CN113052225A - 基于聚类算法和时序关联规则的报警收敛方法及装置 - Google Patents
基于聚类算法和时序关联规则的报警收敛方法及装置 Download PDFInfo
- Publication number
- CN113052225A CN113052225A CN202110300379.8A CN202110300379A CN113052225A CN 113052225 A CN113052225 A CN 113052225A CN 202110300379 A CN202110300379 A CN 202110300379A CN 113052225 A CN113052225 A CN 113052225A
- Authority
- CN
- China
- Prior art keywords
- alarm
- clustering
- monitoring
- monitoring indexes
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Probability & Statistics with Applications (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明属于大数据技术领域,本发明提供了一种基于聚类算法和时序关联规则的报警收敛方法及装置,基于聚类算法和时序关联规则的报警收敛方法包括:挖掘被监控系统的多个监控指标之间的关联关系;对所述多个监控指标进行聚类,以生成聚类结果;根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛。本发明通过指标特征聚类,找出致警的根源报警集,可以有效的凸显最重要的报警,提高报警质量。另外,本发明通过报警时序关联规则挖掘,利用时序关系提高关联规则的精度,从而更有效的减少报警的数量。
Description
技术领域
本发明属于大数据技术领域,具体涉及一种基于聚类算法和时序关联规则的报警收敛方法及装置。
背景技术
随着互联网金融的日益普及,互联网金融的服务规模日益增长,其应用也越来越多,从而导致这些应用的服务链路也越来越复杂,不可避免的导致报警的数量急剧增加。报警数量的爆发性增长,导致有用的报警信息容易淹没在大量无用报警信息之下,使得找到致警根因犹如海底捞针;另一方面报警数量太多影响客户的体验感,容易减少产品的黏客度。
现有技术中,国内外各大型互联网公司很多在自研或者已经自研了报警收敛功能,用于提升报警的质量。这些公司均采用时间窗口压缩和关联规则报警合并,时间窗口压缩是指设定一个报警合并窗口,在该时间窗口内的报警只取一条,例如5分钟内某个监控指标出现相同的多条报警,则只取一条报警;关联规则报警是利用关联规则算法(例如APRIORI)找出指标报警之间的关联关系(例如A出现报警则B往往也报警),从而合并报警。
基于时间窗口的报警没有考虑到不同指标之间的关系,压缩效率不高,且单纯靠时间窗口的报警合并容易将重要的报警信息剔除。基于关联规则的报警信息通过对历史数据的挖掘,从而找出指标报警之间的关系,然而这种数据挖掘方式没有考虑到指标的时序特征,例如使用一个月的全量数据进行关联关系挖掘,而不考虑指标本身的周期性,容易导致误差。
发明内容
本发明属于大数据技术领域,针对现有技术中的问题,本发明解决了现有技术中,报警收敛方法没有考虑指标时序特征和报警根源的挖掘的问题,本发明通过指标特征聚类,找出致警的根源报警集,可以有效的凸显最重要的报警,提高报警质量。另外,本发明通过报警时序关联规则挖掘,利用时序关系提高关联规则的精度,从而更有效的减少报警的数量。
为解决上述技术问题,本发明提供以下技术方案:
第一方面,本发明提供一种基于聚类算法和时序关联规则的报警收敛方法,包括:
一实施例中,挖掘被监控系统的多个监控指标之间的关联关系;
对所述多个监控指标进行聚类,以生成聚类结果;
根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛。
一实施例中,所述挖掘被监控系统的多个监控指标之间的关联关系包括:
利用数据挖掘算法,按照预设时间周期挖掘多个监控指标之间的关联关系;所述监控指标包括:
所述被监控系统的CPU使用率、内存使用率、磁盘使用率、网络超时数、访问耗时、访问成功率以及访问量。
一实施例中,所述对所述多个监控指标进行聚类,以生成聚类结果,包括:
提取所述多个监控指标的时间特征;
利用聚类算法,根据所述时间特征对所述多个监控指标进行聚类,以生成所述聚类结果。
一实施例中,所述利用聚类算法,根据所述时间特征对所述多个监控指标进行聚类,以生成所述聚类结果,包括:
根据所述时间特征计算每个监控指标的波动值;
利用DBSCAN算法,依据所述波动值对所述多个监控指标进行聚类。
一实施例中,所述根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛包括:
根据预设阈值以及所述波动值对所述多个监控指标进行筛选,以生成筛选结果;
剔除筛选出的监控指标所对应的报警。
一实施例中,所述根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛,还包括:
根据所述关联关系,将所述筛选结果中的多个监控指标进行匹配,以生成匹配结果;
根据匹配结果剔除非主导性的报警。
第二方面,本发明提供一种基于聚类算法和时序关联规则的报警收敛装置,包括:
关系挖掘模块,用于挖掘被监控系统的多个监控指标之间的关联关系;
聚类结果生成模块,用于对所述多个监控指标进行聚类,以生成聚类结果;
报警收敛模块,用于根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛。
一实施例中,所述关系挖掘模块具体用于利用数据挖掘算法,按照预设时间周期挖掘多个监控指标之间的关联关系;
所述监控指标包括:所述被监控系统的CPU使用率、内存使用率、磁盘使用率、网络超时数、访问耗时、访问成功率以及访问量。
一实施例中,所述聚类结果生成模块包括:
时间特征提取单元,用于提取所述多个监控指标的时间特征;
聚类结果生成单元,用于利用聚类算法,根据所述时间特征对所述多个监控指标进行聚类,以生成所述聚类结果。
一实施例中,所述聚类结果生成单元包括:
波动值计算单元,用于利根据所述时间特征计算每个监控指标的波动值;
指标聚类单元,用于用DBSCAN算法,依据所述波动值对所述多个监控指标进行聚类。
一实施例中,所述报警收敛模块包括:
指标筛选单元,用于根据预设阈值以及所述波动值对所述多个监控指标进行筛选,以生成筛选结果;
报警剔除第一单元,用于剔除筛选出的监控指标所对应的报警。
一实施例中,所述报警收敛模块还包括:
指标匹配单元,用于根据所述关联关系,将所述筛选结果中的多个监控指标进行匹配,以生成匹配结果;
报警剔除第二单元,用于根据匹配结果剔除非主导性的报警。
第三方面,本发明提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现基于聚类算法和时序关联规则的报警收敛方法的步骤。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现基于聚类算法和时序关联规则的报警收敛方法的步骤。
从上述描述可知,本发明实施例提供的基于聚类算法和时序关联规则的报警收敛方法及装置,首先挖掘被监控系统的多个监控指标之间的关联关系;接着,对多个监控指标进行聚类,以生成聚类结果;最后根据关联关系以及聚类结果对被监控系统的报警进行收敛。本发明为解决目前常用的报警收敛方法较少考虑指标时序特征和报警根源的缺陷,基于应用指标报警、监控数据,通过提取各报警时序特征、监控指标波动同比、环比特征,利用聚类算法挖掘根源报警,将非根源报警剔除,同时基于关联规则算法对时序报警特征进行关联分析,挖掘报警之间的关联关系,将主导的报警作为报警报出,从而提高报警压缩比例。其有益效果如下:
1、通过指标特征聚类,找出致警的根源报警集,可以有效的凸显最重要的报警,提高报警质量。
2、通过报警时序关联规则挖掘,利用时序关系提高关联规则的精度,从而更有效的减少报警的数量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的实施例中基于聚类算法和时序关联规则的报警收敛方法流程示意图一;
图2为本发明的实施例中步骤100的流程示意图;
图3为本发明的实施例中步骤200的流程示意图;
图4为本发明的实施例中步骤202的流程示意图;
图5为本发明的实施例中步骤300的流程示意图一;
图6为本发明的实施例中步骤300的流程示意图二;
图7为本发明的具体应用实例中基于聚类算法和时序关联规则的报警收敛方法的流程示意图;
图8为本发明实施例中基于聚类算法和时序关联规则的报警收敛装置结构框图;
图9为本发明的实施例中聚类结果生成模块20的结构框图;
图10为本发明的实施例中聚类结果生成单元202的结构框图;
图11为本发明的实施例中报警收敛模块30的结构框图一;
图12为本发明的实施例中报警收敛模块30的结构框图二;
图13为本发明的实施例中的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
本发明的实施例提供一种基于聚类算法和时序关联规则的报警收敛方法的具体实施方式,参见图1,该方法具体包括如下内容:
步骤100:挖掘被监控系统的多个监控指标之间的关联关系。
优选地,可以从时间角度考虑出发,利用数据挖掘方法,确定被监控系统中多个监控指标之间的关联关系。
可以理解的是,上述方法中的数据挖掘是指从大量的数据中通过算法搜索隐藏于其中信息的过程。数据挖掘的算法主要包括神经网络法、决策树法、遗传算法、粗糙集法、模糊集法、关联规则法等,步骤100在实施时,优选关联规则法进行数据挖掘。
步骤200:对所述多个监控指标进行聚类,以生成聚类结果。
对多个监控指标依据某一特定指标进行聚类,以将多个监控指标进行分类。需要解释的是,将物理或抽象对象的集合分成由类似的对象组成的多个类的过程被称为聚类。由聚类所生成的簇是一组数据对象的集合,这些对象与同一个簇中的对象彼此相似,与其他簇中的对象相异。聚类分析计算方法主要有如下几种:
划分方法(partitioning methods):给定一个有N个元组或者纪录的数据集,分裂法将构造K个分组,每一个分组就代表一个聚类,K<N。而且这K个分组满足下列条件:(1)每一个分组至少包含一个数据纪录;(2)每一个数据纪录属于且仅属于一个分组(注意:这个要求在某些模糊聚类算法中可以放宽);对于给定的K,算法首先给出一个初始的分组方法,以后通过反复迭代的方法改变分组,使得每一次改进之后的分组方案都较前一次好,而所谓好的标准就是:同一分组中的记录越近越好,而不同分组中的纪录越远越好。使用这个基本思想的算法有:K-MEANS算法、K-MEDOIDS算法、CLARANS算法。
大部分划分方法是基于距离的。给定要构建的分区数k,划分方法首先创建一个初始化划分。然后,它采用一种迭代的重定位技术,通过把对象从一个组移动到另一个组来进行划分。一个好的划分的一般准备是:同一个簇中的对象尽可能相互接近或相关,而不同的簇中的对象尽可能远离或不同。还有许多评判划分质量的其他准则。传统的划分方法可以扩展到子空间聚类,而不是搜索整个数据空间。当存在很多属性并且数据稀疏时,这是有用的。为了达到全局最优,基于划分的聚类可能需要穷举所有可能的划分,计算量极大。实际上,大多数应用都采用了流行的启发式方法,如k-均值和k-中心算法,渐近的提高聚类质量,逼近局部最优解。这些启发式聚类方法很适合发现中小规模的数据库中小规模的数据库中的球状簇。为了发现具有复杂形状的簇和对超大型数据集进行聚类,需要进一步扩展基于划分的方法。
层次方法(hierarchical methods):这种方法对给定的数据集进行层次似的分解,直到某种条件满足为止。具体又可分为“自底向上”和“自顶向下”两种方案。例如在“自底向上”方案中,初始时每一个数据纪录都组成一个单独的组,在接下来的迭代中,它把那些相互邻近的组合并成一个组,直到所有的记录组成一个分组或者某个条件满足为止。代表算法有:BIRCH算法、CURE算法、CHAMELEON算法等;
层次聚类方法可以是基于距离的或基于密度或连通性的。层次聚类方法的一些扩展也考虑了子空间聚类。层次方法的缺陷在于,一旦一个步骤(合并或分裂)完成,它就不能被撤销。这个严格规定是有用的,因为不用担心不同选择的组合数目,它将产生较小的计算开销。然而这种技术不能更正错误的决定。已经提出了一些提高层次聚类质量的方法。
基于密度的方法(density-based methods):基于密度的方法与其它方法的一个根本区别是:它不是基于各种各样的距离的,而是基于密度的。这样就能克服基于距离的算法只能发现“类圆形”的聚类的缺点。这个方法的指导思想就是,只要一个区域中的点的密度大过某个阀值,就把它加到与之相近的聚类中去。代表算法有:DBSCAN算法、OPTICS算法、DENCLUE算法等。
基于网格的方法(grid-based methods):这种方法首先将数据空间划分成为有限个单元(cell)的网格结构,所有的处理都是以单个的单元为对象的。这么处理的一个突出的优点就是处理速度很快,通常这是与目标数据库中记录的个数无关的,它只与把数据空间分为多少个单元有关。代表算法有:STING算法、CLIQUE算法、WAVE-CLUSTER算法;很多空间数据挖掘问题,使用网格通常都是一种有效的方法。因此,基于网格的方法可以和其他聚类方法集成。
基于模型的方法(model-based methods):基于模型的方法给每一个聚类假定一个模型,然后去寻找能够很好的满足这个模型的数据集。这样一个模型可能是数据点在空间中的密度分布函数或者其它。它的一个潜在的假定就是:目标数据集是由一系列的概率分布所决定的。通常有两种尝试方向:统计的方案和神经网络的方案。
步骤300:根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛。
首先根据聚类结果剔除一部分监控指标,该监控指标对应的报警也应被忽略,接着,根据剩余所保留的监控指标中,依据关联关系进一步将非主导性的报警进行剔除,从而对被监控系统的报警信息进行收敛。
从上述描述可知,本发明实施例提供的基于聚类算法和时序关联规则的报警收敛方法,首先挖掘被监控系统的多个监控指标之间的关联关系;接着,对多个监控指标进行聚类,以生成聚类结果;最后根据关联关系以及聚类结果对被监控系统的报警进行收敛。本发明为解决目前常用的报警收敛方法较少考虑指标时序特征和报警根源的缺陷,基于应用指标报警、监控数据,通过提取各报警时序特征、监控指标波动同比、环比特征,利用聚类算法挖掘根源报警,将非根源报警剔除,同时基于关联规则算法对时序报警特征进行关联分析,挖掘报警之间的关联关系,将主导的报警作为报警报出,从而提高报警压缩比例。其有益效果如下:
1、通过指标特征聚类,找出致警的根源报警集,可以有效的凸显最重要的报警,提高报警质量。
2、通过报警时序关联规则挖掘,利用时序关系提高关联规则的精度,从而更有效的减少报警的数量。
一实施例中,参见图2,步骤100包括:
步骤101:利用数据挖掘算法,按照预设时间周期挖掘多个监控指标之间的关联关系;
步骤101中的监控指标包括:被监控系统的CPU使用率、内存使用率、磁盘使用率、网络超时数、访问耗时、访问成功率以及访问量。另外,这里需要说明的是,被监控系统中的每个报警点都需要获取这些监控指标值,这里以金融系统为例:可以理解的是,金融系统报警具有较强的周周期,因此按照周为单位分别利用apriori算法找出各报警类型的关联关系(本发明的监控指标具有CPU使用率和内存使用率强相关,且CPU使用率高的时候往往导致内存使用率增高,网络超时数增高往往也伴随着访问耗时增大),关联关系挖掘具体操作为先对报警时分析,找出候选指标的项集,然后根据设置的最小支持度(0.6)找出频繁项集,再根据最小置信度(0.6)由频繁项集产生强关联规则,从而找出各指标之间的关联关系。
一实施例中,参见图3,步骤200包括:
步骤201:提取所述多个监控指标的时间特征;
步骤201在实施时,提取各监控指标的同比、环比特征(例如CPU使用率、内存使用率、磁盘使用率、网络超时数、访问耗时、访问成功率、访问量),如果有多个访问,需要获取每个访问节点的监控指标。
步骤202:利用聚类算法,根据所述时间特征对所述多个监控指标进行聚类,以生成所述聚类结果。
一实施例中,参见图4,步骤202包括:
步骤2021:根据所述时间特征计算每个监控指标的波动值;
步骤2022:利用DBSCAN算法,依据所述波动值对所述多个监控指标进行聚类。
在步骤2021以及步骤2022中,利用聚类算法对各个监控指标的波动值进行聚类,将波动值大的聚成一类(本发明提取报警前10秒的监控指标波动值,然后利用DBSCAN算法对各监控指标的波动值进行聚类,算法设定的eps是0.05,min_samples设置为1)。
DBSCAN(Density-Based Spatial Clustering of Applications with Noise)是基于密度的聚类算法。与划分和层次聚类方法不同,它将簇定义为密度相连的点的最大集合,能够把具有足够高密度的区域划分为簇,并可在噪声的空间数据库中发现任意形状的聚类。其具有以下优点:
1.与K-means方法相比,DBSCAN不需要事先知道要形成的簇类的数量。
2.与K-means方法相比,DBSCAN可以发现任意形状的簇类。
3.同时,DBSCAN能够识别出噪声点。
4.DBSCAN对于数据库中样本的顺序不敏感,即Pattern的输入顺序对结果的影响不大。但是,对于处于簇类之间边界样本,可能会根据哪个簇类优先被探测到而其归属有所摆动。
一实施例中,参见图5,步骤300包括:
步骤301:根据预设阈值以及所述波动值对所述多个监控指标进行筛选,以生成筛选结果;
步骤302:剔除筛选出的监控指标所对应的报警。
可以理解的是,波动值大的指标是致警指标的概率更大,因此通过聚类剔除波动小的指标后,被剔除的指标的报警也被剔除。
一实施例中,参见图6,步骤300还包括:
步骤303:根据所述关联关系,将所述筛选结果中的多个监控指标进行匹配,以生成匹配结果;
步骤304:根据匹配结果剔除非主导性的报警。
可以理解的是,非主导性的报警是指非重要报警,一般是由于其他的报警引起的报警。在步骤303以及步骤304中,将波动值大的指标的报警与步骤100中的关联规则进行匹配,从而剔除非主导的报警(例如,如果波动值大的指标包括内存和CPU,但CPU和内存有强关联规则的话,则可以去除CPU的报警)。
为解决现有技术中报警收敛方法较少考虑指标时序特征和报警根源的缺陷,本发明基于应用指标报警、监控数据,通过提取各报警时序特征、监控指标波动同比、环比特征,利用聚类算法挖掘根源报警,将非根源报警剔除,同时基于关联规则算法对时序报警特征进行关联分析,挖掘报警之间的关联关系,将主导的报警作为报警报出,从而提高报警压缩比例。
为进一步地说明本方案,本发明还提供基于聚类算法和时序关联规则的报警收敛方法的具体应用实例,具体包括如下内容。
在本具体应用实例中,还提供一种基于聚类算法和时序关联规则的报警收敛装置,该装置包括:数据收集模块、离线建模分析模块、在线报警压缩3个部分。
数据收集模块和数据存储模块使用SpringBoot工程开发,制作成镜像部署在一个K8s集群实时运行,从Kafka实时获取指标监控和报警数据,经过数据清洗和预处理后存入ElasticSearch中。
离线建模分析模块主要基于机器学习算法,利用一年的存量数据对报警关联关系进行时序关系挖掘。
在线报警压缩模块实时进行报警压缩(1秒钟执行一次),每秒钟在执行报警压缩的时候,会先利用聚类算法过滤出致警的候选指标集,然后利用离线训练好的apriori模型对候选指标集对应的报警进行关联规则匹配,从而进一步过滤无效报警,达到报警收敛的作用。
参见图7,基于上述基于聚类算法和时序关联规则的报警收敛装置,本具体应用实例所提供的基于聚类算法和时序关联规则的报警收敛方法包括:
S1:获取被监控系统近一年监控指标对应的数据并确定其之间的关联规则。
获取一年监控指标(监控指标包括CPU使用率、内存使用率、磁盘使用率、网络超时数、访问耗时、访问成功率、访问量)报警数据,由于报警具有较强的周周期,因此按照周为单位分别利用apriori算法找出各报警类型的关联关系(监控指标具有CPU使用率和内存使用率强相关,且CPU使用率高的时候往往导致内存使用率增高,网络超时数增高往往也伴随着访问耗时增大),关联关系挖掘具体操作为先对报警时分析,找出候选指标的项集,然后根据设置的最小支持度(0.6)找出频繁项集,再根据最小置信度(0.6)由频繁项集产生强关联规则,从而找出各指标之间的关联关系。
