 2019-10-14 | 2023-03-28 | 中国移动通信有限公司研究院 | 一种数据处理方法、装置及存储介质 |
CN111162945A (zh) * | 2019-12-30 | 2020-05-15 | 中国移动通信集团江苏有限公司 | 一种告警关联关系的确定方法、装置、设备及存储介质 |
CN111162945B (zh) * | 2019-12-30 | 2022-08-12 | 中国移动通信集团江苏有限公司 | 一种告警关联关系的确定方法、装置、设备及存储介质 |
CN111010306A (zh) * | 2020-03-10 | 2020-04-14 | 清华大学 | 动态网络告警分析方法、装置、计算机设备及存储介质 |
CN111010306B (zh) * | 2020-03-10 | 2020-06-02 | 清华大学 | 动态网络告警分析方法、装置、计算机设备及存储介质 |
CN113839799A (zh) * | 2020-06-24 | 2021-12-24 | 中国移动通信集团广东有限公司 | 一种告警关联规则挖掘方法及装置 |
CN113839799B (zh) * | 2020-06-24 | 2023-05-05 | 中国移动通信集团广东有限公司 | 一种告警关联规则挖掘方法及装置 |
CN113315785A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种告警消减方法、装置、设备和计算机可读存储介质 |
CN115941446A (zh) * | 2022-12-27 | 2023-04-07 | 中国联合网络通信集团有限公司 | 告警根因定位方法、装置、电子设备和计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109992484B (zh) | 2023-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109992484A (zh) | 一种网络告警相关性分析方法、装置和介质 | |
CN106357618B (zh) | 一种Web异常检测方法和装置 | |
CN112148772A (zh) | 告警根因识别方法、装置、设备和存储介质 | |
CN109993189A (zh) | 一种网络故障预警方法、装置和介质 | |
CN115828112B (zh) | 一种故障事件的响应方法、装置、电子设备及存储介质 | |
CN112434178B (zh) | 图像分类方法、装置、电子设备和存储介质 | |
CN114338195B (zh) | 基于改进孤立森林算法的web流量异常检测方法及装置 | |
CN109379228A (zh) | 误告警信息识别方法及装置、存储介质、电子终端 | |
CN112817814A (zh) | 异常监控方法、系统、存储介质及电子装置 | |
CN118300860A (zh) | 一种基于机器学习和高级语义映射的电力网络异常检测系统 | |
CN109660656A (zh) | 一种智能终端应用程序识别方法 | |
CN115909675A (zh) | 一种分布式边缘计算的电力设备声音监测方法 | |
CN113904829B (zh) | 一种基于机器学习的应用防火墙系统 | |
CN118018260A (zh) | 网络攻击的检测方法、系统、设备及介质 | |
CN117633666A (zh) | 网络资产识别方法、装置、电子设备和存储介质 | |
US9398040B2 (en) | Intrusion detection system false positive detection apparatus and method | |
CN117857088A (zh) | 一种网络流量异常检测方法、系统、设备及介质 | |
CN110830416A (zh) | 网络入侵检测方法和装置 | |
CN112448919B (zh) | 网络异常检测方法、装置和系统、计算机可读存储介质 | |
CN117097578A (zh) | 一种网络流量的安全监控方法、系统、介质及电子设备 | |
CN116599743A (zh) | 4a异常绕行检测方法、装置、电子设备及存储介质 | |
CN111352820A (zh) | 一种高性能应用运行状态预测和监控方法、设备和装置 | |
CN116189710A (zh) | 语音欺骗检测方法及装置 | |
Nam et al. | Log Analysis and Prediction for Anomaly Detection in Network Switches | |
CN116226705A (zh) | 一种基于电力资源监控的态势感知方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |