CN111600761A - 一种基于运维业务风险告警分析归并方法 - Google Patents

Abstract

本发明公开了一种基于运维业务风险告警分析归并方法，包含以下步骤：A、基于告警内容的归并；B、基于告警序列的归并；C、告警序列预测，本发明基于运维业务风险告警分析归并方法在事故发生之前对当前系统预测，提前做出事前告警，减少事故发生的损失，并能及时做好应对准备。

Description

一种基于运维业务风险告警分析归并方法

技术领域

本发明涉及风控技术领域，具体是一种基于运维业务风险告警分析归并方法。

背景技术

随着电信网络的业务和设备集中化管理，网络规模越来越大，业务越来越复杂，每天会产生大量告警，告警间关联关系的发现一直是运维工作的重点问题。

目前告警间关联规则发现主要有两种方法，一种是专家经验方式，通过业务专家的经验，结合专业知识手工添加。这种人工获取关联规则的方法，本身效率不高，且依赖特定专家经验，使得有效告警关联的获取成本高，难以适应不断出现的新业务场景；另一种是通过关联算法方式来挖掘，如先验算法只能处理理算数据，告警数据是连续、流式数据，必须经过特殊处理后，才能挖掘告警间的关联关系。

现有告警平台是将用户的每次请求的事件ID以原始日志的格式进行存放，这导致同一账户如果触发多次风控事件会有多条告警存储。这种告警对于单个请求事件可以快速定位查看触发风险的原因。但是当有多个告警的时候就很难从告警中发现更多有价值的问题，同时也很难对告警进行升级或降级处置。

因此，基于业务风险告警自动处置风险来直观，能将这些泛化报警既要具有很强的概括性，同时尽可能地保留细节，这样运维人员在查看告警日志时，能够快速定位到攻击的大致手法，从而可以判断是否要对当前同类型攻击提高或降级处理，或将分析流程规范化，自动处理告警日志，并对使用同样攻击方式黑产进行防护升级，从而使黑产增加攻击成本。

发明内容

本发明的目的在于提供一种基于运维业务风险告警分析归并方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于运维业务风险告警分析归并方法，包含以下步骤：

A、基于告警内容的归并；

B、基于告警序列的归并；

C、告警序列预测。

作为本发明的进一步技术方案：所述告警融合算法的数学定义如下：设告警数据库S＝{Alert1,Alert2,Alert3,……,Alertn}，其中Alert是经过预处理的初级告警，在进行初级告警的聚合时，考虑告警的类别，时间，源，事件类型，得到不同告警之间的相异度d.定义为

其中，p为对象i和j中属性的个数，f是P个属性中的每一个，W(f)表示属性f在对象相似度中的权值，取值范围为0-1，对于告警类别属性，取W(f)＝1，其他属性的权值可根据实际情况自己定义，是一个指示项，它的取值为0或者1，用于表示某一个属性对于相异度是否存在贞献，如果有贞献，其值为1，否则其值为0，如果某一属性不同时存在于i,j中，则

是对象i和对象j在f属性上的相异度，对于不同类型的数据，有不同的计算方法，初级告警对象的属性类型可以有如下几种：数值型变量、布尔型变量、枚举型变量，使用加权的欧几里德距离来表示

其中，x表示不同属性占的权重，布尔型变量只有两个状态：0或1，评价两个对象i和j之间相异度，采用简单匹配系数法，定义如下：

其中，q是对象i和j都为1的属性的数目，是对象i和j都为0的属性的数目，r是对象i值为1而对象j值为0的属性的数目，s是对象i值为0而对象j值为1的属性的数目，枚举型变量可有多个取值，两个对象i，j之间的相异度可以用简单匹配的方法来计算：

其中m是匹配的数目，即对象i和j取值相同的属性的数目，而p是全部属性的数目，计算出各种属性对应的d_ij后，将其代入式0),即可得出d(i,j).计算出d(i,j)后，用一个nxn维矩阵式存储n个初级告警对象两两之间的相异性，d(i,j)通常是一个非负数，当对象i和j越相似或越接近，其值就越接近0；两个对象越不同，其值越大，显然，d_(i,j)：d(ji)且d_(i,i)因此相异度矩阵对角线的值全为0，右上角值不用再列出，根据d(i,j)，我们就可以将初级告警进行分组，然后进行合并和关联。