S2:提取各监控指标的同比、环比特征。
具体地,提取各监控指标的同比、环比特征(监控指标包括CPU使用率、内存使用率、磁盘使用率、网络超时数、访问耗时、访问成功率、访问量,如果有多个访问,需要获取每个访问节点的监控指标),利用聚类算法DBSCAN对各个监控指标的波动值进行聚类,将波动值大的聚成一类(具体地,提取报警前10秒的监控指标波动值,然后利用DBSCAN算法对各监控指标的波动值进行聚类,算法设定的eps是0.05,min_samples设置为1)。
S3:根据关联规则、同比特征以及环比特征对报警信息进行收敛。
可以理解的是,波动值大的指标是致警指标的概率更大,因此通过聚类剔除波动小的指标后,被剔除的指标的报警也被剔除;将波动值大的指标的报警与步骤1中的关联规则进行匹配,从而剔除非主导的报警(例如,如果波动值大的指标包括内存和CPU,但步骤1中CPU和内存有强关联规则的话,则可以去除CPU的报警)。
从上述描述可知,本发明实施例提供的基于聚类算法和时序关联规则的报警收敛方法,首先挖掘被监控系统的多个监控指标之间的关联关系;接着,对多个监控指标进行聚类,以生成聚类结果;最后根据关联关系以及聚类结果对被监控系统的报警进行收敛。本发明为解决目前常用的报警收敛方法较少考虑指标时序特征和报警根源的缺陷,基于应用指标报警、监控数据,通过提取各报警时序特征、监控指标波动同比、环比特征,利用聚类算法挖掘根源报警,将非根源报警剔除,同时基于关联规则算法对时序报警特征进行关联分析,挖掘报警之间的关联关系,将主导的报警作为报警报出,从而提高报警压缩比例。其有益效果如下:
1、通过指标特征聚类,找出致警的根源报警集,可以有效的凸显最重要的报警,提高报警质量。
2、通过报警时序关联规则挖掘,利用时序关系提高关联规则的精度,从而更有效的减少报警的数量。
基于同一发明构思,本申请实施例还提供了一种基于聚类算法和时序关联规则的报警收敛装置,可以用于实现上述实施例所描述的方法,如下面的实施例。由于基于聚类算法和时序关联规则的报警收敛装置解决问题的原理与基于聚类算法和时序关联规则的报警收敛方法相似,因此基于聚类算法和时序关联规则的报警收敛装置的实施可以参见基于聚类算法和时序关联规则的报警收敛方法实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本发明的实施例提供一种能够实现基于聚类算法和时序关联规则的报警收敛方法的基于聚类算法和时序关联规则的报警收敛装置的具体实施方式,参见图8,基于聚类算法和时序关联规则的报警收敛装置具体包括如下内容:
关系挖掘模块10,用于挖掘被监控系统的多个监控指标之间的关联关系;
聚类结果生成模块20,用于对所述多个监控指标进行聚类,以生成聚类结果;
报警收敛模块30,用于根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛。
一实施例中,所述关系挖掘模块具体用于利用数据挖掘算法,按照预设时间周期挖掘多个监控指标之间的关联关系;
所述监控指标包括:所述被监控系统的CPU使用率、内存使用率、磁盘使用率、网络超时数、访问耗时、访问成功率以及访问量。
一实施例中,参见图9,所述聚类结果生成模块20包括:
时间特征提取单元201,用于提取所述多个监控指标的时间特征;
聚类结果生成单元202,用于利用聚类算法,根据所述时间特征对所述多个监控指标进行聚类,以生成所述聚类结果。
一实施例中,参见图10,所述聚类结果生成单元202包括:
波动值计算单元2021,用于根据所述时间特征计算每个监控指标的波动值;
指标聚类单元2022,用于利用DBSCAN算法,依据所述波动值对所述多个监控指标进行聚类。
一实施例中,参见图11,所述报警收敛模块30包括:
指标筛选单元301,用于根据预设阈值以及所述波动值对所述多个监控指标进行筛选,以生成筛选结果;
报警剔除第一单元302,用于剔除筛选出的监控指标所对应的报警。
一实施例中,参见图12,所述报警收敛模块还包括:
指标匹配单元303,用于根据所述关联关系,将所述筛选结果中的多个监控指标进行匹配,以生成匹配结果;
报警剔除第二单元304,用于根据匹配结果剔除非主导性的报警。
从上述描述可知,本发明实施例提供的基于聚类算法和时序关联规则的报警收敛装置,首先挖掘被监控系统的多个监控指标之间的关联关系;接着,对多个监控指标进行聚类,以生成聚类结果;最后根据关联关系以及聚类结果对被监控系统的报警进行收敛。本发明为解决目前常用的报警收敛方法较少考虑指标时序特征和报警根源的缺陷,基于应用指标报警、监控数据,通过提取各报警时序特征、监控指标波动同比、环比特征,利用聚类算法挖掘根源报警,将非根源报警剔除,同时基于关联规则算法对时序报警特征进行关联分析,挖掘报警之间的关联关系,将主导的报警作为报警报出,从而提高报警压缩比例。其有益效果如下:
1、通过指标特征聚类,找出致警的根源报警集,可以有效的凸显最重要的报警,提高报警质量。
2、通过报警时序关联规则挖掘,利用时序关系提高关联规则的精度,从而更有效的减少报警的数量。
本申请的实施例还提供能够实现上述实施例中的基于聚类算法和时序关联规则的报警收敛方法中全部步骤的一种电子设备的具体实施方式,参见图13,电子设备具体包括如下内容:
处理器(processor)1201、存储器(memory)1202、通信接口(CommunicationsInterface)1203和总线1204;
其中,处理器1201、存储器1202、通信接口1203通过总线1204完成相互间的通信;通信接口1203用于实现服务器端设备以及客户端设备等相关设备之间的信息传输;
处理器1201用于调用存储器1202中的计算机程序,处理器执行计算机程序时实现上述实施例中的基于聚类算法和时序关联规则的报警收敛方法中的全部步骤,例如,处理器执行计算机程序时实现下述步骤:
步骤100:挖掘被监控系统的多个监控指标之间的关联关系;
步骤200:对所述多个监控指标进行聚类,以生成聚类结果;
步骤300:根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛。
本申请的实施例还提供能够实现上述实施例中的基于聚类算法和时序关联规则的报警收敛方法中全部步骤的一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的基于聚类算法和时序关联规则的报警收敛方法的全部步骤,例如,处理器执行计算机程序时实现下述步骤:
步骤100:挖掘被监控系统的多个监控指标之间的关联关系;
步骤200:对所述多个监控指标进行聚类,以生成聚类结果;
步骤300:根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于硬件+程序类实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
虽然本申请提供了如实施例或流程图的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
本说明书实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书实施例,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
以上所述仅为本说明书实施例的实施例而已,并不用于限制本说明书实施例。对于本领域技术人员来说,本说明书实施例可以有各种更改和变化。凡在本说明书实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书实施例的权利要求范围之内。
Claims (14)
1.一种基于聚类算法和时序关联规则的报警收敛方法,其特征在于,包括:
挖掘被监控系统的多个监控指标之间的关联关系;
对所述多个监控指标进行聚类,以生成聚类结果;
根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛。
2.根据权利要求1所述的报警收敛方法,其特征在于,所述挖掘被监控系统的多个监控指标之间的关联关系包括:
利用数据挖掘算法,按照预设时间周期挖掘多个监控指标之间的关联关系;所述监控指标包括:
所述被监控系统的CPU使用率、内存使用率、磁盘使用率、网络超时数、访问耗时、访问成功率以及访问量。
3.根据权利要求1所述的报警收敛方法,其特征在于,所述对所述多个监控指标进行聚类,以生成聚类结果,包括:
提取所述多个监控指标的时间特征;
利用聚类算法,根据所述时间特征对所述多个监控指标进行聚类,以生成所述聚类结果。
4.根据权利要求3所述的报警收敛方法,其特征在于,所述利用聚类算法,根据所述时间特征对所述多个监控指标进行聚类,以生成所述聚类结果,包括:
根据所述时间特征计算每个监控指标的波动值;
利用DBSCAN算法,依据所述波动值对所述多个监控指标进行聚类。
5.根据权利要求4所述的报警收敛方法,其特征在于,所述根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛包括:
根据预设阈值以及所述波动值对所述多个监控指标进行筛选,以生成筛选结果;
剔除筛选出的监控指标所对应的报警。
6.根据权利要求5所述的报警收敛方法,其特征在于,所述根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛,还包括:
根据所述关联关系,将所述筛选结果中的多个监控指标进行匹配,以生成匹配结果;
根据匹配结果剔除非主导性的报警。
7.一种基于聚类算法和时序关联规则的报警收敛装置,其特征在于,包括:
关系挖掘模块,用于挖掘被监控系统的多个监控指标之间的关联关系;
聚类结果生成模块,用于对所述多个监控指标进行聚类,以生成聚类结果;
报警收敛模块,用于根据所述关联关系以及所述聚类结果对所述被监控系统的报警进行收敛。
8.根据权利要求7所述的报警收敛装置,其特征在于,所述关系挖掘模块具体用于利用数据挖掘算法,按照预设时间周期挖掘多个监控指标之间的关联关系;