作为本发明的进一步技术方案：所述步骤B是基于经典的FP-growth关联规则，增加动态加权特性的改进算法WFP-growth,在海量的告警当中高级别的告警的数量会比普通级别的告警少很多，当数据出现频率相差较大时，就会导致最低支持度难以设定，如果设高了，关联规则将可能达不到出现频率较低的频繁项集；如果设低了，就会发现太多的没有意义的关联规则，还可能导致组合爆炸。本专利提出了基于FP_growth的层次分析加权关联规则挖掘算法WFP_growth，算法AHP为每个项目分配权重后，运用加权支持度来构造FP_tree并逐步产生频繁项目集，这样不仅避免了多次扫描数据库的麻烦，而且因为在开始阶段就将那些权重小的节点从树结构中剔除出去，从而减小了树的大小，节省了内存空间，提高了运行效率，本算法允许用户在使用时为每个项目随意指定所需的相对重要性等级，然后算法将调用层次分析的方法为每个项目自动分配权值。

作为本发明的进一步技术方案：所述用层次分析方法来解决决策过程中的实际问题分为以下几个步骤：1、确定待分析问题的层次结构；2、判断每一层次各元素的相对重要程度，并将判断结果用数值的形式表达出来，即把他们的重要程度归类为各个等级，这些等级称为标度。

作为本发明的进一步技术方案：还包括利用主客观综合赋权法合理组合风险标签的主观权重和客观权重的过程：：首先，基于业务场景综合业务经验，利用层次分析法得到各个风险标签的主观权重a_i；然后，基于客观数据反映出的信息量，利用熵权法得到各个风险标签的客观权重b_i，最后，利用乘法合成法结合a_i、b_i得到各个风险标签的权重值

作为本发明的进一步技术方案：步骤B采用TOPSIS法实现，算法流程如下：

Ⅰ、构造归一化初始矩阵：设共有n个待评价对象(用户)，每个对象都有m个指标(风险标签)，则将原始数据矩阵将归一化后得到：

Ⅱ、确定最高风险和最低风险：最高风险Z⁺由Z中每列元素的最大值构成：

Z⁺＝(max{z₁₁，z₂₁…z_n1}，max{z₁₂，z₂₂…z_n2}，…max{z_1m，z_2m…z_nm})

＝(Z₁ ⁺，Z₂ ⁺…Z_m ⁺)

最低风险Z-由Z中每列元素的最小值构成：

Ⅲ、计算各评价对象与最高风险、最低风险的接近程度：

Ⅳ、计算各风险标签得分与最高风险标签的贴近程度C_i，

作为本发明的进一步技术方案：对时间序列的建模的方法包括ARIMA，MA，神经网络算法。

与现有技术相比，本发明的有益效果是：本发明基于运维业务风险告警分析归并方法在事故发生之前对当前系统预测，提前做出事前告警，减少事故发生的损失，并能及时做好应对准备。

附图说明

图1是本发明的分析架构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，实施例1：一种基于运维业务风险告警分析归并方法，包含以下步骤：

A、基于告警内容的归并；

告警融合算法的数学定义如下：设告警数据库S＝{Alert1,Alert2,Alert3,……,Alertn}，其中Alert是经过预处理的初级告警，在进行初级告警的聚合时，考虑告警的类别，时间，源，事件类型，得到不同告警之间的相异度d.定义为

其中，p为对象i和j中属性的个数，f是P个属性中的每一个，W(f)表示属性f在对象相似度中的权值，取值范围为0-1，对于告警类别属性，取W(f)＝1，其他属性的权值可根据实际情况自己定义，是一个指示项，它的取值为0或者1，用于表示某一个属性对于相异度是否存在贞献，如果有贞献，其值为1，否则其值为0，如果某一属性不同时存在于i,j中，则

是对象i和对象j在f属性上的相异度，对于不同类型的数据，有不同的计算方法，初级告警对象的属性类型可以有如下几种：数值型变量、布尔型变量、枚举型变量，使用加权的欧几里德距离来表示

其中，x表示不同属性占的权重，布尔型变量只有两个状态：0或1，评价两个对象i和j之间相异度，采用简单匹配系数法，定义如下：

其中，q是对象i和j都为1的属性的数目，是对象i和j都为0的属性的数目，r是对象i值为1而对象j值为0的属性的数目，s是对象i值为0而对象j值为1的属性的数目，枚举型变量可有多个取值，两个对象i，j之间的相异度可以用简单匹配的方法来计算：