所述监控指标包括:所述被监控系统的CPU使用率、内存使用率、磁盘使用率、网络超时数、访问耗时、访问成功率以及访问量。
9.根据权利要求7所述的报警收敛装置,其特征在于,所述聚类结果生成模块包括:
时间特征提取单元,用于提取所述多个监控指标的时间特征;
聚类结果生成单元,用于利用聚类算法,根据所述时间特征对所述多个监控指标进行聚类,以生成所述聚类结果。
10.根据权利要求9所述的报警收敛装置,其特征在于,所述聚类结果生成单元包括:
波动值计算单元,用于根据所述时间特征计算每个监控指标的波动值;
指标聚类单元,用于利用DBSCAN算法,依据所述波动值对所述多个监控指标进行聚类。
11.根据权利要求10所述的报警收敛装置,其特征在于,所述报警收敛模块包括:
指标筛选单元,用于根据预设阈值以及所述波动值对所述多个监控指标进行筛选,以生成筛选结果;
报警剔除第一单元,用于剔除筛选出的监控指标所对应的报警。
12.根据权利要求11所述的报警收敛装置,其特征在于,所述报警收敛模块还包括:
指标匹配单元,用于根据所述关联关系,将所述筛选结果中的多个监控指标进行匹配,以生成匹配结果;
报警剔除第二单元,用于根据匹配结果剔除非主导性的报警。
13.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6任一项所述基于聚类算法和时序关联规则的报警收敛方法的步骤。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6任一项所述基于聚类算法和时序关联规则的报警收敛方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110300379.8A CN113052225A (zh) | 2021-03-22 | 2021-03-22 | 基于聚类算法和时序关联规则的报警收敛方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110300379.8A CN113052225A (zh) | 2021-03-22 | 2021-03-22 | 基于聚类算法和时序关联规则的报警收敛方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113052225A true CN113052225A (zh) | 2021-06-29 |
Family
ID=76513969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110300379.8A Pending CN113052225A (zh) | 2021-03-22 | 2021-03-22 | 基于聚类算法和时序关联规则的报警收敛方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113052225A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113448763A (zh) * | 2021-07-16 | 2021-09-28 | 广东电网有限责任公司 | 全生命周期管理的可动态扩展分组告警服务方法 |
| CN113886182A (zh) * | 2021-09-29 | 2022-01-04 | 深圳市金蝶天燕云计算股份有限公司 | 一种告警收敛方法、装置及电子设备和存储介质 |
| CN114422324A (zh) * | 2021-12-29 | 2022-04-29 | 中国电信股份有限公司 | 一种告警信息的处理方法、装置、电子设备及存储介质 |
| WO2023273224A1 (zh) * | 2021-06-30 | 2023-01-05 | 天翼云科技有限公司 | 指标异常数据溯源方法、装置、设备及存储介质 |
-
2021
- 2021-03-22 CN CN202110300379.8A patent/CN113052225A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023273224A1 (zh) * | 2021-06-30 | 2023-01-05 | 天翼云科技有限公司 | 指标异常数据溯源方法、装置、设备及存储介质 |
| CN113448763A (zh) * | 2021-07-16 | 2021-09-28 | 广东电网有限责任公司 | 全生命周期管理的可动态扩展分组告警服务方法 |
| CN113448763B (zh) * | 2021-07-16 | 2022-07-26 | 广东电网有限责任公司 | 全生命周期管理的可动态扩展分组告警服务方法 |
| CN113886182A (zh) * | 2021-09-29 | 2022-01-04 | 深圳市金蝶天燕云计算股份有限公司 | 一种告警收敛方法、装置及电子设备和存储介质 |
| CN114422324A (zh) * | 2021-12-29 | 2022-04-29 | 中国电信股份有限公司 | 一种告警信息的处理方法、装置、电子设备及存储介质 |