其中m是匹配的数目，即对象i和j取值相同的属性的数目，而p是全部属性的数目，计算出各种属性对应的d_ij后，将其代入式0),即可得出d(i,j).计算出d(i,j)后，用一个nxn维矩阵式存储n个初级告警对象两两之间的相异性，d(i,j)通常是一个非负数，当对象i和j越相似或越接近，其值就越接近0；两个对象越不同，其值越大，显然，d_(i,j)：d(ji)且d_(i,i)因此相异度矩阵对角线的值全为0，右上角值不用再列出，根据d(i,j)，我们就可以将初级告警进行分组，然后进行合并和关联。

B、基于告警序列的归并；

步骤B是基于经典的FP-growth关联规则，增加动态加权特性的改进算法WFP-growth,在海量的告警当中高级别的告警的数量会比普通级别的告警少很多，当数据出现频率相差较大时，就会导致最低支持度难以设定，如果设高了，关联规则将可能达不到出现频率较低的频繁项集；如果设低了，就会发现太多的没有意义的关联规则，还可能导致组合爆炸。本专利提出了基于FP_growth的层次分析加权关联规则挖掘算法WFP_growth，算法AHP为每个项目分配权重后，运用加权支持度来构造FP_tree并逐步产生频繁项目集，这样不仅避免了多次扫描数据库的麻烦，而且因为在开始阶段就将那些权重小的节点从树结构中剔除出去，从而减小了树的大小，节省了内存空间，提高了运行效率，本算法允许用户在使用时为每个项目随意指定所需的相对重要性等级，然后算法将调用层次分析的方法为每个项目自动分配权值。

层次分析方法来解决决策过程中的实际问题分为以下几个步骤：1、确定待分析问题的层次结构；2、判断每一层次各元素的相对重要程度，并将判断结果用数值的形式表达出来，即把他们的重要程度归类为各个等级，这些等级称为标度。

还包括利用主客观综合赋权法合理组合风险标签的主观权重和客观权重的过程：：首先，基于业务场景综合业务经验，利用层次分析法得到各个风险标签的主观权重a_i；然后，基于客观数据反映出的信息量，利用熵权法得到各个风险标签的客观权重b_i，最后，利用乘法合成法结合a_i、b_i得到各个风险标签的权重值

TOPSIS法算法流程如下：

Ⅰ、构造归一化初始矩阵：设共有n个待评价对象(用户)，每个对象都有m个指标(风险标签)，则将原始数据矩阵将归一化后得到：

Ⅱ、确定最高风险和最低风险：最高风险Z⁺由Z中每列元素的最大值构成：

Z⁺＝(max{z₁₁，z₂₁…z_n1}，max{z₁₂，z₂₂…z_n2}，…max{z_1m，z_2m…z_nm})

＝(Z₁ ⁺，Z₂ ⁺…Z_m ⁺)

最低风险Z-由Z中每列元素的最小值构成：

Ⅲ、计算各评价对象与最高风险、最低风险的接近程度：

Ⅳ、计算各风险标签得分与最高风险标签的贴近程度C_i，

0≤C_i≤1，C_i

→1时，表明风险越高。最终的风险评分可表示为RiskScore＝100*C_i。

C、告警序列预测，对时间序列的建模目前有很多种方法，包括ARIMA，MA，神经网络等算法，本章的告警序列是基于事件发生先后顺序构建的特征，并对历史出现网络崩溃，服务崩溃的告警做为序列的lable，从而在事故发生之前对当前系统预测，提前做出事前告警，减少事故发生的损失，并能及时做好应对准备。

实施例2，在实施例1的基础上，音频耳机插头选用Φ3.5mm的耳机，其通用型强，使用时目前市场的90％以上的电子设备。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims (7)

1.一种基于运维业务风险告警分析归并方法，其特征在于，包含以下步骤：

A、基于告警内容的归并；

B、基于告警序列的归并；

C、告警序列预测。

2.根据权利要求1所述的一种基于运维业务风险告警分析归并方法，其特征在于，所述告警融合算法的数学定义如下：设告警数据库S＝{Alert1,Alert2,Alert3,……,Alertn}，其中Alert是经过预处理的初级告警，在进行初级告警的聚合时，考虑告警的类别，时间，源，事件类型，得到不同告警之间的相异度d.定义为

其中，p为对象i和j中属性的个数，f是P个属性中的每一个，W(f)表示属性f在对象相似度中的权值，取值范围为0-1，对于告警类别属性，取W(f)＝1，其他属性的权值可根据实际情况自己定义，是一个指示项，它的取值为0或者1，用于表示某一个属性对于相异度是否存在贞献，如果有贞献，其值为1，否则其值为0，如果某一属性不同时存在于i,j中，则

是对象i和对象j在f属性上的相异度，对于不同类型的数据，有不同的计算方法，初级告警对象的属性类型可以有如下几种：数值型变量、布尔型变量、枚举型变量，使用加权的欧几里德距离来表示

其中，x表示不同属性占的权重，布尔型变量只有两个状态：0或1，评价两个对象i和j之间相异度，采用简单匹配系数法，定义如下：

其中，q是对象i和j都为1的属性的数目，是对象i和j都为0的属性的数目，r是对象i值为1而对象j值为0的属性的数目，s是对象i值为0而对象j值为1的属性的数目，枚举型变量可有多个取值，两个对象i，j之间的相异度可以用简单匹配的方法来计算：

其中m是匹配的数目，即对象i和j取值相同的属性的数目，而p是全部属性的数目，计算出各种属性对应的d_ij后，将其代入式0),即可得出d(i,j).计算出d(i,j)后，用一个nxn维矩阵式存储n个初级告警对象两两之间的相异性，d(i,j)通常是一个非负数，当对象i和j越相似或越接近，其值就越接近0；两个对象越不同，其值越大，显然，d_(i,j)：d(ji)且d_(i,i)因此相异度矩阵对角线的值全为0，右上角值不用再列出，根据d(i,j)，我们就可以将初级告警进行分组，然后进行合并和关联。

3.根据权利要求1所述的一种基于运维业务风险告警分析归并方法，其特征在于，所述步骤B是基于经典的FP-growth关联规则，增加动态加权特性的改进算法WFP-growth,在海量的告警当中高级别的告警的数量会比普通级别的告警少很多，当数据出现频率相差较大时，就会导致最低支持度难以设定，如果设高了，关联规则将可能达不到出现频率较低的频繁项集；如果设低了，就会发现太多的没有意义的关联规则，还可能导致组合爆炸，本专利提出了基于FP_growth的层次分析加权关联规则挖掘算法WFP_growth，算法AHP为每个项目分配权重后，运用加权支持度来构造FP_tree并逐步产生频繁项目集，这样不仅避免了多次扫描数据库的麻烦，而且因为在开始阶段就将那些权重小的节点从树结构中剔除出去，从而减小了树的大小，节省了内存空间，提高了运行效率，本算法允许用户在使用时为每个项目随意指定所需的相对重要性等级，然后算法将调用层次分析的方法为每个项目自动分配权值。

4.根据权利要求1所述的一种基于运维业务风险告警分析归并方法，其特征在于，所述用层次分析方法来解决决策过程中的实际问题分为以下几个步骤：1、确定待分析问题的层次结构；2、判断每一层次各元素的相对重要程度，并将判断结果用数值的形式表达出来，即把他们的重要程度归类为各个等级，这些等级称为标度。

5.根据权利要求1所述的一种基于运维业务风险告警分析归并方法，其特征在于，还包括利用主客观综合赋权法合理组合风险标签的主观权重和客观权重的过程：：首先，基于业务场景综合业务经验，利用层次分析法得到各个风险标签的主观权重a_i；然后，基于客观数据反映出的信息量，利用熵权法得到各个风险标签的客观权重b_i，最后，利用乘法合成法结合a_i、b_i得到各个风险标签的权重值

6.根据权利要求1所述的一种基于运维业务风险告警分析归并方法，其特征在于，步骤B采用TOPSIS法实现，算法流程如下：

Ⅰ、构造归一化初始矩阵：设共有n个待评价对象(用户)，每个对象都有m个指标(风险标签)，则将原始数据矩阵将归一化后得到：

Ⅱ、确定最高风险和最低风险：最高风险Z⁺由Z中每列元素的最大值构成：

Z⁺＝(max{z₁₁，z₂₁…z_n1}，max{z₁₂，z₂₂…z_n2}，…max{z_1m，z_2m…z_nm})

＝(Z₁ ⁺，Z₂ ⁺…Z_m ⁺)

最低风险Z^-由Z中每列元素的最小值构成：

Ⅲ、计算各评价对象与最高风险、最低风险的接近程度：

Ⅳ、计算各风险标签得分与最高风险标签的贴近程度C_i，

7.根据权利要求1所述的一种基于运维业务风险告警分析归并方法，其特征在于，对时间序列的建模的方法包括ARIMA，MA，神经网络算法。

Images