| CN114422324B (zh) * | 2021-12-29 | 2024-02-23 | 中国电信股份有限公司 | 一种告警信息的处理方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bhattacharjee et al. | A survey of density based clustering algorithms | |
| CN113052225A (zh) | 基于聚类算法和时序关联规则的报警收敛方法及装置 | |
| Cao et al. | An improved k-medoids clustering algorithm | |
| US11971892B2 (en) | Methods for stratified sampling-based query execution | |
| CN110008259A (zh) | 可视化数据分析的方法及终端设备 | |
| CN111143838B (zh) | 数据库用户异常行为检测方法 | |
| Paramshetti et al. | Survey on software defect prediction using machine learning techniques | |
| Krleža et al. | Statistical hierarchical clustering algorithm for outlier detection in evolving data streams | |
| Sebestyen et al. | A taxonomy and platform for anomaly detection | |
| Mehmood et al. | A novel approach to improve software defect prediction accuracy using machine learning | |
| CN115114484A (zh) | 异常事件检测方法、装置、计算机设备和存储介质 | |
| Shamseen et al. | Developing a parallel classifier for mining in big data sets | |
| Gandhi et al. | Overview of feature subset selection algorithm for high dimensional data | |
| CN115691702A (zh) | 一种化合物可视化分类方法及系统 | |
| CN109739840A (zh) | 数据空值处理方法、装置及终端设备 | |
| Glenis et al. | SCALE-BOSS: A framework for scalable time-series classification using symbolic representations | |
| Ma | The Research of Stock Predictive Model based on the Combination of CART and DBSCAN | |
| Arshad et al. | A Hybrid System for Customer Churn Prediction and Retention Analysis via Supervised Learning | |
| Zhang et al. | Self‐Adaptive K‐Means Based on a Covering Algorithm | |
| Soheili et al. | Scalable global mutual information based feature selection framework for large scale datasets | |
| Mercioni et al. | Evaluating hierarchical and non-hierarchical grouping for develop a smart system | |
| Huang et al. | Research on hybrid feature selection method based on iterative approximation Markov blanket | |
| Deng et al. | Research on C4. 5 Algorithm Optimization for User Churn | |
| Hou | A new clustering validity index based on K-means algorithm | |
| Supardi et al. | An evolutionary stream clustering technique for outlier detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |