KR20210002602A - 경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체 - Google Patents

경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체 Download PDF

Info

Publication number
KR20210002602A
KR20210002602A KR1020207033540A KR20207033540A KR20210002602A KR 20210002602 A KR20210002602 A KR 20210002602A KR 1020207033540 A KR1020207033540 A KR 1020207033540A KR 20207033540 A KR20207033540 A KR 20207033540A KR 20210002602 A KR20210002602 A KR 20210002602A
Authority
KR
South Korea
Prior art keywords
alarm
alert
type
log
logs
Prior art date
Application number
KR1020207033540A
Other languages
English (en)
Other versions
KR102520044B1 (ko
Inventor
지위안 스
량 장
스하오 리
더웨이 바오
젠 리
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20210002602A publication Critical patent/KR20210002602A/ko
Application granted granted Critical
Publication of KR102520044B1 publication Critical patent/KR102520044B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/174Redundancy elimination performed by the file system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/174Redundancy elimination performed by the file system
    • G06F16/1744Redundancy elimination performed by the file system using compression, e.g. sparse files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/1805Append-only file systems, e.g. using logs or journals to store data
    • G06F16/1815Journaling file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/215Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2465Query processing support for facilitating data mining operations in structured databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2216/00Indexing scheme relating to additional aspects of information retrieval not explicitly covered by G06F16/00 and subgroups
    • G06F2216/03Data mining

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Probability & Statistics with Applications (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Fuzzy Systems (AREA)
  • Quality & Reliability (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 출원은 경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체를 개시하고, 통신 기술 분야에 속한다. 본 방법은: 통신 네트워크에서 제1 네트워크 디바이스에 의해 생성되는 이력 경보 로그 세트를 획득하는 단계; 이력 경보 로그 세트 내의 이력 경보 로그의 생성 시간 스탬프에 기초하여 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하는 단계- 각각의 이력 경보 로그 서브세트 내의 모든 이력 경보 로그는 시간 시퀀스에서 연속적임 -; 이력 경보 로그 세트 내의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정하는 단계; 대응관계에 기초하여 이력 경보 로그 세트 내의 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하는 단계; 및 적어도 하나의 연관 규칙에 기초하여 복수의 처리될 경보 로그를 압축하여, 경보 타입이 근본 원인 경보 타입인 경보 로그를 획득하는 단계를 포함한다. 본 출원은 연관 규칙 마이닝 효율이 비교적 낮고 시간 비용이 비교적 높다는 문제를 해결한다.

Description

경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체
본 출원은 2018년 4월 23일자로 중국 특허청에 출원되고 발명의 명칭이 "ALARM LOG COMPRESSION METHOD, APPARATUS, AND SYSTEM, AND STORAGE MEDIUM"인 중국 특허 출원 제201810370889.0호에 대한 우선권을 주장하며, 그 전체가 본 출원에 참조로 포함된다.
본 출원은 통신 기술 분야에 관한 것으로, 특히, 경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체에 관한 것이다.
통신 네트워크는 다량의 네트워크 디바이스들을 포함한다. 이러한 네트워크 디바이스들은 매일 다량의 경보 로그들을 생성한다. 경보 로그는 고장으로 인해 네트워크 디바이스에 의해 생성되는 정보이다. 경보 로그는 일반적으로 경보 로그를 생성하는 네트워크 디바이스의 식별자, 경보 타입(네트워크 디바이스 상에서 발생하는 고장을 표시하는데 사용됨), 및 경보 로그의 생성 시간 스탬프와 같은 정보를 포함한다. 각각의 네트워크 디바이스는 생성된 경보 로그를 경보 로그 처리 디바이스에 보고한다. 네트워크 모니터링 엔지니어는 경보 로그 처리 디바이스 상의 경보 로그를 분석하고, 통신 네트워크에 존재하는 문제를 찾고, 그 문제를 처리를 위해 네트워크 유지보수 엔지니어에게 피드백한다.
통신 기술들의 급속한 발전으로, 현재 다양한 타입의 통신 네트워크들의 규모가 커지고 있고, 통신 네트워크들의 구조들이 점점 더 복잡해지고, 통신 네트워크들에서의 네트워크 디바이스들의 타입 및 수량이 증가하고 있다. 다량의 네트워크 디바이스는 대규모 경보 로그를 생성하고, 대부분의 경보 로그는 유효하지 않거나 또는 중복된 경보 로그들이다. 네트워크 디바이스들에 의해 생성되는 모든 경보 로그가 네트워크 모니터링 엔지니어에게 제시되는 경우, 네트워크 모니터링 엔지니어의 분석 작업부하는 심하다. 결과적으로, 경보 로그들은 효과적으로 모니터링 및 분석될 수 없고, 네트워크에 존재하는 문제를 적시에 찾을 수 없다. 따라서, 네트워크 모니터링 엔지니어의 작업 효율을 향상시키기 위해, 경보 로그들을 효과적으로 압축하고 일부 유효하지 않거나 또는 중복된 경보 로그들을 필터링하여, 네트워크 모니터링 엔지니어에게 제시되는 경보 로그들의 수량을 줄일 필요가 있다.
관련 기술에서 경보 로그 압축 방법이 제공되고, 자동의 빈번한 아이템세트 마이닝 방법(automatic frequent itemset mining method)에 따라 이력 경보 로그를 마이닝하여, 상이한 경보 타입들 사이의 연관 규칙을 설정하는 단계; 그 후, 전문 기술자에 의해, 연관 규칙의 정확도를 결정하고, 각각의 연관 규칙에서 근본 원인 경보 타입(root cause alarm type) 및 경미한 경보 타입(minor alarm type)을 결정하는 단계; 및 경보 로그들이 생성된 후에, 미리 결정된 연관 규칙에 기초하여, 네트워크 모니터링 엔지니어에게, 경보 타입이 근본 원인 경보 타입인 경보 로그를 표현하고, 경미한 경보 타입의 경보 로그를 필터링하여, 경보 로그들을 압축하는 단계를 포함한다. 동일한 연관 규칙에서, 네트워크 디바이스에서 발생하고 경미한 경보 타입으로 표시되는 고장은 네트워크 디바이스에서 발생하고 근본 원인 경보 타입으로 표시되는 고장에 의해 야기된다.
그러나, 관련 기술에서, 빈번한 아이템세트를 결정하기 위해, 자동의 빈번한 아이템세트 마이닝 방법에 따라 상이한 경보 타입들 간의 연관 규칙을 설정하는 프로세스에서, 이력 경보 로그들은 복수회 순회(traverse)될 필요가 있다. 다량의 이력 경보 로그가 존재할 때, 마이닝 효율은 비교적 낮다. 또한, 실제 응용에서 비교적 낮은 빈도로 일부 경보 타입들이 발생하기 때문에, 상이한 경보 타입들에 대한 연관 규칙들을 설정하는 포괄성을 구현하기 위해, 빈번한 아이템세트의 지원 정도는 비교적 낮게 설정될 필요가 있다. 지원 정도가 낮을수록 결정된 빈번한 아이템세트들의 수량이 많아지고, 빈번한 아이템세트들에 기초하여 설정된 연관 규칙의 수량이 많아진다. 따라서, 비교적 낮은 지원 정도는 마이닝을 통해 획득되는 다량의 연관 규칙으로 이어진다. 결과적으로, 연관 규칙의 정확도를 결정하는 프로세스 및 연관 규칙에서 근본 원인 경보 타입을 결정하는 프로세스에서 시간 비용이 비교적 크다.
본 출원의 실시예들은, 관련 기술에서 연관 규칙 마이닝 효율이 비교적 낮고 시간 비용이 비교적 높다는 문제를 해결하기 위해, 경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체를 제공한다. 기술적 해결책들은 다음과 같다.
제1 양태에 따르면, 본 출원은 압축 디바이스에 적용되는 경보 로그 압축 방법을 제공하고, 이 방법은:
통신 네트워크에서 제1 네트워크 디바이스에 의해 생성되는 이력 경보 로그 세트를 획득하는 단계- 이력 경보 로그 세트는 복수의 이력 경보 로그를 포함하고, 각각의 이력 경보 로그는 경보 타입과 생성 시간 스탬프를 포함함 -;
이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하는 단계- 각각의 이력 경보 로그 서브세트 내의 모든 이력 경보 로그는 시간 시퀀스에서 연속적이고, 복수의 이력 경보 로그 서브세트의 조합 세트(union set)는 이력 경보 로그 세트 내의 모든 이력 경보 로그를 포함함 -;
이력 경보 로그 세트 내의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정하는 단계;
대응관계에 기초하여 이력 경보 로그 세트 내의 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하는 단계- 각각의 연관 규칙은 서로 연관되는 근본 원인 경보 타입 및 적어도 하나의 경미한 경보 타입을 포함함 -; 및
적어도 하나의 연관 규칙에 기초하여 복수의 처리될 경보 로그를 압축하여, 경보 타입이 근본 원인 경보 타입인 경보 로그를 획득하는 단계를 포함한다.
본 출원에서, 이력 경보 로그 세트는 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 복수의 이력 경보 로그 서브세트로 분할된다는 점에 유의해야 한다. 각각의 이력 경보 로그 서브세트 내의 모든 이력 경보 로그는 시간 시퀀스에서 연속적이기 때문에, 각각의 이력 경보 로그 서브세트에 기초하여 경보 타입들 사이의 시간 상관이 획득되어 연관 규칙을 마이닝할 수 있다. 마이닝 프로세스에서, 생성 시간 스탬프에 기초하여 수행된 분할을 통해 획득되는 복수의 이력 경보 로그 서브세트 내의 경보 타입들만이 순회될 필요가 있고, 각각의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계가 결정되고, 대응관계에 기초하여 경보 타입에 대한 클러스터링 처리가 수행되어, 연관 규칙을 생성할 수 있다. 관련 기술과 비교하여, 본 출원에서는, 이력 경보 로그들이 복수회 순회될 필요가 없고, 연관 규칙 마이닝 효율이 향상된다. 또한, 본 출원에서, 경보 타입들 사이의 시간 상관에 기초하여 마이닝되는 연관 규칙들의 수량은 관련 기술에서 빈번한 아이템세트에 기초하여 마이닝되는 연관 규칙들의 수량보다 훨씬 적다. 따라서, 연관 규칙의 정확도를 결정하는 프로세스 및 연관 규칙에서 근본 원인 경보 타입을 결정하는 프로세스에서 시간 비용이 감소된다.
선택적으로, 이력 경보 로그 세트 내의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정하는 단계는:
이력 경보 로그 세트 내의 모든 경보 타입을 획득하여, 제1 경보 타입 세트를 획득하는 단계; 및 제1 경보 타입 세트 내의 각각의 경보 타입의 시간 시퀀스 벡터를 결정하는 단계- 각각의 시간 시퀀스 벡터는 대응하는 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 반영하는데 사용됨 -를 포함하고, 각각의 경보 타입에 대응하는 시간 시퀀스 벡터에 대해, 시간 시퀀스 벡터의 값들은 복수의 이력 경보 로그 서브세트와 일대일로 대응하고, 시간 시퀀스 벡터의 값들은 제1 값과 제2 값 중 적어도 하나를 포함하고, 제1 값은 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재한다는 것을 표시하는데 사용되고, 제2 값은 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재하지 않는다는 것을 표시하는데 사용되며, 제1 값은 제2 값과 상이하다.
제1 경보 타입 세트 내의 각각의 경보 타입의 시간 시퀀스 벡터를 결정하는 단계는:
제1 경보 타입 세트 내의 각각의 경보 타입에 대해 시간 시퀀스 벡터 결정 절차를 실행하는 단계를 포함한다.
시간 시퀀스 벡터 결정 절차는:
경보 타입이 복수의 이력 경보 로그 서브세트에 존재하는지를 순차적으로 검출하는 것; 및
검출 결과에 기초하여 경보 타입의 시간 시퀀스 벡터를 결정하는 것을 포함한다.
이에 대응하여, 대응관계에 기초하여 이력 경보 로그 세트 내의 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하는 단계는:
모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 제1 경보 타입 세트 내의 모든 경보 타입에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하는 단계를 포함한다.
분할을 통해 시간 윈도우가 획득되고 경보 타입의 시간 시퀀스 벡터가 확립됨으로써, 각각의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정한다는 점에 유의해야 한다. 본 방법은 간단하고 효율적이다.
모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 제1 경보 타입 세트 내의 모든 경보 타입에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하기 위한 제1 방법은:
제1 경보 타입 세트에 대한 클러스터링 동작을 수행하는 단계를 포함하고, 클러스터링 동작은:
타겟 경보 타입 세트와 제2 경보 타입 세트를 설정하는 단계- 타겟 경보 타입 세트와 제2 경보 타입 세트 양쪽 모두는 빈 세트들임 -;
제1 경보 타입 세트 내의 임의의 경보 타입을 타겟 경보 타입 세트에 추가하고, 제1 경보 타입 세트로부터, 타겟 경보 타입 세트에 추가된 경보 타입을 삭제하는 단계;
제1 경보 타입 세트가 빈 세트가 될 때까지 결정 절차를 반복적으로 수행하고, 타겟 경보 타입 세트를 연관 규칙으로서 결정하는 단계; 및
결정 절차를 반복적으로 수행한 후에, 제2 경보 타입 세트가 빈 세트가 아닐 때, 제2 경보 타입 세트를 신규 제1 경보 타입 세트로서 사용하여 클러스터링 동작을 반복적으로 수행하는 단계; 또는
결정 절차를 반복적으로 수행한 후에, 제2 경보 타입 세트가 빈 세트일 때, 클러스터링 동작을 수행하는 것을 중단하는 단계를 포함한다.
결정 절차는:
처리될 경보 타입의 시간 시퀀스 벡터와 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 것- 처리될 경보 타입은 타겟 경보 타입 세트 내의 경보 타입들 이외의 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
상관 관계가 미리 설정된 상관 임계값보다 클 때, 처리될 경보 타입을 타겟 경보 타입 세트에 추가하여, 업데이트된 타겟 경보 타입 세트를 획득하고, 제1 경보 타입 세트로부터 처리될 경보 타입을 삭제하는 것; 또는
상관 관계가 미리 설정된 상관 임계값보다 크지 않을 때, 처리될 경보 타입을 제2 경보 타입 세트에 추가하고, 처리될 경보 타입을 제1 경보 타입 세트로부터 삭제하는 것을 포함한다.
모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 제1 경보 타입 세트 내의 모든 경보 타입에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하기 위한 제2 방법은:
제1 경보 타입 세트에 타겟 경보 타입을 마킹하는 단계- 타겟 경보 타입은 제1 경보 타입 세트 내의 임의의 경보 타입임-; 및
제1 경보 타입 세트에 대한 클러스터링 동작을 수행하는 단계를 포함하고, 클러스터링 동작은:
제1 경보 타입 세트 내의 모든 경보 타입이 순회(traverse)될 때까지 결정 절차를 반복적으로 실행하는 단계; 및
결정 절차를 반복적으로 실행하는 단계 이후에, 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 있을 때, 어떠한 마크도 설정되지 않은 임의의 경보 타입을, 신규 타겟 경보 타입으로서 결정하고, 신규 타겟 경보 타입을 마킹하며, 클러스터링 동작을 반복적으로 수행하는 단계- 상이한 타겟 경보 타입들은 상이한 마크들을 가짐 -; 또는
결정 절차를 반복적으로 실행하는 단계 이후에, 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 없을 때, 클러스터링 동작을 수행하는 것을 중단하고, 제1 경보 타입 세트에 기초하여 적어도 하나의 연관 규칙을 생성하는 단계- 각각의 연관 규칙의 모든 경보 타입에 대해 동일한 마크가 설정됨 -를 포함한다.
결정 절차는:
타겟 경보 타입과 동일한 마크를 갖는 제1 경보 타입 세트 내의 모든 경보 타입을 포함하는 세트를 타겟 경보 타입 세트로서 결정하는 것;
처리될 경보 타입의 시간 시퀀스 벡터와 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 것- 처리될 경보 타입은 타겟 경보 타입 세트 내의 경보 타입들 이외의 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
상관 관계가 미리 설정된 상관 임계값보다 클 때 처리될 경보 타입을 마킹하는 것- 처리될 경보 타입의 마크는 타겟 경보 타입의 마크와 동일함 -을 포함한다.
선택적으로, 처리될 경보 타입의 시간 시퀀스 벡터와 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 단계는:
피어슨(Pearson) 상관 계수 공식에 따라 타겟 경보 타입 세트 내의 각각의 경보 타입과 처리될 경보 타입 사이의 상관 관계를 계산하는 단계- 피어슨 상관 계수 공식은:
Figure pct00001
이고,
Cor(ii, ij)는 경보 타입 ii와 경보 타입 ij 사이의 상관 관계를 나타내고, cov(vi, vj)는 vi와 vj사이의 공분산을 나타내고,
Figure pct00002
는 vi의 표준 편차를 나타내고,
Figure pct00003
는 vj의 표준 편차를 나타내고, vi는 경보 타입 ii의 시간 시퀀스 벡터를 나타내고, vj는 경보 타입 ij의 시간 시퀀스 벡터를 나타냄 -; 및
평균 상관 계산 공식에 따라 타겟 경보 타입 세트 내의 각각의 경보 타입과 처리될 경보 타입 사이의 상관 관계에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 단계- 평균 상관 계산 공식은:
Figure pct00004
이고,
AveCor(ij, R)는 경보 타입 ij와 타겟 경보 타입 세트 R 사이의 상관 관계를 표시하고,
Figure pct00005
는 타겟 경보 타입 세트 R 내의 경보 타입들의 수량을 표시함 -를 포함한다.
선택적으로, 통신 네트워크에서 제1 네트워크 디바이스에 의해 생성되는 이력 경보 로그 세트를 획득하는 단계는:
제1 미리 설정된 기간 내에 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그를 미리 처리하여 각각의 이력 경보 로그로부터 중복된 정보를 제거함으로써, 이력 경보 로그 세트를 획득하는 단계를 포함한다.
선택적으로, 각각의 이력 경보 로그는 2-튜플(M, t) 포맷으로 나타나고, M은 경보 로그 정보를 나타내며, t는 생성 시간 스탬프를 나타내고, 경보 로그 정보는 적어도 제1 네트워크 디바이스의 경보 타입 필드 및 식별자 필드를 포함한다.
선택적으로, 이력 경보 로그 세트 내의 이력 경보 로그들은 시간 편차 관계를 가지며, 슬라이딩 윈도우를 사용하여 이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하는 단계는:
이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프 세트를 획득하는 단계; 및
슬라이딩 윈도우 기술을 사용하여 생성 시간 스탬프 세트, 미리 설정된 시간 윈도우 길이, 및 윈도우 슬라이딩 스텝에 기초하여 이력 경보 로그들을 복수의 이력 경보 로그 서브세트로 분류하는 단계- 윈도우 슬라이딩 스텝은 시간 윈도우 길이보다 크지 않음 -를 포함한다.
게다가, 본 방법은:
제2 미리 설정된 기간 내에 통신 네트워크에서 제2 네트워크 디바이스에 의해 생성되는 처리될 경보 로그 세트를 획득하는 단계- 처리될 경보 로그 세트는 복수의 처리될 경보 로그를 포함하고, 각각의 처리될 경보 로그는 경보 타입과 생성 시간 스탬프를 포함함 -; 및
처리될 경보 로그 세트에 기초하여 적어도 하나의 경보 이벤트를 생성하는 단계- 각각의 경보 이벤트는 제2 네트워크 디바이스에 의해 생성되는 동일한 경보 타입의 경보 로그들을 표시하는데 사용됨 -를 추가로 포함한다.
경보 이벤트가 재구성되고 있을 때, 경보 로그 정보에 관한 통계가 경보 이벤트의 단위로 수집될 수 있고, 그에 의해 통계 수집을 통해 획득되는 경보 로그 정보의 정확도 및 신뢰도를 향상시킨다는 점에 유의해야 한다.
선택적으로, 처리될 경보 로그 세트에 기초하여 적어도 하나의 경보 이벤트를 생성하는 단계는:
처리될 경보 로그 세트 내의 각각의 경보 타입에 대해, 처리될 경보 로그 세트 내에 있고 해당 경보 타입(the alarm type)인 타겟 경보 로그를 획득하는 단계; 시간 시퀀스에서 인접하는 처리될 경보 로그 세트 내의 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격을 개별적으로 계산하는 단계; 및 동일한 경보 이벤트에 속하는 처리될 경보 로그 세트 내의 타겟 경보 로그들을, 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격에 기초하여 하나의 경보 이벤트로 재구성하는 단계를 포함한다.
선택적으로, 동일한 경보 이벤트에 속하는 처리될 경보 로그 세트 내의 타겟 경보 로그들을, 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격에 기초하여 하나의 경보 이벤트로 재구성하는 단계는:
지수 이동 평균 방법(exponential moving average method)을 사용하여 2개의 타겟 경보 로그 사이의 추정된 시간 간격을 계산하는 단계- 2개의 타겟 경보 로그는 시간 시퀀스에서 인접하는 임의의 2개의 타겟 경보 로그이고, 2개의 타겟 경보 로그는 제1 경보 로그와 제2 경보 로그를 포함하고, 제1 경보 로그는 제2 경보 로그 이전에 생성됨 -;
2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족하는지를 판정하는 단계; 및
2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족할 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하고, 제2 경보 로그를 제1 경보 로그가 속하는 경보 이벤트로 집계하는 단계; 또는
2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족하지 않을 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하는 단계를 포함한다.
선택적으로, 2개의 타겟 경보 로그 사이의 발생 시간 간격 sk는 sk=tk-tk-1이고, 추정된 시간 간격 sk'는
Figure pct00006
이고, 미리 설정된 조건은
Figure pct00007
이고,
tk는 제2 경보 로그의 생성 시간 스탬프이고, tk-1는 제1 경보 로그의 생성 시간 스탬프이고, 0≤α≤1, k는 1보다 큰 정수이고, β는 양수이다.
2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족하는지를 판정하는 단계 전에, 본 방법은:
2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최소 시간 간격 임계값 이하일 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하는 단계; 또는
2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최대 시간 간격 임계값보다 클 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하는 단계를 추가로 포함하며,
Figure pct00008
, smin는 최소 시간 간격 임계값이고, smax는 최대 시간 간격 임계값이라는 점에 유의해야 한다.
또한, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하는 단계 이후에, 본 방법은:
제1 경보 로그가 속하는 경보 이벤트의 재구성을 종료하고, 신규 경보 이벤트를 초기화하는 단계; 및
제2 경보 로그를 신규 경보 이벤트로 집계하는 단계를 추가로 포함한다.
선택적으로, 경보 이벤트는 경보 타입과, 경보 이벤트에서 경보 로그의 시작 발생 순간, 종료 발생 순간, 평균 발생 시간 간격, 및 발생 횟수 중 적어도 하나를 포함한다.
적어도 하나의 연관 규칙에 기초하여 복수의 처리될 경보 로그를 압축하여, 경보 타입이 근본 원인 경보 타입인 경보 로그를 획득하는 단계는:
적어도 하나의 연관 규칙에 기초하여 적어도 하나의 경보 이벤트를 압축하여, 적어도 하나의 타겟 경보 이벤트를 획득하는 단계를 포함하고, 각각의 타겟 경보 이벤트는 경보 타입이 근본 원인 경보 타입인 경보 로그를 표시하는데 사용된다.
이에 대응하여, 적어도 하나의 경보 이벤트를 압축하여, 적어도 하나의 타겟 경보 이벤트를 획득하는 단계 이후에, 본 방법은:
적어도 하나의 타겟 경보 이벤트를 출력하여, 적어도 하나의 타겟 경보 이벤트를 네트워크 모니터링 엔지니어에게 디스플레이하는 단계를 추가로 포함한다.
제2 양태에 따르면, 본 출원은 압축 디바이스에 적용되는 경보 로그 압축 장치를 제공하고, 이 장치는:
통신 네트워크에서 제1 네트워크 디바이스에 의해 생성되는 이력 경보 로그 세트를 획득하도록 구성된 제1 획득 모듈- 이력 경보 로그 세트는 복수의 이력 경보 로그를 포함하고, 각각의 이력 경보 로그는 경보 타입과 생성 시간 스탬프를 포함함 -;
이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하도록 구성된 분할 모듈- 각각의 이력 경보 로그 서브세트 내의 모든 이력 경보 로그는 시간 시퀀스에서 연속적이고, 복수의 이력 경보 로그 서브세트의 조합 세트는 이력 경보 로그 세트 내의 모든 이력 경보 로그를 포함함 -;
이력 경보 로그 세트 내의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정하도록 구성된 결정 모듈;
대응관계에 기초하여 이력 경보 로그 세트 내의 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하도록 구성된 클러스터링 모듈- 각각의 연관 규칙은 서로 연관되는 근본 원인 경보 타입 및 적어도 하나의 경미한 경보 타입을 포함함 -; 및
적어도 하나의 연관 규칙에 기초하여 복수의 처리될 경보 로그를 압축하여, 경보 타입이 근본 원인 경보 타입인 경보 로그를 획득하도록 구성된 압축 모듈을 포함한다.
선택적으로, 결정 모듈은:
이력 경보 로그 세트 내의 모든 경보 타입을 획득하여, 제1 경보 타입 세트를 획득하도록 구성된 획득 서브모듈; 및
제1 경보 타입 세트 내의 각각의 경보 타입의 시간 시퀀스 벡터를 결정하도록 구성된 결정 서브모듈- 각각의 시간 시퀀스 벡터는 대응하는 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 반영하는데 사용됨 -을 포함한다.
각각의 경보 타입에 대응하는 시간 시퀀스 벡터에 대해, 시간 시퀀스 벡터의 값들은 복수의 이력 경보 로그 서브세트와 일대일로 대응하고, 시간 시퀀스 벡터의 값들은 제1 값과 제2 값 중 적어도 하나를 포함하고, 제1 값은 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재한다는 것을 표시하는데 사용되고, 제2 값은 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재하지 않는다는 것을 표시하는데 사용되며, 제1 값은 제2 값과 상이하다.
선택적으로, 결정 서브모듈은:
제1 경보 타입 세트 내의 각각의 경보 타입에 대해 시간 시퀀스 벡터 결정 절차를 실행하도록 추가로 구성된다.
시간 시퀀스 벡터 결정 절차는:
경보 타입이 복수의 이력 경보 로그 서브세트에 존재하는지를 순차적으로 검출하는 것; 및
검출 결과에 기초하여 경보 타입의 시간 시퀀스 벡터를 결정하는 것을 포함한다.
선택적으로, 클러스터링 모듈은:
모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 제1 경보 타입 세트 내의 모든 경보 타입에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하도록 구성된다.
선택적으로, 클러스터링 모듈은:
제1 경보 타입 세트에 대한 클러스터링 동작을 수행하도록 추가로 구성되고, 클러스터링 동작은:
타겟 경보 타입 세트와 제2 경보 타입 세트를 설정하는 단계- 타겟 경보 타입 세트와 제2 경보 타입 세트 양쪽 모두는 빈 세트들임 -;
제1 경보 타입 세트 내의 임의의 경보 타입을 타겟 경보 타입 세트에 추가하고, 제1 경보 타입 세트로부터, 타겟 경보 타입 세트에 추가된 경보 타입을 삭제하는 단계;
제1 경보 타입 세트가 빈 세트가 될 때까지 결정 절차를 반복적으로 수행하고, 타겟 경보 타입 세트를 연관 규칙으로서 결정하는 단계; 및
결정 절차를 반복적으로 수행한 후에, 제2 경보 타입 세트가 빈 세트가 아닐 때, 제2 경보 타입 세트를 신규 제1 경보 타입 세트로서 사용하여 클러스터링 동작을 반복적으로 수행하는 단계; 또는
결정 절차를 반복적으로 수행한 후에, 제2 경보 타입 세트가 빈 세트일 때, 클러스터링 동작을 수행하는 것을 중단하는 단계를 포함한다.
결정 절차는:
처리될 경보 타입의 시간 시퀀스 벡터와 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 것- 처리될 경보 타입은 타겟 경보 타입 세트 내의 경보 타입들 이외의 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
상관 관계가 미리 설정된 상관 임계값보다 클 때, 처리될 경보 타입을 타겟 경보 타입 세트에 추가하여, 업데이트된 타겟 경보 타입 세트를 획득하고, 제1 경보 타입 세트로부터 처리될 경보 타입을 삭제하는 것; 또는
상관 관계가 미리 설정된 상관 임계값보다 크지 않을 때, 처리될 경보 타입을 제2 경보 타입 세트에 추가하고, 처리될 경보 타입을 제1 경보 타입 세트로부터 삭제하는 것을 포함한다.
선택적으로, 클러스터링 모듈은:
제1 경보 타입 세트에 타겟 경보 타입을 마킹하고- 타겟 경보 타입은 제1 경보 타입 세트 내의 임의의 경보 타입임 -;
제1 경보 타입 세트에 대한 클러스터링 동작을 수행하도록 추가로 구성될 수 있고, 클러스터링 동작은:
제1 경보 타입 세트 내의 모든 경보 타입이 순회될 때까지 결정 절차를 반복적으로 실행하는 단계; 및
결정 절차를 반복적으로 실행하는 단계 이후에, 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 있을 때, 어떠한 마크도 설정되지 않은 임의의 경보 타입을, 신규 타겟 경보 타입으로서 결정하고, 신규 타겟 경보 타입을 마킹하며, 클러스터링 동작을 반복적으로 수행하는 단계- 상이한 타겟 경보 타입들은 상이한 마크들을 가짐 -; 또는
결정 절차를 반복적으로 실행하는 단계 이후에, 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 없을 때, 클러스터링 동작을 수행하는 것을 중단하고, 제1 경보 타입 세트에 기초하여 적어도 하나의 연관 규칙을 생성하는 단계- 각각의 연관 규칙의 모든 경보 타입에 대해 동일한 마크가 설정됨 -를 포함한다.
결정 절차는:
타겟 경보 타입과 동일한 마크를 갖는 제1 경보 타입 세트 내의 모든 경보 타입을 포함하는 세트를 타겟 경보 타입 세트로서 결정하는 것;
처리될 경보 타입의 시간 시퀀스 벡터와 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 것- 처리될 경보 타입은 타겟 경보 타입 세트 내의 경보 타입들 이외의 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
상관 관계가 미리 설정된 상관 임계값보다 클 때 처리될 경보 타입을 마킹하는 것- 처리될 경보 타입의 마크는 타겟 경보 타입의 마크와 동일함 -을 포함한다.
선택적으로, 클러스터링 모듈은:
피어슨 상관 계수 공식에 따라 타겟 경보 타입 세트 내의 각각의 경보 타입과 처리될 경보 타입 사이의 상관 관계를 계산하고- 피어슨 상관 계수 공식은:
Figure pct00009
이고,
Cor(ii, ij)는 경보 타입 ii와 경보 타입 ij 사이의 상관 관계를 나타내고, cov(vi, vj)는 vi와 vj사이의 공분산을 나타내고,
Figure pct00010
는 vi의 표준 편차를 나타내고,
Figure pct00011
는 vj의 표준 편차를 나타내고, vi는 경보 타입 ii의 시간 시퀀스 벡터를 나타내고, vj는 경보 타입 ij의 시간 시퀀스 벡터를 나타냄 -; 및
평균 상관 계산 공식에 따라 타겟 경보 타입 세트 내의 각각의 경보 타입과 처리될 경보 타입 사이의 상관 관계에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하도록 추가로 구성될 수 있고, 평균 상관 계산 공식은:
Figure pct00012
이고,
AveCor(ij, R)는 경보 타입 ij와 타겟 경보 타입 세트 R 사이의 상관 관계를 표시하고,
Figure pct00013
는 타겟 경보 타입 세트 R 내의 경보 타입들의 수량을 표시한다.
선택적으로, 제1 획득 모듈은:
제1 미리 설정된 기간 내에 상기 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그를 미리 처리하여 각각의 이력 경보 로그로부터 중복된 정보를 제거함으로써, 이력 경보 로그 세트를 획득하도록 구성된다.
선택적으로, 각각의 이력 경보 로그는 2-튜플(M, t) 포맷으로 나타나고, M은 경보 로그 정보를 나타내며, t는 생성 시간 스탬프를 나타내고, 경보 로그 정보는 적어도 경보 네트워크 디바이스의 경보 타입 필드 및 식별자 필드를 포함한다.
이력 경보 로그 세트 내의 상기 이력 경보 로그들은 시간 부분 순서 관계를 가지며, 분할 서브모듈은:
이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프 세트를 획득하고;
생성 시간 스탬프 세트, 미리 설정된 시간 윈도우 길이, 및 윈도우 슬라이딩 스텝에 기초하여 이력 경보 로그들을 복수의 이력 경보 로그 서브세트로 분류하도록 구성되고, 윈도우 슬라이딩 스텝은 시간 윈도우 길이보다 크지 않다.
선택적으로, 본 장치는:
제2 미리 설정된 기간 내에 통신 네트워크에서 제2 네트워크 디바이스에 의해 생성되는 처리될 경보 로그 세트를 획득하도록 구성된 제2 획득 모듈- 처리될 경보 로그 세트는 복수의 처리될 경보 로그를 포함하고, 각각의 처리될 경보 로그는 경보 타입과 생성 시간 스탬프를 포함함 -; 및
처리될 경보 로그 세트에 기초하여 적어도 하나의 경보 이벤트를 생성하도록 구성된 생성 모듈- 각각의 경보 이벤트는 제2 네트워크 디바이스에 의해 생성되는 동일한 경보 타입의 경보 로그들을 표시하는데 사용됨 -을 추가로 포함한다.
선택적으로, 생성 모듈은:
각각의 처리될 경보 로그 세트에 대한 경보 이벤트 재구성 절차를 실행하도록 구성된 재구성 서브모듈을 포함하고, 경보 이벤트 재구성 프로세스는:
획득 유닛이 처리될 경보 로그 세트 내의 각각의 경보 타입에 대해, 처리될 경보 로그 세트 내에 있고 해당 경보 타입인 타겟 경보 로그를 획득하도록 구성되는 것;
계산 유닛이 시간 시퀀스에서 인접하는 처리될 경보 로그 세트 내의 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격을 개별적으로 계산하도록 구성되는 것; 및
재구성 유닛이 동일한 경보 이벤트에 속하는 처리될 경보 로그 세트 내의 타겟 경보 로그들을, 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격에 기초하여 하나의 경보 이벤트로 재구성하도록 구성되는 것을 포함한다.
선택적으로, 재구성 유닛은:
지수 이동 평균 방법(exponential moving average method)을 사용하여 2개의 타겟 경보 로그 사이의 추정된 시간 간격을 계산하고- 2개의 타겟 경보 로그는 시간 시퀀스에서 인접하는 임의의 2개의 타겟 경보 로그이고, 2개의 타겟 경보 로그는 제1 경보 로그와 제2 경보 로그를 포함하고, 제1 경보 로그는 제2 경보 로그 이전에 생성됨 -;
2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족하는지를 판정하고;
2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족할 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하고, 제2 경보 로그를 제1 경보 로그가 속하는 경보 이벤트로 집계하거나; 또는
2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족하지 않을 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하도록 구성될 수 있다.
선택적으로, 2개의 타겟 경보 로그 사이의 발생 시간 간격 sk는 sk=tk-tk-1이고, 추정된 시간 간격 sk'는
Figure pct00014
이고, 미리 설정된 조건은
Figure pct00015
이고,
tk는 제2 경보 로그의 생성 시간 스탬프이고, tk-1는 제1 경보 로그의 생성 시간 스탬프이고, 0≤α≤1, k는 1보다 큰 정수이고, β는 양수이다.
선택적으로, 재구성 유닛은:
2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최소 시간 간격 임계값 이하일 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하거나; 또는
2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최대 시간 간격 임계값보다 클 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하도록 추가로 구성될 수 있고,
Figure pct00016
, smin는 최소 시간 간격 임계값이고, smax는 최대 시간 간격 임계값이다.
선택적으로, 재구성 유닛은:
제1 경보 로그가 속하는 경보 이벤트의 재구성을 종료하고, 신규 경보 이벤트를 초기화하고;
제2 경보 로그를 신규 경보 이벤트로 집계하도록 추가로 구성될 수 있다.
선택적으로, 경보 이벤트는 경보 타입과, 경보 이벤트에서 경보 로그의 시작 발생 순간, 종료 발생 순간, 평균 발생 시간 간격, 및 발생 횟수 중 적어도 하나를 포함한다.
선택적으로, 압축 모듈은:
적어도 하나의 연관 규칙에 기초하여 적어도 하나의 경보 이벤트를 압축하여, 적어도 하나의 타겟 경보 이벤트를 획득하도록 구성되고, 각각의 타겟 경보 이벤트는 경보 타입이 근본 원인 경보 타입인 경보 로그를 표시하는데 사용된다.
선택적으로, 본 장치는:
적어도 하나의 타겟 경보 이벤트를 출력하여, 적어도 하나의 타겟 경보 이벤트를 네트워크 모니터링 엔지니어에게 디스플레이하도록 구성된 출력 모듈을 추가로 포함한다.
선택적으로, 제2 네트워크 디바이스와 제1 네트워크 디바이스는 동일한 네트워크 디바이스이거나; 또는 제2 네트워크 디바이스와 제1 네트워크 디바이스는 동일한 타입의 상이한 네트워크 디바이스들이다.
제3 양태에 따르면, 본 출원은 경보 로그 압축 시스템을 제공하고, 여기서 본 시스템은 압축 디바이스를 포함하고, 압축 디바이스는 제2 양태에 따른 장치를 포함하며;
압축 디바이스는 통신 네트워크에서 적어도 하나의 네트워크 디바이스에 의해 생성되는 복수의 경보 로그를 압축하도록 구성된다.
선택적으로, 압축 디바이스는 복수의 경보 로그가 압축된 이후에 획득되는 경보 정보를 디스플레이하도록 추가로 구성된다.
선택적으로, 시스템은 네트워크 관리 디바이스를 추가로 포함하고;
압축 디바이스는 복수의 경보 로그가 압축된 이후에 획득되는 경보 정보를 네트워크 관리 디바이스에 출력하도록 추가로 구성되고;
네트워크 관리 디바이스는 경보 정보를 디스플레이하도록 구성된다.
선택적으로, 경보 정보는 차트의 형태로 디스플레이된다.
제4 양태에 따르면, 본 출원은 경보 로그 압축 장치를 제공하고, 이 장치는 메모리, 프로세서, 및 메모리에 저장되고 프로세서 상에서 실행될 수 있는 컴퓨터 프로그램을 포함하고, 프로세서가 컴퓨터 프로그램을 실행할 때, 제1 양태에 따른 경보 로그 압축 방법이 구현된다.
제5 양태에 따르면, 본 출원은 컴퓨터 판독가능 저장 매체를 제공하고, 여기서 컴퓨터 판독가능 저장 매체는 명령어를 저장하고, 명령어가 프로세서에 의해 실행될 때, 제1 양태에 따른 경보 로그 압축 방법이 구현된다.
본 출원의 실시예들에서 제공되는 기술적 해결책들에 의해 야기되는 유익한 효과들은 적어도 다음을 포함한다:
결론적으로, 본 출원의 실시예들에서 제공되는 경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체에 따르면, 연관 규칙은 경보 타입들 사이의 시간 상관에 기초하여 마이닝된다. 마이닝 프로세스에서, 생성 시간 스탬프에 기초하여 수행된 분할을 통해 획득되는 복수의 이력 경보 로그 서브세트 내의 경보 타입들만이 순회될 필요가 있고, 그 후 각각의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계가 결정되고, 예를 들어, 각각의 경보 타입의 시간 시퀀스 벡터가 결정된 후에, 대응관계에 기초하여 경보 타입에 대한 클러스터링 처리가 수행되어, 연관 규칙을 생성할 수 있다. 관련 기술과 비교하여, 본 출원에서는, 이력 경보 로그들이 복수회 순회될 필요가 없고, 연관 규칙 마이닝 효율이 향상된다. 또한, 본 출원에서, 경보 타입들 사이의 시간 상관에 기초하여 마이닝되는 연관 규칙들의 수량은 관련 기술에서 빈번한 아이템세트에 기초하여 마이닝되는 연관 규칙들의 수량보다 훨씬 적다. 따라서, 연관 규칙의 정확도를 결정하는 프로세스 및 연관 규칙에서 근본 원인 경보 타입을 결정하는 프로세스에서 시간 비용이 감소된다. 또한, 경보 이벤트는 경보 로그의 발생 시간 간격에 기초하여 재구성되고, 마지막으로, 경보 타입이 근본 원인 경보 타입인 경보 로그를 표시하는데 사용된 타겟 경보 이벤트는 네트워크 모니터링 엔지니어에게 디스플레이된다. 이것은 네트워크 모니터링 엔지니어에게 제시되는 경보 로그 정보를 크게 감소시키고, 정보 정확도 및 충실도를 보장한다.
도 1은 본 출원의 실시예에 따른 경보 로그 압축 시스템의 개략적인 구조도이고;
도 2는 본 출원의 실시예에 따른 경보 로그 압축 방법의 흐름도이고;
도 3은 본 출원의 실시예에 따라 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하는 개략도이고;
도 4는 본 출원의 실시예에 따른 또 다른 경보 로그 압축 방법의 흐름도이고;
도 5a는 본 출원의 실시예에 따른 경보 이벤트 재구조화 방법의 흐름도이고;
도 5b는 본 출원의 실시예에 따른 타겟 경보 이벤트의 인터페이스의 개략도이고;
도 6은 본 출원의 실시예에 따른 또 다른 경보 로그 압축 방법의 흐름도이고;
도 7a는 본 출원의 실시예에 따른 경보 로그 압축 장치의 개략적인 구조도이고;
도 7b는 본 출원의 실시예에 따른 결정 모듈의 개략적인 구조도이고;
도 7c는 본 출원의 실시예에 따른 또 다른 경보 로그 압축 장치의 개략적인 구조도이고;
도 7d는 본 출원의 실시예에 따른 생성 모듈의 개략적인 구조도이고;
도 7e는 본 출원의 실시예에 따른 또 다른 경보 로그 압축 장치의 개략적인 구조도이고;
도 8은 본 출원의 실시예에 따른 경보 로그 압축 장치의 엔티티의 개략적인 구조도이다.
본 출원의 목적들, 기술적 해결책들 및 장점들을 보다 명확하게 하기 위해, 이하에서는 첨부 도면들을 참조하여 본 출원의 구현예들을 상세히 추가로 설명한다.
관련 기술에서, 네트워크 모니터링 엔지니어에 제시되는 경보 로그들의 수량을 감소시키기 위해, 3개의 경보 로그 압축 방식이 제공되며, 각각 다음을 포함한다: 제1 방식에서, 미리 설정된 기간 내에 네트워크 디바이스에 의해 생성되는 경보 로그들의 수량이 미리 설정된 임계값을 초과할 때, 그 기간 내에 경보 스톰(alarm storm)이 발생하는 것으로 결정되고, 경보 로그 처리 디바이스는 네트워크 디바이스에 의해 생성되는 경보 로그들의 수량이 미리 설정된 임계값에 도달한 후에 생성되는 경보 로그를 직접 폐기한다. 제2 방식에서, 미리 설정된 기간에 생성되는 동일한 경보 타입의 경보 로그들이 요약되어 카운트되고, 통계적 수집 후에 획득되는 정보가 네트워크 모니터링 엔지니어에 제시된다. 예를 들어, 12시간 내에 생성된 경보 로그들이 요약되어 카운트되고, 동일한 경보 타입의 경보 로그들의 발생 횟수 및 평균 발생 시간 간격과 같은 정보에 관한 통계가 수집되고, 각각의 경보 타입에 대응하고 12시간 내에 발생된 경보 로그들의 발생 횟수 및 평균 발생 간격과 같은 정보가 네트워크 모니터링 엔지니어에게 제시된다. 제3 방식에서, 이력 경보 로그는 자동의 빈번한 아이템세트 마이닝 방법에 따라 미리 마이닝되어, 상이한 경보 타입들 사이의 연관 규칙을 확립하고, 그 후 경보 타입이 근본 원인 경보 타입인 경보 로그가 미리 결정된 연관 규칙에 기초하여 네트워크 모니터링 엔지니어에게 제시되고, 경미한 경보 타입의 경보 로그가 필터링되어, 경보 로그들을 압축한다.
그러나, 제1 방식에서, 경보 로그들의 수량만이 감소되고, 폐기된 경보 로그는 유효한 경보 정보를 포함할 수 있다. 결과적으로, 유효한 경보 정보가 손실된다. 또한, 네트워크 모니터링 엔지니어에게 제시되는 경보 정보는 다량의 중복된 경보 로그를 여전히 포함하고, 경보 로그 압축 신뢰도는 비교적 낮다. 제2 방식에서, 미리 설정된 시간 기간 내에 복수의 독립적인 경보 이벤트(각각의 경보 이벤트는 발생 시간 간격이 미리 설정된 시간 임계값보다 작은 동일한 경보 타입의 복수의 경보 로그를 포함함)가 존재할 수 있고, 미리 설정된 기간 내에 발생되는 동일한 경보 타입의 경보 로그가 요약되어 카운트될 때, 각각의 경보 이벤트에 관한 정보는 획득될 수 없다. 결과적으로, 네트워크 모니터링 엔지니어에 제시된 정보는 왜곡된다. 제3 방식에서, 연관 규칙의 정확도를 결정하는 프로세스 및 연관 규칙에서 근본 원인 경보 타입을 결정하는 프로세스에서 시간 비용이 비교적 크다.
본 출원의 실시예는 관련 기술에서의 문제점을 해결하기 위해 경보 로그 압축 시스템을 제공한다. 도 1에 도시된 바와 같이, 경보 로그 압축 시스템은 압축 디바이스(01)를 포함한다. 압축 디바이스(01)는 통신 네트워크에서 적어도 하나의 네트워크 디바이스에 의해 생성되는 복수의 경보 로그를 압축하도록 구성된다.
압축 디바이스(01)는 하나의 서버, 여러 서버를 포함하는 서버 클러스터, 또는 클라우드 컴퓨팅 서비스 센터일 수 있다. 적어도 하나의 네트워크 디바이스는 라우터, 스위치, 방화벽, 부하 밸런스 디바이스, 액세스 게이트웨이 디바이스 등을 포함할 수 있다. 이는 이 출원에서 한정되지 않는다. 압축 디바이스(01)는 무선 네트워크 또는 유선 네트워크를 사용하여 적어도 하나의 네트워크 디바이스로의 접속을 확립하고, 작동 프로세스에서 적어도 하나의 네트워크 디바이스에 의해 생성된 모든 경보 로그가 압축 디바이스(01)로 전송된다.
선택적으로, 도 1에 도시된 바와 같이, 경보 로그 압축 시스템은 네트워크 관리 디바이스(02)를 추가로 포함할 수 있다. 네트워크 관리 디바이스(02)는 무선 네트워크 또는 유선 네트워크를 사용하여 압축 디바이스(01)로의 접속을 확립한다. 압축 디바이스(01)는 적어도 하나의 네트워크 디바이스에 의해 생성되는 복수의 경보 로그를 압축함으로써 획득되는 경보 정보를 네트워크 관리 디바이스(02)에 출력하도록 추가로 구성된다. 네트워크 관리 디바이스(02)는 경보 정보를 디스플레이하여, 네트워크 모니터링 엔지니어가 경보 정보를 볼 수 있도록 구성된다. 또한, 네트워크 관리 디바이스(02)는: 네트워크 모니터링 엔지니어가 유효한 경보 정보를 결정한 후에 대응하는 경보 제거 워크시트를 생성하고- 경보 제거 워크시트는 경보 정보와 네트워크 유지보수 엔지니어 사이의 대응관계를 포함함 -, 경보 정보를 대응하는 네트워크 유지보수 엔지니어에게 피드백하여, 네트워크 유지보수 엔지니어가 대응하는 네트워크 디바이스를 유지하도록 추가로 구성될 수 있다. 네트워크 관리 디바이스(02)는 하나의 서버, 몇몇 서버들을 포함하는 서버 클러스터, 또는 클라우드 컴퓨팅 서비스 센터일 수 있다.
실제 응용에서, 압축 디바이스(01) 및 네트워크 관리 디바이스(02)는 서로 독립적인 디바이스들일 수 있거나, 네트워크 관리 디바이스(02)는 압축 디바이스(01)에 통합될 수 있다. 이 경우, 압축 디바이스(01)는 적어도 하나의 네트워크 디바이스에 의해 생성된 복수의 경보 로그를 압축한 후에 획득되는 경보 정보를 디스플레이하도록 추가로 구성될 수 있다.
본 출원의 실시예들에서 제공되는 경보 로그 압축 방법들에 따르면, 근본 원인 경보 타입의 경보 로그는 네트워크 모니터링 엔지니어에게 디스플레이될 수 있고, 경보 이벤트가 추가로 재구성되어, 근본 원인 경보 타입의 경보 이벤트를 네트워크 모니터링 엔지니어에게 디스플레이할 수 있다. 도 2, 도 4, 및 도 6은 본 출원의 실시예들에서의 설명을 위한 예들로서 사용된다. 도 2에 도시된 경보 로그 압축 방법에서, 경보 타입들 사이의 연관 규칙이 연관 규칙 마이닝 방법에서 결정된 후에, 경보 로그는 연관 규칙에 기초하여 압축되고, 마지막으로 근본 원인 경보 타입의 경보 로그는 네트워크 모니터링 엔지니어에게 디스플레이된다. 도 4에 도시된 경보 로그 압축 방법에서, 경보 타입들 사이의 연관 규칙이 연관 규칙 마이닝 방법에서 결정되고, 경보 이벤트가 경보 이벤트 재구성 방법에서 재구성된 후에, 경보 이벤트는 연관 규칙에 기초하여 압축되고, 최종적으로 근본 원인 경보 타입의 경보 이벤트가 네트워크 모니터링 엔지니어게에 디스플레이된다. 도 6에 도시된 경보 로그 압축 방법에서, 경보 타입들 사이의 연관 규칙이 연관 규칙 마이닝 방법에서 결정된 후에, 처리될 경보 로그 내의 경미한 경보 타입의 경보 로그가 먼저 연관 규칙에 기초하여 필터링되고, 그 후 경보 이벤트가 경보 이벤트 재구성 방법에서 근본 원인 경보 타입의 경보 로그를 사용하여 재구성되고, 마지막으로 근본 원인 경보 타입의 경보 이벤트가 네트워크 모니터링 엔지니어에게 디스플레이된다. 도 2에 도시된 경보 로그 압축 방법과 비교하여, 도 4 및 도 6에 도시된 경보 로그 압축 방법들에서, 경보 로그들은 경보 이벤트의 단위로 카운트되어, 네트워크 모니터링 엔지니어에게 디스플레이되는 경보 로그 관련 정보를 추가로 감소시킨다. 실제 응용에서, 경보 이벤트가 본 출원에서 제공되는 경보 이벤트 재구성 방법에서 재구성된 후에, 모든 경보 이벤트는 네트워크 모니터링 엔지니어에게 직접 디스플레이된다. 세부사항들은 본 출원에서 설명되지 않는다. 이하에서는 도 2, 도 4, 및 도 6을 예들로서 사용하여 경보 로그 압축 방법들을 추가로 설명한다.
도 2는 본 출원의 실시예에 따른 경보 로그 압축 방법의 흐름도이다. 본 방법은 압축 디바이스에 적용된다. 압축 디바이스는 도 1에 도시된 압축 디바이스(01)일 수 있다. 도 2에 도시된 바와 같이, 본 방법은 다음 단계들을 포함할 수 있다.
단계 201: 통신 네트워크에서 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그 세트를 획득하고, 이력 경보 로그 세트는 복수의 이력 경보 로그를 포함하고, 각각의 이력 경보 로그는 경보 타입과 생성 시간 스탬프를 포함한다.
통신 네트워크는 적어도 하나의 네트워크 디바이스를 포함하고, 제1 네트워크 디바이스는 통신 네트워크에서 임의의 네트워크 디바이스일 수 있다. 실제 응용에서, 압축 디바이스는 통신 네트워크에서 복수의 네트워크 디바이스에 의해 생성되는 복수의 이력 경보 로그 세트를 획득하고, 각각의 이력 경보 로그 세트에 대해 다음의 단계들 202 내지 204를 개별적으로 수행할 수 있다. 각각의 네트워크 디바이스는 하나의 이력 경보 로그 세트에 대응한다. 이는 본 출원의 이 실시예에서 한정되지 않는다.
선택적으로, 통신 네트워크에서 각각의 네트워크 디바이스에 의해 생성되는 이력 경보 로그 세트를 획득하기 위한 방법은:
제1 미리 설정된 기간 내에 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그를 미리 처리하여, 각각의 이력 경보 로그로부터 중복된 정보를 제거함으로써, 각각의 네트워크 디바이스에 대응하는 이력 경보 로그 세트를 획득하는 단계를 포함할 수 있다.
네트워크 디바이스에 의해 생성되는 원래의 경보 로그는 일반적으로 경보 타입, 생성 시간 스탬프, 경보 네트워크 디바이스의 식별자(Identifier, ID), 및 일부 중복된 정보를 운반한다는 점에 유의해야 한다. 네트워크 디바이스에 의해 생성된 이력 경보 로그가 미리 처리되어, 각각의 이력 경보 로그가 경보 타입, 생성 시간 스탬프, 및 경보 네트워크 디바이스의 ID만을 포함하게 함으로써, 이력 경보 로그에 대한 후속 처리를 용이하게 한다. 따라서, 조작 비용이 감소되고, 조작 효율이 향상된다.
선택적으로, 각각의 이력 경보 로그는 2-튜플(M, t) 포맷으로 나타낼 수 있고, M은 경보 로그 정보를 나타내며, t는 생성 시간 스탬프를 나타내고, 경보 로그 정보는 적어도 제1 네트워크 디바이스의 경보 타입 필드 및 ID 필드를 포함한다. 예를 들어, 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그는 미리 처리된 후에 (dgd437slhw3m: TCP 인증 실패, 14:22:08)로서 나타낼 수 있고, 여기서, dgd437slhw3m은 제1 네트워크 디바이스의 ID 필드이고, TCP 인증 실패는 경보 타입이고, 14:22:08은 생성 시간 스탬프라고 가정된다. 이 경보 로그는 ID가 dgd437slhw3m인 네트워크 디바이스에서, 14:22:08에 "TCP 인증 실패"가 발생한 경우를 표시한다.
본 출원의 이 실시예에서, 제1 미리 설정된 기간은 과거 기간(즉, 이력 기간)이다. 예를 들어, 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그를 제1 미리 설정된 기간 내에 미리 처리하는 것은 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그 세트를 지난 달에 미리 처리하는 것일 수 있다.
단계 202: 이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할한다.
각각의 이력 경보 로그 서브세트 내의 모든 이력 경보 로그는 시간 시퀀스에서 연속적이다. 구체적으로, 각각의 이력 경보 로그 서브세트는 미리 설정된 기간 내에 생성된 복수의 이력 경보 로그를 포함한다. 또한, 복수의 이력 경보 로그 서브세트의 조합 세트는 이력 경보 로그 세트 내의 모든 이력 경보 로그를 포함한다.
선택적으로, 이력 경보 로그 세트 내의 이력 경보 로그들은 시간 부분 순서 관계를 가질 수 있다. 구체적으로, 이력 경보 로그 세트는 시간 부분 순서 관계를 갖는 일련의 이력 경보 로그들을 포함하는 이력 경보 시퀀스일 수 있다. 이력 경보 시퀀스의 시간 범위는 [Ts, Te] 일 수 있고, 여기서 Ts는 이력 경보 로그 시퀀스의 시작 시간을 나타내고, Te는 이력 경보 로그 시퀀스의 종료 시간을 표시한다. 이력 경보 로그 세트 내의 이력 경보 로그들이 시간 부분 순서 관계를 갖는다는 것은, 이력 경보 로그 세트 내에 있으며 임의의 이력 경보 로그 이후에 위치하는 이력 경보 로그의 생성 시간이 임의의 이력 경보 로그의 생성 시간 이후이거나, 또는 임의의 이력 경보 로그의 생성 시간과 동일하다는 것을 의미한다.
이에 대응하여, 이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하기 위한 방법은:
이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프 세트를 획득하는 단계; 및 슬라이딩 윈도우 기술을 사용하여 생성 시간 스탬프 세트, 미리 설정된 시간 윈도우 길이, 및 윈도우 슬라이딩 스텝에 기초하여 이력 경보 로그들을 복수의 이력 경보 로그 서브세트로 분류하는 단계- 윈도우 슬라이딩 스텝은 시간 윈도우 길이보다 크지 않음 -를 포함한다.
선택적으로, 이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프 세트는 {tk; k는 양의 정수임}이고, 시간 윈도우 길이는 win이고, 윈도우 슬라이딩 스텝은 step이다. 이 경우, 이력 경보 로그들은 이력 경보 로그 세트의 시작 시간 t1으로부터 분류되어, 제1 이력 경보 로그 서브세트의 시간 윈도우는 [t1, win)이고, 제2 이력 경보 로그 서브세트의 시간 윈도우는 [t1+step, win+step)이며, 유추에 의해, 마지막 이력 경보 로그 서브세트의 시간 윈도우의 종료 시간이 이력 경보 로그 세트의 종료 시간 tn보다 크거나 동일할 때까지 계속된다.
예를 들어, 도 3은 본 출원의 실시예에 따라 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하는 개략도이다. 도 3에 도시된 바와 같이, 시간 윈도우 길이 win=3이고, 윈도우 슬라이딩 step=2이고, 이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프 세트는 {tk; k는 양의 정수임}이고, 경보 타입들은 A, B, C 및 D이다. 이력 경보 로그 세트를 분할함으로써 획득되는 복수의 이력 경보 로그 서브세트의 시간 윈도우들은 순차적으로 w1 = {t1, t2, t3}, w2 = {t3, t4, t5}, ..., 및 wm = {..., tn}이다. 시간 윈도우 w1에 대응하는 경보 타입 세트는 {A, B, C}이고, 시간 윈도우 w2에 대응하는 경보 타입 세트는 {C, A, D}이며, 시간 윈도우 wm에 대응하는 경보 타입 세트는 {D, C, A}이다.
실제 응용에서, 이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프 세트가 획득된 후에, 이력 경보 로그 세트는 생성 시간 스탬프 세트에 기초하여 직접 분할될 수 있다. 예를 들어, 생성 시간 스탬프 세트가 12개의 생성 시간 스탬프를 포함한다고 가정하면, 이력 경보 로그 세트는 4개의 이력 경보 로그 서브세트로 분할될 수 있고, 각각의 이력 경보 로그 서브세트는 3개의 생성 시간 스탬프에 대응하는 이력 경보 로그를 포함하고, 각각의 이력 경보 로그 서브세트에 대응하는 3개의 생성 시간 스탬프는 시간 시퀀스에서 연속적이다.
단계 203: 이력 경보 로그 세트 내의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정한다.
선택적으로, 이력 경보 로그 세트 내의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정하기 위한 방법은:
이력 경보 로그 세트 내의 모든 경보 타입을 획득하여 제1 경보 타입 세트를 획득하는 단계; 및 제1 경보 타입 세트 내의 각각의 경보 타입의 시간 시퀀스 벡터를 결정하는 단계- 각각의 시간 시퀀스 벡터는 대응하는 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 반영하는데 사용됨 -를 포함하고, 각각의 경보 타입에 대응하는 시간 시퀀스 벡터에 대해, 시간 시퀀스 벡터의 값들은 복수의 이력 경보 로그 서브세트와 일대일로 대응하고, 시간 시퀀스 벡터의 값들은 제1 값과 제2 값 중 적어도 하나를 포함하고, 제1 값은 대응하는 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재한다는 것을 표시하는데 사용되고, 제2 값은 대응하는 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재하지 않는다는 것을 표시하는데 사용되며, 제1 값은 제2 값과 상이하다.
선택적으로, 제1 경보 타입 세트 내의 각각의 경보 타입의 시간 시퀀스 벡터를 결정하는 프로세스는 제1 경보 타입 세트 내의 각각의 경보 타입에 대한 시간 시퀀스 벡터 결정 절차를 실행하는 단계를 포함할 수 있다.
시간 시퀀스 벡터 결정 절차는: 복수의 이력 경보 로그 서브세트에 경보 타입이 존재하는지를 순차적으로 검출하는 것; 및 검출 결과에 기초하여 경보 타입의 시간 시퀀스 벡터를 결정하는 것을 포함한다.
예를 들어, 단계 202의 예를 참조하면, 이력 경보 로그 세트 내의 모든 경보 타입이 획득되고, 획득된 제1 경보 타입 세트는 I= {A, B, C, D}이다. 제1 값은 1이고, 제2 값은 0인 것으로 가정된다. 도 3에 도시된 분할을 통해 획득된 복수의 이력 경보 로그 서브세트에 대해, 경보 타입 A의 시간 시퀀스 벡터는 vA = (1, 1, ..., 1)로서 나타낼 수 있고, 경보 타입 B의 시간 시퀀스 벡터는 vB = (1, 0, ..., 0)로서 나타낼 수 있고, 경보 타입 C의 시간 시퀀스 벡터는 vC = (1, 1, ..., 1)로서 나타낼 수 있고, 경보 타입 D의 시간 시퀀스 벡터는 vD = (0, 1, ..., 1)로서 나타낼 수 있다.
단계 204: 대응관계에 기초하여 이력 경보 로그 세트 내의 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하고, 각각의 연관 규칙은 서로 연관되는 근본 원인 경보 타입 및 적어도 하나의 경미한 경보 타입을 포함한다.
동일한 연관 규칙에서, 네트워크 디바이스에서 발생하고 경미한 경보 타입으로 표시되는 고장은 네트워크 디바이스에서 발생하고 근본 원인 경보 타입으로 표시되는 고장에 의해 야기된다. 선택적으로, 제1 경보 타입 세트 내의 각각의 경보 타입의 시간 시퀀스 벡터가 결정된 후에, 제1 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 모든 경보 타입에 대해 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성할 수 있다.
선택적으로, 시간 상관 클러스터링(Temporal Correlation Clustering, TCC) 알고리즘을 사용하여 모든 경보 타입들에 대해 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성한다. 본 출원의 이 실시예에서, TCC 알고리즘을 사용하여 모든 경보 타입에 대해 클러스터링 처리를 수행하여 연관 규칙을 생성하기 위한 다음의 2가지 방법이 설명을 위한 예들로서 사용된다. 본 방법들은 다음을 포함한다:
연관 규칙을 생성하기 위한 제1 방법은:
제1 경보 타입 세트에 대한 클러스터링 동작을 수행하는 단계를 포함하고, 클러스터링 동작은 다음을 포함한다:
S21a. 타겟 경보 타입 세트와 제2 경보 타입 세트를 설정하고, 타겟 경보 타입 세트와 제2 경보 타입 세트 양쪽 모두는 빈 세트들이다.
S22a. 제1 경보 타입 세트 내의 임의의 경보 타입을 타겟 경보 타입 세트에 추가하고, 제1 경보 타입 세트로부터, 타겟 경보 타입 세트에 추가된 경보 타입을 삭제한다.
S23a. 제1 경보 타입 세트가 빈 세트가 될 때까지 결정 절차를 반복적으로 수행하고, 타겟 경보 타입 세트를 연관 규칙으로서 결정한다.
결정 절차는 다음을 포함한다:
S231a. 처리될 경보 타입의 시간 시퀀스 벡터와 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하고, 처리될 경보 타입은 타겟 경보 타입 세트 내의 경보 타입들 이외의 제1 경보 타입 세트 내의 임의의 경보 타입이다.
S232a. 상관 관계가 미리 설정된 상관 임계값보다 클 때, 처리될 경보 타입을 타겟 경보 타입 세트에 추가하여, 업데이트된 타겟 경보 타입 세트를 획득하고, 제1 경보 타입 세트로부터 처리될 경보 타입을 삭제한다.
S233a. 상관 관계가 미리 설정된 상관 임계값보다 크지 않을 때, 처리될 경보 타입을 제2 경보 타입 세트에 추가하고, 처리될 경보 타입을 제1 경보 타입 세트로부터 삭제한다.
S24a. 결정 절차를 반복적으로 수행한 후에, 제2 경보 타입 세트가 빈 세트가 아닐 때, 제2 경보 타입 세트를 신규 제1 경보 타입 세트로서 사용하여 클러스터링 동작을 반복적으로 수행한다.
S25a. 결정 절차를 반복적으로 수행한 후에, 제2 경보 타입 세트가 빈 세트일 때, 클러스터링 동작을 수행하는 것을 중단한다.
예를 들어, 전술한 방법에서 제1 경보 타입 세트에 대해 클러스터링 동작을 수행하는 알고리즘 프로세스는 다음과 같다:
TCC(I)//I는 제1 경보 타입 세트
{
I로부터 하나의 경보 타입 ii∈I을 랜덤하게 선택하고
타겟 경보 타입 세트 R = {ii)와 제2 경보 타입 세트
Figure pct00017
를 설정하고
모든 경보 타입 ij∈I, ij≠ii에 대해
{
AveCor(ij, R)>Threshold인 경우 // Threshold는 미리 설정된 상관 임계값이다
ij를 R에 추가하거나
그렇지 않으면
ij를 I'에 추가한다
}
R' = TCC(I') // 반복적으로 호출하여, 나머지 제2 경보 타입 세트 I'에 대한 클러스터링 동작을 수행한다
Figure pct00018
// 제1 경보 타입 세트에 대해 수행되는 클러스터링을 통해 획득된 모든 연관 규칙들을 반환한다
}
연관 규칙을 생성하기 위한 제2 방법은:
제1 경보 타입 세트에 타겟 경보 타입을 마킹하는 단계- 타겟 경보 타입은 제1 경보 타입 세트 내의 임의의 경보 타입임-; 제1 경보 타입 세트에 대한 클러스터링 동작을 수행하는 단계를 포함하고, 클러스터링 동작은 다음을 포함한다:
S21b. 제1 경보 타입 세트 내의 모든 경보 타입이 순회될 때까지 결정 절차를 반복적으로 실행한다.
결정 절차는 다음을 포함한다:
S211b. 타겟 경보 타입과 동일한 마크를 갖는 제1 경보 타입 세트 내의 모든 경보 타입을 포함하는 세트를 타겟 경보 타입 세트로서 결정한다.
S212b. 처리될 경보 타입의 시간 시퀀스 벡터 및 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하고, 처리될 경보 타입은 타겟 경보 타입 세트 내의 경보 타입들 이외의 제1 경보 타입 세트 내의 임의의 경보 타입이다.
S213b. 상관 관계가 미리 설정된 상관 임계값보다 클 때 처리될 경보 타입을 마킹하고, 처리될 경보 타입의 마크는 타겟 경보 타입의 마크와 동일하다.
S22b. 결정 절차를 반복적으로 실행한 후에, 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 있을 때, 어떠한 마크도 설정되지 않은 임의의 경보 타입을, 신규 타겟 경보 타입으로서 결정하고, 신규 타겟 경보 타입을 마킹하며, 클러스터링 동작을 반복적으로 수행하고, 상이한 타겟 경보 타입들은 상이한 마크들을 갖는다.
S23b. 결정 절차를 반복적으로 실행한 후에, 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 없을 때, 클러스터링 동작을 수행하는 것을 중단하고, 제1 경보 타입 세트에 기초하여 적어도 하나의 연관 규칙을 생성하고, 각각의 연관 규칙의 모든 경보 타입에 대해 동일한 마크가 설정된다.
선택적으로, S231a 및 S212b에서, 처리될 경보 타입의 시간 시퀀스 벡터와 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 단계는 다음을 포함한다:
1. 피어슨 상관 계수 공식에 따라 타겟 경보 타입 세트 내의 각각의 경보 타입과 처리될 경보 타입 사이의 상관 관계를 계산하고, 피어슨 상관 계수 공식은:
Figure pct00019
이고,
Cor(ii, ij)는 경보 타입 ii와 경보 타입 ij 사이의 상관 관계를 나타내고, cov(vi, vj)는 vi와 vj사이의 공분산을 나타내고,
Figure pct00020
는 vi의 표준 편차를 나타내고,
Figure pct00021
는 vj의 표준 편차를 나타내고, vi는 경보 타입 ii의 시간 시퀀스 벡터를 나타내고, vj는 경보 타입 ij의 시간 시퀀스 벡터를 나타낸다.
2. 평균 상관 계산 공식에 따라 타겟 경보 타입 세트 내의 각각의 경보 타입과 처리될 경보 타입 사이의 상관 관계에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하고, 평균 상관 계산 공식은:
Figure pct00022
이고,
AveCor(ij, R)는 경보 타입 ij와 타겟 경보 타입 세트 R 사이의 상관 관계를 표시하고,
Figure pct00023
는 타겟 경보 타입 세트 R 내의 경보 타입들의 수량을 표시한다.
예를 들어, S23a에서, 제1 경보 타입 세트가 빈 세트일 때, 다시 말해서, 제1 경보 타입 세트 내의 모든 경보 타입이 순회된 후에, 그리고 타겟 경보 타입 세트가 Rk = {i1, i2, ..., ik}인 것으로 가정하면, 대응하는 연관 규칙은 k-아이템 세트(즉, Rk)를 포함하고, 이는 Rk 내의 k개의 경보 타입의 경보 로그들 사이에 강한 상관 관계가 있다는 것을 표시한다. 각각의 아이템 ik은 하나의 경보 타입을 나타낸다.
제1 경보 타입 세트에 대해 수행되는 클러스터링을 통해 획득된 모든 연관 규칙의 조합 세트가 제1 경보 타입 세트 내의 모든 경보 타입을 포함한다는 점에 유의해야 한다. 예를 들어, 제1 경보 타입 세트에 대해 수행되는 클러스터링을 통해 획득된 모든 연관 규칙은 {R1, ..., Rk}를 포함한다. 이 경우에,
Figure pct00024
이다.
단계 205: 적어도 하나의 연관 규칙에 기초하여 복수의 처리될 경보 로그를 압축하여, 경보 타입이 근본 원인 경보 타입인 경보 로그를 획득한다.
선택적으로, 복수의 처리될 경보 로그는 제2 네트워크 디바이스에 의해 생성되는 경보 로그들일 수 있다. 제2 네트워크 디바이스와 제1 네트워크 디바이스는 동일한 네트워크 디바이스일 수 있거나, 또는 제2 네트워크 디바이스와 제1 네트워크 디바이스는 동일한 타입의 상이한 네트워크 디바이스들일 수 있다. 이것은 제한되지 않는다. 타입들이 동일하다는 것은 모델들이 동일하고/하거나 타입들이 동일하다는 것을 포함한다. 예를 들어, 제1 네트워크 디바이스와 제2 네트워크 디바이스 양쪽 모두는 방화벽들일 수 있거나, 또는 제1 네트워크 디바이스와 제2 네트워크 디바이스 양쪽 모두는 모델 A0의 방화벽들일 수 있다.
선택적으로, 적어도 하나의 연관 규칙이 생성된 후에, 전문가는 연관 규칙에서 근본 원인 경보 타입과 경미한 경보 타입을 분석하여 결정할 수 있거나, 또는 연관 규칙 내의 임의의 경보 타입과 연관 규칙 내의 다른 경보 타입 사이의 상관 관계를 계산하고, 다른 경보 타입과 가장 높은 상관 관계를 갖는 경보 타입을 근본 원인 경보 타입으로서 결정하고, 연관 규칙에서 근본 원인 경보 타입 이외의 경보 타입을 경미한 경보 타입으로서 결정할 수 있다. 연관 규칙에서 근본 원인 경보 타입과 경미한 경보 타입을 결정하는 방식은 본 출원의 이 실시예에서 제한되지 않는다.
예를 들어, 연관 규칙은 {LinkDown_Active,MSTP_PORT_STATE_FORWARDING, MSTP_PORT_STATE_LEARNING,MSTP_PROPORT_ROLE_CHANGE,MSTP_PORT_STATE_DISCARDING}이라고 가정한다. 전문가가 연관 규칙을 분석한 후에, 포트 고장(경보 타입은 LinkDown_Active임)이 다수의 스패닝 트리 프로토콜(Multiple Spanning Tree Protocol, MSTP) 모듈의 빈번한 간헐적 단선을 야기하는 것으로 밝혀졌다. 따라서, LinkDown_Active는 근본 원인 경보 타입이고, 연관 규칙에서의 다른 경보 타입은 근본 원인 경보 타입과 동시에 발생하는 상관 경보 타입(경미한 경보 타입)이라고 결정될 수 있다. 연관 규칙에 기초하여, 경보 타입이 LinkDown_Active인 경보 로그와 경보 타입이 경미한 경보 타입인 경보 로그만이 필터링되어, 처리될 경보 로그들을 압축한다.
실제 응용에서, 동일한 타입의 네트워크 디바이스들이, 동일한 연관 규칙을 사용하여, 네트워크 디바이스들에 의해 생성되는 경보 로그들을 압축할 수 있기 때문에, 연관 규칙 마이닝 프로세스에서, 각각의 네트워크 디바이스에 의해 생성되는 이력 경보 로그에 대해 연관 규칙이 마이닝될 필요가 없고, 동일한 타입의 복수의 네트워크 디바이스로부터 몇 개의 네트워크 디바이스가 선택되고, 네트워크 디바이스들에 의해 생성되는 이력 경보 로그에 대해 연관 규칙이 마이닝된다. 따라서, 연관 규칙을 마이닝하는 시간 비용이 감소될 수 있다.
결론적으로, 본 출원의 이 실시예에서 제공되는 경보 로그 압축 방법에 따르면, 연관 규칙은 경보 타입들 사이의 시간 상관에 기초하여 마이닝된다. 마이닝 프로세스에서, 생성 시간 스탬프에 기초하여 수행된 분할을 통해 획득되는 복수의 이력 경보 로그 서브세트 내의 경보 타입들만이 순회될 필요가 있고, 그 후 각각의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계가 결정되고, 예를 들어, 각각의 경보 타입의 시간 시퀀스 벡터가 결정된 후에, 대응관계에 기초하여 경보 타입에 대한 클러스터링 처리가 수행되어, 연관 규칙을 생성할 수 있다. 관련 기술과 비교하여, 본 출원에서는, 이력 경보 로그들이 복수회 순회될 필요가 없고, 연관 규칙 마이닝 효율이 향상된다. 또한, 본 출원에서, 경보 타입들 사이의 시간 상관에 기초하여 마이닝되는 연관 규칙들의 수량은 관련 기술에서 빈번한 아이템세트에 기초하여 마이닝되는 연관 규칙들의 수량보다 훨씬 적다. 따라서, 연관 규칙의 정확도를 결정하는 프로세스 및 연관 규칙에서 근본 원인 경보 타입을 결정하는 프로세스에서 시간 비용이 감소된다.
도 4는 본 출원의 실시예에 따른 다른 경보 로그 압축 방법의 흐름도이다. 본 방법은 압축 디바이스에 적용된다. 압축 디바이스는 도 1에 도시된 압축 디바이스(01)일 수 있다. 도 4에 도시된 바와 같이, 본 방법은 이하의 단계들을 포함할 수 있다.
단계 401: 통신 네트워크에서 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그 세트를 획득하고, 이력 경보 로그 세트는 복수의 이력 경보 로그를 포함하고, 각각의 이력 경보 로그는 경보 타입과 생성 시간 스탬프를 포함한다.
이 단계의 구현 프로세스에 대해서는, 단계 201을 참조한다. 세부사항들은 본 명세서에서 다시 설명하지 않는다.
단계 402: 이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할한다.
이 단계의 구현 프로세스에 대해서는, 단계 202를 참조한다. 세부사항들은 본 명세서에서 다시 설명하지 않는다.
단계 403: 이력 경보 로그 세트 내의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정한다.
이 단계의 구현 프로세스에 대해서는, 단계 203을 참조한다. 세부사항들은 본 명세서에서 다시 설명하지 않는다.
단계 404: 대응관계에 기초하여 이력 경보 로그 세트 내의 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하고, 각각의 연관 규칙은 서로 연관되는 근본 원인 경보 타입 및 적어도 하나의 경미한 경보 타입을 포함한다.
이 단계의 구현 프로세스에 대해서는, 단계 204를 참조한다. 세부사항들은 본 명세서에서 다시 설명하지 않는다.
단계 405: 제2 미리 설정된 기간 내에 통신 네트워크에서 제2 네트워크 디바이스에 의해 생성되는 처리될 경보 로그 세트를 획득하고, 처리될 경보 로그 세트는 복수의 처리될 경보 로그를 포함하고, 각각의 처리될 경보 로그는 경보 타입과 생성 시간 스탬프를 포함한다.
선택적으로, 제2 네트워크 디바이스와 제1 네트워크 디바이스는 동일한 네트워크 디바이스일 수 있거나; 또는, 제2 네트워크 디바이스와 제1 네트워크 디바이스는 동일한 타입의 상이한 네트워크 디바이스들일 수 있다.
네트워크 디바이스에 의해 생성되는 원래의 경보 로그는 일반적으로 경보 타입, 생성 시간 스탬프, 경보 네트워크 디바이스의 식별자(Identity, ID), 및 일부 중복된 정보를 운반한다. 본 출원의 이 실시예에서, 획득된 처리될 경보 로그는, 원래의 경보 로그로부터 중복된 정보를 제거하여 처리될 경보 로그 세트를 획득하도록 미리 처리됨으로써, 처리될 경보 로그에 대한 후속 처리를 용이하게 한다. 따라서, 조작 비용이 감소되고, 조작 효율이 향상된다.
예를 들어, 제2 미리 설정된 기간 내에 제2 네트워크 디바이스에 의해 생성된 처리될 경보 로그는: {(TCP 인증 실패, 14:22:08), (TCP 인증 실패, 14:22:38), (TCP 인증 실패, 14:23:25), (TCP 인증 실패, 21:18:20), (TCP 인증 실패, 21:19:18), (TCP 인증 실패, 21:19:55)}를 포함할 수 있다고 가정한다. 이들 처리될 경보 로그는 경보 타입들이 TCP 인증이 실패했다는 것인 경보 로그들을 표시한다.
본 출원의 이 실시예에서, 제2 미리 설정된 기간은 과거 기간이다. 예를 들어, 제2 미리 설정된 기간 내에 각각의 네트워크 디바이스에 의해 생성된 처리될 경보 로그를 미리 처리하는 것은, 매 12 시간마다, 각각의 네트워크 디바이스에 의해 12 시간 내에 생성된 처리될 경보 로그를 미리 처리하는 것일 수 있다.
단계 406: 처리될 경보 로그 세트에 기초하여 적어도 하나의 경보 이벤트를 생성하고, 각각의 경보 이벤트는 제2 네트워크 디바이스에 의해 생성되는 동일한 경보 타입의 경보 로그들을 표시하는데 사용된다.
선택적으로, 처리될 경보 로그 세트에 기초하여 적어도 하나의 경보 이벤트를 생성하기 위한 방법은:
처리될 경보 로그 세트 내의 각각의 경보 타입에 대해, 처리될 경보 로그 세트 내에 있고 해당 경보 타입인 타겟 경보 로그를 획득하는 단계; 시간 시퀀스에서 인접하는 처리될 경보 로그 세트 내의 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격을 개별적으로 계산하는 단계; 및 동일한 경보 이벤트에 속하는 처리될 경보 로그 세트 내의 타겟 경보 로그들을, 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격에 기초하여 하나의 경보 이벤트로 재구성하는 단계를 포함할 수 있다.
선택적으로, 경보 이벤트는 경보 타입과, 경보 이벤트에서 경보 로그의 시작 발생 순간, 종료 발생 순간, 평균 발생 시간 간격, 및 발생 횟수 중 적어도 하나를 포함한다. 실제 응용에서, 경보 이벤트는 모든 경보 로그의 생성 시간 스탬프들(시작 발생 순간들 및 종료 발생 순간들을 포함함)을 추가로 포함할 수 있다. 이것은 제한되지 않는다.
예를 들어, 단계 405에서, 제2 미리 설정된 기간 내에 제2 네트워크 디바이스에 의해 생성된 복수의 처리될 경보 로그는, TCP 인증이 실패하고 2개의 기간: {14:22:0814:23:25}와 {21:18:2021:19:55}에서 각각 발생하는 2개의 독립적인 이벤트를 포함한다. 복수의 처리될 경보 로그는 2개의 경보 이벤트: {TCP 인증 실패, 14:22:08, 14:22:38, 14:23:25}와 {TCP 인증 실패, 21:18:20, 21:19:18, 21:19:55}로 재구성될 수 있다. 각각의 경보 이벤트는 각각의 경보 로그의 경보 타입과 생성 시간 스탬프를 포함한다.
선택적으로, 제2 미리 설정된 시간 내에 제2 네트워크 디바이스에 의해 생성되고 시간 부분 순서 관계를 갖는 처리될 경보 로그들의 생성 시간 스탬프들은 각각, t0, t1, ..., 및 tn이고, 처리될 경보 로그들 사이의 발생 시간 간격들은 각각, s1, s2, ..., s1, ..., sn, 및 sn이고, 여기서, sk = tk-tk-1이고 k는 양의 정수이다.
선택적으로, 도 5a에 도시된 바와 같이, 동일한 경보 이벤트에 속하는 처리될 경보 로그 세트 내의 타겟 경보 로그들을, 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격에 기초하여 하나의 경보 이벤트로 재구성하기 위한 단계는 다음을 포함할 수 있다:
단계 4061: 지수 이동 평균 방법을 사용하여 2개의 타겟 경보 로그 사이의 추정된 시간 간격을 계산하고, 2개의 타겟 경보 로그는 시간 시퀀스에서 인접하는 임의의 2개의 타겟 경보 로그이고, 2개의 타겟 경보 로그는 제1 경보 로그와 제2 경보 로그를 포함하고, 제1 경보 로그는 제2 경보 로그 이전에 생성된다.
2개의 타겟 경보 로그 사이의 발생 시간 간격 sk는 sk = tk-tk-1이고, 지수 이동 평균(Exponential Weighted Moving Average, EWMA) 방법에서 계산되는 2개의 타겟 경보 로그 사이의 추정된 시간 간격 sk'는
Figure pct00025
이고, tk는 제2 경보 로그의 생성 시간 스탬프이고, tk-1는 제1 경보 로그의 생성 시간 스탬프이고, sk-1=tk-1-tk-2이고, 0≤α≤1이다. 이 경우, k는 1보다 큰 정수이다.
선택적으로, 파라미터 α는 실제 요건에 기초하여 구성될 수 있고, α의 특정 값은 제한되지 않는다.
단계 4062: 2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최소 시간 간격 임계값 이하인지를 판정하고; 2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최소 시간 간격 임계값 이하일 때, 단계 4065를 수행하거나; 또는, 2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최소 시간 간격 임계값보다 클 때, 단계 4063을 수행한다.
단계 4063: 2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최대 시간 간격 임계값보다 큰지를 판정하고; 2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최대 시간 간격 임계값보다 클 때, 단계 4066을 수행하거나; 또는, 2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최대 시간 간격 임계값보다 크지 않을 때, 단계 4064를 수행한다.
단계 4064: 2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족시키는지를 판정하고; 2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족시킬 때, 단계 4065를 수행하거나; 또는, 2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족하지 않을 때, 단계 4066을 수행한다.
단계 4061을 참조하면, 미리 설정된 조건은
Figure pct00026
일 수 있고, β는 양수이고,
Figure pct00027
이고, smin은 최소 시간 간격 임계값이고, smax는 최대 시간 간격 임계값이다.
단계 4065: 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하고, 제2 경보 로그를 제1 경보 로그가 속하는 경보 이벤트로 집계한다.
또한, 단계 4065가 수행된 후에, 단계 4061로 복귀하여 다음 타겟 경보 로그가 제1 경보 로그와 제2 경보 로그가 속하는 경보 이벤트에 속하는지를 계속해서 판정함으로써, 타겟 경보 이벤트를 폴링(poll)한다. 예를 들어, k=k+1이고, 단계 4061로 복귀한다.
예를 들어, 제1 경보 로그가 속하는 경보 이벤트가 {(TCP 인증 실패, 14:22:08), (TCP 인증 실패, 14:22:38)}인 것으로 가정된다. 제2 경보 로그(TCP 인증 실패, 14:23:25)가 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 판정될 때, 제2 경보 로그는 제1 경보 로그가 속하는 경보 이벤트로 집계되고, 경보 이벤트는 {(TCP 인증 실패, 14:22:08), (TCP 인증 실패, 14:22:38), (TCP 인증 실패, 14:23:25)}로 업데이트될 수 있다.
단계 4066: 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는다고 결정한다.
예를 들어, 제1 경보 로그가 속하는 경보 이벤트가 {(TCP 인증 실패, 14:22:08), (TCP 인증 실패, 14:22:38), (TCP 인증 실패, 14:23:25)}인 것으로 가정된다. 제2 경보 로그(TCP 인증 실패, 21:18:20)가 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 판정될 때, 제1 경보 로그가 속하는 경보 이벤트의 재구성이 종료되는데, 다시 말해서, 경보 이벤트의 재구성이 완료된다.
단계 4067: 신규 경보 이벤트를 초기화하고, 제2 경보 로그를 신규 경보 이벤트로 집계한다.
또한, 단계 4067이 수행된 후에, 단계 4061로 복귀하여 다음 타겟 경보 이벤트가 제2 경보 로그가 속하는 경보 이벤트에 속하는지를 계속해서 판정함으로써, 타겟 경보 이벤트를 폴링한다. 예를 들어, k=k+1이고, 단계 4061로 복귀한다.
선택적으로, 단계들 4062 및 4063이 수행되지 않을 수 있다. 이것은 제한되지 않는다.
경보 로그들 사이의 발생 시간 간격에 기초하여 경보 이벤트를 재구성하기 위해, 경보 로그 정보에 관한 통계가 경보 이벤트의 단위로 수집될 수 있고, 그에 의해 통계 수집을 통해 획득되는 경보 로그 정보의 정확도 및 신뢰도를 향상시킨다는 점에 유의해야 한다.
단계 407: 적어도 하나의 연관 규칙에 기초하여 적어도 하나의 경보 이벤트를 압축하여, 적어도 하나의 타겟 경보 이벤트를 획득하도록 구성되고, 각각의 타겟 경보 이벤트는 경보 타입이 근본 원인 경보 타입인 경보 로그를 표시하는데 사용된다.
단계 408: 적어도 하나의 타겟 경보 이벤트를 출력하여 적어도 하나의 타겟 경보 이벤트를 네트워크 모니터링 엔지니어에게 디스플레이한다.
예를 들어, 도 5b는 본 출원의 실시예에 따른 타겟 경보 이벤트의 인터페이스의 개략도이다. 도 5b에 도시된 바와 같이, 각각의 네트워크 디바이스에 의해 생성된 경보 로그가 도 4에 도시된 경보 로그 압축 방법에서 압축된 후에, 근본 원인 경보 타입의 경보 로그를 재구성함으로써 획득되는 타겟 경보 이벤트 M이 디스플레이되고, 각각의 타겟 경보 이벤트는 호스트 명칭(경보 네트워크 디바이스의 ID), 발생 횟수, 및 근본 원인 로그(근본 원인 경보 타입)와 같은 정보를 포함한다.
본 출원의 이 실시예에서 제공되는 경보 로그 압축 방법의 단계들의 시퀀스는 적절히 조정될 수 있다는 점에 유의해야 한다. 예를 들어, 단계 405 및 단계 406은 단계 401이전에 수행될 수 있거나, 또는 단계가 경우에 기초하여 대응하여 추가되거나 삭제될 수 있다. 본 출원에서 개시되는 기술적 범위 내에서 본 분야의 숙련된 기술자에 의해 용이하게 도출되는 임의의 변형 방법은 본 출원의 보호 범위 내에 있을 것이다. 따라서, 세부사항들은 다시 설명되지 않는다.
결론적으로, 본 출원의 실시예들에서 제공되는 경보 로그 압축 방법에 따르면, 연관 규칙은 경보 타입들 사이의 시간 상관에 기초하여 마이닝된다. 마이닝 프로세스에서, 생성 시간 스탬프에 기초하여 수행된 분할을 통해 획득되는 복수의 이력 경보 로그 서브세트 내의 경보 타입들만이 순회될 필요가 있고, 그 후 각각의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계가 결정되고, 예를 들어, 각각의 경보 타입의 시간 시퀀스 벡터가 결정된 후에, 대응관계에 기초하여 경보 타입에 대한 클러스터링 처리가 수행되어, 연관 규칙을 생성할 수 있다. 관련 기술과 비교하여, 본 출원에서는, 이력 경보 로그들이 복수회 순회될 필요가 없고, 연관 규칙 마이닝 효율이 향상된다. 또한, 본 출원에서, 경보 타입들 사이의 시간 상관에 기초하여 마이닝되는 연관 규칙들의 수량은 관련 기술에서 빈번한 아이템세트에 기초하여 마이닝되는 연관 규칙들의 수량보다 훨씬 적다. 따라서, 연관 규칙의 정확도를 결정하는 프로세스 및 연관 규칙에서 근본 원인 경보 타입을 결정하는 프로세스에서 시간 비용이 감소된다. 또한, 경보 이벤트는 경보 로그의 발생 시간 간격에 기초하여 재구성되고, 마지막으로, 경보 타입이 근본 원인 경보 타입인 경보 로그를 표시하는데 사용된 타겟 경보 이벤트는 네트워크 모니터링 엔지니어에게 디스플레이된다. 이것은 네트워크 모니터링 엔지니어에게 제시되는 경보 로그 정보를 크게 감소시키고, 정보 정확도 및 충실도를 보장한다.
도 6은 본 출원의 실시예에 따른 또 다른 경보 로그 압축 방법의 흐름도이다. 본 방법은 압축 디바이스에 적용된다. 압축 디바이스는 도 1에 도시된 압축 디바이스(01)일 수 있다. 도 6에 도시된 바와 같이, 본 방법은 다음의 단계들을 포함할 수 있다.
단계 501: 통신 네트워크에서 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그 세트를 획득하고, 이력 경보 로그 세트는 복수의 이력 경보 로그를 포함하고, 각각의 이력 경보 로그는 경보 타입과 생성 시간 스탬프를 포함한다.
이 단계의 구현 프로세스에 대해서는, 단계 201을 참조한다. 세부사항들은 본 명세서에서 다시 설명하지 않는다.
단계 502: 이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할한다.
이 단계의 구현 프로세스에 대해서는, 단계 202를 참조한다. 세부사항들은 본 명세서에서 다시 설명하지 않는다.
단계 503: 이력 경보 로그 세트 내의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정한다.
이 단계의 구현 프로세스에 대해서는, 단계 203을 참조한다. 세부사항들은 본 명세서에서 다시 설명하지 않는다.
단계 504: 대응관계에 기초하여 이력 경보 로그 세트 내의 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하고, 각각의 연관 규칙은 서로 연관되는 근본 원인 경보 타입 및 적어도 하나의 경미한 경보 타입을 포함한다.
이 단계의 구현 프로세스에 대해서는, 단계 204를 참조한다. 세부사항들은 본 명세서에서 다시 설명하지 않는다.
단계 505: 제2 미리설정된 기간 내에 통신 네트워크에서 제2 네트워크 디바이스에 의해 생성되는 모든 처리될 경보 로그를 획득하고, 각각의 처리될 경보 로그는 경보 타입 및 생성 시간 스탬프를 포함한다.
선택적으로, 제2 네트워크 디바이스와 제1 네트워크 디바이스는 동일한 네트워크 디바이스일 수 있거나; 또는, 제2 네트워크 디바이스와 제1 네트워크 디바이스는 동일한 타입의 상이한 네트워크 디바이스들일 수 있다.
단계 506: 적어도 하나의 연관 규칙에 기초하여 모든 처리될 경보 로그 내의 경미한 경보 타입의 경보 로그를 필터링하여, 근본 원인 경보 타입의 경보 로그를 포함하는 처리될 경보 로그 세트를 획득한다.
단계 507: 처리될 경보 로그 세트에 기초하여 적어도 하나의 경보 이벤트를 생성하고, 각각의 경보 이벤트는 제2 네트워크 디바이스에 의해 생성되는 동일한 경보 타입의 경보 로그들을 표시하는데 사용된다.
이 단계의 구현 프로세스에 대해서는, 단계 406을 참조한다. 세부사항들은 본 명세서에서 다시 설명하지 않는다.
단계 508: 적어도 하나의 타겟 경보 이벤트를 출력하여 적어도 하나의 타겟 경보 이벤트를 네트워크 모니터링 엔지니어에게 디스플레이한다.
모든 처리될 경보 로그 내의 경미한 경보 타입의 경보 로그가 필터링되어, 처리될 경보 로그의 수량이 크게 감소될 수 있다는 점에 유의해야 한다. 또한, 경보 이벤트가 이것에 기초하여 재구성되어, 경보 이벤트 재구성 프로세스에서 시간 비용이 감소되고, 압축 효율이 추가로 향상된다.
도 7a는 본 출원의 한 실시예에 따른 경보 로그 압축 장치의 개략적인 구조도이다. 장치는 압축 디바이스에 적용된다. 도 7a에 도시된 바와 같이, 장치(60)는:
통신 네트워크에서 제1 네트워크 디바이스에 의해 생성되는 이력 경보 로그 세트를 획득하도록 구성된 제1 획득 모듈(601)- 이력 경보 로그 세트는 복수의 이력 경보 로그를 포함하고, 각각의 이력 경보 로그는 경보 타입과 생성 시간 스탬프를 포함함 -;
이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하도록 구성된 분할 모듈(602)- 각각의 이력 경보 로그 서브세트 내의 모든 이력 경보 로그는 시간 시퀀스에서 연속적이고, 복수의 이력 경보 로그 서브세트의 조합 세트는 이력 경보 로그 세트 내의 모든 이력 경보 로그를 포함함 -;
이력 경보 로그 세트 내의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정하도록 구성된 결정 모듈(603);
대응관계에 기초하여 이력 경보 로그 세트 내의 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하도록 구성된 클러스터링 모듈(604)- 각각의 연관 규칙은 서로 연관되는 근본 원인 경보 타입 및 적어도 하나의 경미한 경보 타입을 포함함 -; 및
적어도 하나의 연관 규칙에 기초하여 복수의 처리될 경보 로그를 압축하여, 경보 타입이 근본 원인 경보 타입인 경보 로그를 획득하도록 구성된 압축 모듈(605)을 포함한다.
선택적으로, 도 7b에 도시된 바와 같이, 결정 모듈(603)은:
이력 경보 로그 세트 내의 모든 경보 타입을 획득하여, 제1 경보 타입 세트를 획득하도록 구성된 획득 서브모듈(6031); 및
제1 경보 타입 세트 내의 각각의 경보 타입의 시간 시퀀스 벡터를 결정하도록 구성된 결정 서브모듈(6032)- 각각의 시간 시퀀스 벡터는 대응하는 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계를 반영하는데 사용됨 -을 포함할 수 있다.
각각의 경보 타입에 대응하는 시간 시퀀스 벡터에 대해, 시간 시퀀스 벡터의 값들은 복수의 이력 경보 로그 서브세트와 일대일로 대응하고, 시간 시퀀스 벡터의 값들은 제1 값과 제2 값 중 적어도 하나를 포함하고, 제1 값은 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재한다는 것을 표시하는데 사용되고, 제2 값은 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재하지 않는다는 것을 표시하는데 사용되며, 제1 값은 제2 값과 상이하다.
선택적으로, 결정 서브모듈은:
제1 경보 타입 세트 내의 각각의 경보 타입에 대해 시간 시퀀스 벡터 결정 절차를 실행하도록 추가로 구성된다.
시간 시퀀스 벡터 결정 절차는:
경보 타입이 복수의 이력 경보 로그 서브세트에 존재하는지를 순차적으로 검출하는 것; 및
검출 결과에 기초하여 경보 타입의 시간 시퀀스 벡터를 결정하는 것을 포함한다.
이에 대응하여, 클러스터링 모듈은:
모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 제1 경보 타입 세트 내의 모든 경보 타입에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하도록 구성될 수 있다.
또한, 클러스터링 모듈은:
제1 경보 타입 세트에 대한 클러스터링 동작을 수행하도록 추가로 구성될 수 있고, 클러스터링 동작은:
타겟 경보 타입 세트와 제2 경보 타입 세트를 설정하는 단계- 타겟 경보 타입 세트와 제2 경보 타입 세트 양쪽 모두는 빈 세트들임 -;
제1 경보 타입 세트 내의 임의의 경보 타입을 타겟 경보 타입 세트에 추가하고, 제1 경보 타입 세트로부터, 타겟 경보 타입 세트에 추가된 경보 타입을 삭제하는 단계;
제1 경보 타입 세트가 빈 세트가 될 때까지 결정 절차를 반복적으로 수행하고, 타겟 경보 타입 세트를 연관 규칙으로서 결정하는 단계; 및
결정 절차를 반복적으로 수행한 후에, 제2 경보 타입 세트가 빈 세트가 아닐 때, 제2 경보 타입 세트를 신규 제1 경보 타입 세트로서 사용하여 클러스터링 동작을 반복적으로 수행하는 단계; 또는
결정 절차를 반복적으로 수행한 후에, 제2 경보 타입 세트가 빈 세트일 때, 클러스터링 동작을 수행하는 것을 중단하는 단계를 포함한다.
결정 절차는:
처리될 경보 타입의 시간 시퀀스 벡터와 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 것- 처리될 경보 타입은 타겟 경보 타입 세트 내의 경보 타입들 이외의 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
상관 관계가 미리 설정된 상관 임계값보다 클 때, 처리될 경보 타입을 타겟 경보 타입 세트에 추가하여, 업데이트된 타겟 경보 타입 세트를 획득하고, 제1 경보 타입 세트로부터 처리될 경보 타입을 삭제하는 것; 또는
상관 관계가 미리 설정된 상관 임계값보다 크지 않을 때, 처리될 경보 타입을 제2 경보 타입 세트에 추가하고, 처리될 경보 타입을 제1 경보 타입 세트로부터 삭제하는 것을 포함한다.
대안적으로, 클러스터링 모듈은:
제1 경보 타입 세트에 타겟 경보 타입을 마킹하고- 타겟 경보 타입은 제1 경보 타입 세트 내의 임의의 경보 타입임 -;
제1 경보 타입 세트에 대한 클러스터링 동작을 수행하도록 추가로 구성될 수 있고, 클러스터링 동작은:
제1 경보 타입 세트 내의 모든 경보 타입이 순회될 때까지 결정 절차를 반복적으로 실행하는 단계; 및
결정 절차를 반복적으로 실행하는 단계 이후에, 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 있을 때, 어떠한 마크도 설정되지 않은 임의의 경보 타입을, 신규 타겟 경보 타입으로서 결정하고, 신규 타겟 경보 타입을 마킹하며, 클러스터링 동작을 반복적으로 수행하는 단계- 상이한 타겟 경보 타입들은 상이한 마크들을 가짐 -; 또는
결정 절차를 반복적으로 실행하는 단계 이후에, 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 없을 때, 클러스터링 동작을 수행하는 것을 중단하고, 제1 경보 타입 세트에 기초하여 적어도 하나의 연관 규칙을 생성하는 단계- 각각의 연관 규칙의 모든 경보 타입에 대해 동일한 마크가 설정됨 -를 포함한다.
결정 절차는:
타겟 경보 타입과 동일한 마크를 갖는 제1 경보 타입 세트 내의 모든 경보 타입을 포함하는 세트를 타겟 경보 타입 세트로서 결정하는 것;
처리될 경보 타입의 시간 시퀀스 벡터와 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 것- 처리될 경보 타입은 타겟 경보 타입 세트 내의 경보 타입들 이외의 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
상관 관계가 미리 설정된 상관 임계값보다 클 때 처리될 경보 타입을 마킹하는 것- 처리될 경보 타입의 마크는 타겟 경보 타입의 마크와 동일함 -을 포함한다.
선택적으로, 클러스터링 모듈은:
피어슨 상관 계수 공식에 따라 타겟 경보 타입 세트 내의 각각의 경보 타입과 처리될 경보 타입 사이의 상관 관계를 계산하고- 피어슨 상관 계수 공식은:
Figure pct00028
이고,
Cor(ii, ij)는 경보 타입 ii와 경보 타입 ij 사이의 상관 관계를 나타내고, cov(vi, vj)는 vi와 vj사이의 공분산을 나타내고,
Figure pct00029
는 vi의 표준 편차를 나타내고,
Figure pct00030
는 vj의 표준 편차를 나타내고, vi는 경보 타입 ii의 시간 시퀀스 벡터를 나타내고, vj는 경보 타입 ij의 시간 시퀀스 벡터를 나타냄 -; 및
평균 상관 계산 공식에 따라 타겟 경보 타입 세트 내의 각각의 경보 타입과 처리될 경보 타입 사이의 상관 관계에 기초하여 처리될 경보 타입과 타겟 경보 타입 세트 사이의 상관 관계를 계산하도록 추가로 구성될 수 있고, 평균 상관 계산 공식은:
Figure pct00031
이고,
AveCor(ij, R)는 경보 타입 ij와 타겟 경보 타입 세트 R 사이의 상관 관계를 표시하고,
Figure pct00032
는 타겟 경보 타입 세트 R 내의 경보 타입들의 수량을 표시한다.
선택적으로, 제1 획득 모듈은:
제1 미리 설정된 기간 내에 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그를 미리 처리하여 각각의 이력 경보 로그로부터 중복된 정보를 제거함으로써, 이력 경보 로그 세트를 획득하도록 구성될 수 있다.
각각의 이력 경보 로그는 2-튜플(M, t) 포맷으로 나타나고, M은 경보 로그 정보를 나타내며, t는 생성 시간 스탬프를 나타내고, 경보 로그 정보는 적어도 경보 네트워크 디바이스의 경보 타입 필드 및 식별자 필드를 포함한다.
선택적으로, 이력 경보 로그 세트 내의 이력 경보 로그들은 시간 부분 순서 관계를 가지며, 분할 서브모듈은:
이력 경보 로그 세트 내의 이력 경보 로그들의 생성 시간 스탬프 세트를 획득하고;
생성 시간 스탬프 세트, 미리 설정된 시간 윈도우 길이, 및 윈도우 슬라이딩 스텝에 기초하여 이력 경보 로그들을 복수의 이력 경보 로그 서브세트로 분류하도록 구성될 수 있고, 윈도우 슬라이딩 스텝은 시간 윈도우 길이보다 크지 않다.
선택적으로, 도 7c에 도시된 바와 같이, 장치(60)는:
제2 미리 설정된 기간 내에 통신 네트워크에서 제2 네트워크 디바이스에 의해 생성되는 처리될 경보 로그 세트를 획득하도록 구성된 제2 획득 모듈(606)- 처리될 경보 로그 세트는 복수의 처리될 경보 로그를 포함하고, 각각의 처리될 경보 로그는 경보 타입과 생성 시간 스탬프를 포함함 -; 및
처리될 경보 로그 세트에 기초하여 적어도 하나의 경보 이벤트를 생성하도록 구성된 생성 모듈(607)- 각각의 경보 이벤트는 제2 네트워크 디바이스에 의해 생성되는 동일한 경보 타입의 경보 로그들을 표시하는데 사용됨 -을 추가로 포함한다.
선택적으로, 도 7d에 도시된 바와 같이, 생성 모듈(607)은:
각각의 처리될 경보 로그 세트에 대한 경보 이벤트 재구성 절차를 실행하도록 구성된 재구성 서브모듈(6071)을 포함할 수 있고, 경보 이벤트 재구성 프로세스는:
획득 유닛(71a)을 통해 처리될 경보 로그 세트 내의 각각의 경보 타입에 대해, 처리될 경보 로그 세트 내에 있고 해당 경보 타입인 타겟 경보 로그를 획득하는 단계;
계산 유닛(71b)을 통해 시간 시퀀스에서 인접하는 처리될 경보 로그 세트 내의 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격을 개별적으로 계산하는 단계; 및
재구성 유닛(71c)을 통해 동일한 경보 이벤트에 속하는 처리될 경보 로그 세트 내의 타겟 경보 로그들을, 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격에 기초하여 하나의 경보 이벤트로 재구성하는 단계를 포함한다.
재구성 유닛은:
지수 이동 평균 방법을 사용하여 2개의 타겟 경보 로그 사이의 추정된 시간 간격을 계산하고- 2개의 타겟 경보 로그는 시간 시퀀스에서 인접하는 임의의 2개의 타겟 경보 로그이고, 2개의 타겟 경보 로그는 제1 경보 로그와 제2 경보 로그를 포함하고, 제1 경보 로그는 제2 경보 로그 이전에 생성됨 -;
2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족하는지를 판정하고;
2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족할 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하고, 제2 경보 로그를 제1 경보 로그가 속하는 경보 이벤트로 집계하거나; 또는
2개의 타겟 경보 로그 사이의 발생 시간 간격과 추정된 시간 간격이 미리 설정된 조건을 충족하지 않을 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하도록 구성될 수 있다.
선택적으로, 2개의 타겟 경보 로그 사이의 발생 시간 간격 sk는 sk=tk-tk-1이고, 추정된 시간 간격 sk'는
Figure pct00033
이고, 미리 설정된 조건은
Figure pct00034
이고,
tk는 제2 경보 로그의 생성 시간 스탬프이고, tk-1는 제1 경보 로그의 생성 시간 스탬프이고, 0≤α≤1, k는 1보다 큰 정수이고, β는 양수이다.
또한, 재구성 유닛은:
2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최소 시간 간격 임계값 이하일 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하거나; 또는
2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최대 시간 간격 임계값보다 클 때, 제2 경보 로그가 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하도록 추가로 구성될 수 있고,
Figure pct00035
, smin는 최소 시간 간격 임계값이고, smax는 최대 시간 간격 임계값이다.
선택적으로, 재구성 유닛은:
제1 경보 로그가 속하는 경보 이벤트의 재구성을 종료하고, 신규 경보 이벤트를 초기화하고;
제2 경보 로그를 신규 경보 이벤트로 집계하도록 추가로 구성될 수 있다.
선택적으로, 경보 이벤트는 경보 타입과, 경보 이벤트에서 경보 로그의 시작 발생 순간, 종료 발생 순간, 평균 발생 시간 간격, 및 발생 횟수 중 적어도 하나를 포함한다.
선택적으로, 압축 모듈은:
적어도 하나의 연관 규칙에 기초하여 적어도 하나의 경보 이벤트를 압축하여, 적어도 하나의 타겟 경보 이벤트를 획득하도록 구성될 수 있고, 각각의 타겟 경보 이벤트는 경보 타입이 근본 원인 경보 타입인 경보 로그를 표시하는데 사용된다.
또한, 도 7e에 도시된 바와 같이, 장치(60)는:
적어도 하나의 타겟 경보 이벤트를 출력하여, 적어도 하나의 타겟 경보 이벤트를 네트워크 모니터링 엔지니어에게 디스플레이하도록 구성된 출력 모듈(608)을 추가로 포함할 수 있다.
선택적으로, 제2 네트워크 디바이스와 제1 네트워크 디바이스는 동일한 네트워크 디바이스이거나; 또는, 제2 네트워크 디바이스와 제1 네트워크 디바이스는 동일한 타입의 상이한 네트워크 디바이스들이다.
결론적으로, 본 출원의 실시예들에서 제공되는 경보 로그 압축 장치에 따르면, 연관 규칙은 경보 타입들 사이의 시간 상관에 기초하여 마이닝된다. 마이닝 프로세스에서, 생성 시간 스탬프에 기초하여 수행된 분할을 통해 획득되는 복수의 이력 경보 로그 서브세트 내의 경보 타입들만이 순회될 필요가 있고, 그 후 각각의 경보 타입과 복수의 이력 경보 로그 서브세트 사이의 대응관계가 결정되고, 예를 들어, 각각의 경보 타입의 시간 시퀀스 벡터가 결정된 후에, 대응관계에 기초하여 경보 타입에 대한 클러스터링 처리가 수행되어, 연관 규칙을 생성할 수 있다. 관련 기술과 비교하여, 본 출원에서는, 이력 경보 로그들이 복수회 순회될 필요가 없고, 연관 규칙 마이닝 효율이 향상된다. 또한, 본 출원에서, 경보 타입들 사이의 시간 상관에 기초하여 마이닝되는 연관 규칙들의 수량은 관련 기술에서 빈번한 아이템세트에 기초하여 마이닝되는 연관 규칙들의 수량보다 훨씬 적다. 따라서, 연관 규칙의 정확도를 결정하는 프로세스 및 연관 규칙에서 근본 원인 경보 타입을 결정하는 프로세스에서 시간 비용이 감소된다. 또한, 경보 이벤트는 경보 로그의 발생 시간 간격에 기초하여 재구성되고, 마지막으로, 경보 타입이 근본 원인 경보 타입인 경보 로그를 표시하는데 사용된 타겟 경보 이벤트는 네트워크 모니터링 엔지니어에게 디스플레이된다. 이것은 네트워크 모니터링 엔지니어에게 제시되는 경보 로그 정보를 크게 감소시키고, 정보 정확도 및 충실도를 보장한다.
본 출원의 실시예는 경보 로그 압축 장치를 제공한다. 도 8에 도시된 바와 같이, 장치(07)는 메모리(071), 프로세서(072), 및 메모리(071)에 저장되고 프로세서(072) 상에서 실행될 수 있는 컴퓨터 프로그램을 포함하고, 프로세서(072)가 컴퓨터 프로그램을 실행할 때, 본 출원의 방법 실시예들에서의 경보 로그 압축 방법들이 구현된다.
선택적으로, 장치(07)는 통신 버스(073)와 통신 인터페이스(074)를 추가로 포함한다.
프로세서(072)는 하나 이상의 처리 코어를 포함한다. 프로세서(072)는 컴퓨터 프로그램 및 유닛을 실행하여, 다양한 기능 애플리케이션들 및 데이터 처리를 수행한다.
메모리(071)는 컴퓨터 프로그램 및 유닛을 저장하도록 구성될 수 있다. 구체적으로, 메모리는 적어도 하나의 기능에 필요한 운영 체제 및 애플리케이션 프로그램 유닛을 저장할 수 있다. 운영 체제는 실시간 운영 체제(Real Time eXecutive, RTX), LINUX, UNIX, WINDOWS, 또는 OS X와 같은 운영 체제일 수 있다.
복수의 통신 인터페이스(074)가 있을 수 있고, 통신 인터페이스(074)는 다른 저장 디바이스 또는 네트워크 디바이스와 통신하도록 구성된다. 예를 들어, 본 출원의 이 실시예에서, 통신 인터페이스(074)는 통신 네트워크에서 네트워크 디바이스에 의해 전송된 경보 로그를 수신하도록 구성될 수 있다.
메모리(071)와 통신 인터페이스(074)는 통신 케이블(073)을 사용하여 프로세서(072)에 개별적으로 접속된다.
본 출원의 실시예는 컴퓨터 판독가능 저장 매체를 제공한다. 컴퓨터 판독가능 저장 매체는 명령어를 저장하고, 명령어가 프로세서에 의해 실행될 때, 본 출원의 방법 실시예들에서의 경보 로그 압축 방법들이 구현된다.
본 기술분야의 통상의 기술자는 실시예의 단계들의 전부 또는 일부가 관련 하드웨어에 지시하는 프로그램 또는 하드웨어에 의해 구현될 수 있다는 것을 이해할 수 있다. 프로그램은 컴퓨터 판독가능 저장 매체에 저장될 수 있다. 저장 매체는 판독-전용 메모리, 자기 디스크, 광 디스크 등일 수 있다.
전술한 설명들은 단지 본 출원의 임의적인 실시예들이지만, 본 출원을 제한하려는 의도는 아니다. 본원의 취지 및 원리에서 벗어나지 않고서 이루어지는 어떤 수정, 등가적인 대체, 또는 개선은 본원의 보호 범위 내에 들어야 한다.

Claims (46)

  1. 압축 디바이스에 적용되는 경보 로그 압축 방법으로서,
    통신 네트워크에서 제1 네트워크 디바이스에 의해 생성되는 이력 경보 로그 세트를 획득하는 단계- 상기 이력 경보 로그 세트는 복수의 이력 경보 로그를 포함하고, 각각의 이력 경보 로그는 경보 타입과 생성 시간 스탬프를 포함함 -;
    상기 이력 경보 로그 세트 내의 상기 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 상기 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하는 단계- 각각의 이력 경보 로그 서브세트 내의 모든 이력 경보 로그는 시간 시퀀스에서 연속적이고, 상기 복수의 이력 경보 로그 서브세트의 조합 세트(union set)는 상기 이력 경보 로그 세트 내의 모든 이력 경보 로그를 포함함 -;
    상기 이력 경보 로그 세트 내의 경보 타입과 상기 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정하는 단계;
    상기 대응관계에 기초하여 상기 이력 경보 로그 세트 내의 상기 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하는 단계- 각각의 연관 규칙은 서로 연관되는 근본 원인 경보 타입 및 적어도 하나의 경미한 경보 타입을 포함함 -; 및
    상기 적어도 하나의 연관 규칙에 기초하여 복수의 처리될 경보 로그를 압축하여, 경보 타입이 상기 근본 원인 경보 타입인 경보 로그를 획득하는 단계를 포함하는 경보 로그 압축 방법.
  2. 제1항에 있어서,
    상기 이력 경보 로그 세트 내의 경보 타입과 상기 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정하는 단계는:
    상기 이력 경보 로그 세트 내의 모든 경보 타입을 획득하여, 제1 경보 타입 세트를 획득하는 단계; 및
    상기 제1 경보 타입 세트 내의 각각의 경보 타입의 시간 시퀀스 벡터를 결정하는 단계- 각각의 시간 시퀀스 벡터는 대응하는 경보 타입과 상기 복수의 이력 경보 로그 서브세트 사이의 대응관계를 반영하는데 사용됨 -를 포함하고,
    각각의 경보 타입에 대응하는 상기 시간 시퀀스 벡터에 대해, 상기 시간 시퀀스 벡터의 값들은 상기 복수의 이력 경보 로그 서브세트와 일대일로 대응하고, 상기 시간 시퀀스 벡터의 값들은 제1 값과 제2 값 중 적어도 하나를 포함하고, 상기 제1 값은 상기 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재한다는 것을 표시하는데 사용되고, 상기 제2 값은 상기 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재하지 않는다는 것을 표시하는데 사용되며, 상기 제1 값은 상기 제2 값과 상이한 경보 로그 압축 방법.
  3. 제2항에 있어서,
    상기 제1 경보 타입 세트 내의 각각의 경보 타입의 시간 시퀀스 벡터를 결정하는 단계는:
    상기 제1 경보 타입 세트 내의 각각의 경보 타입에 대해 시간 시퀀스 벡터 결정 절차를 실행하는 단계를 포함하고,
    상기 시간 시퀀스 벡터 결정 절차는:
    상기 경보 타입이 상기 복수의 이력 경보 로그 서브세트에 존재하는지를 순차적으로 검출하는 단계; 및
    검출 결과에 기초하여 상기 경보 타입의 시간 시퀀스 벡터를 결정하는 단계를 포함하는 경보 로그 압축 방법.
  4. 제2항 또는 제3항에 있어서,
    상기 대응관계에 기초하여 상기 이력 경보 로그 세트 내의 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하는 단계는:
    상기 모든 경보 타입의 상기 시간 시퀀스 벡터들에 기초하여 상기 제1 경보 타입 세트 내의 모든 경보 타입에 대한 클러스터링 처리를 수행하여, 상기 적어도 하나의 연관 규칙을 생성하는 단계를 포함하는 경보 로그 압축 방법.
  5. 제4항에 있어서,
    상기 모든 경보 타입의 상기 시간 시퀀스 벡터들에 기초하여 상기 제1 경보 타입 세트 내의 모든 경보 타입에 대한 클러스터링 처리를 수행하여, 상기 적어도 하나의 연관 규칙을 생성하는 단계는:
    상기 제1 경보 타입 세트에 대한 클러스터링 동작을 수행하는 단계를 포함하고, 상기 클러스터링 동작은:
    타겟 경보 타입 세트와 제2 경보 타입 세트를 설정하는 단계- 상기 타겟 경보 타입 세트와 상기 제2 경보 타입 세트 양쪽 모두는 빈 세트들임 -;
    상기 제1 경보 타입 세트 내의 임의의 경보 타입을 상기 타겟 경보 타입 세트에 추가하고, 상기 제1 경보 타입 세트로부터, 상기 타겟 경보 타입 세트에 추가된 상기 경보 타입을 삭제하는 단계;
    상기 제1 경보 타입 세트가 빈 세트가 될 때까지 결정 절차를 반복적으로 수행하고, 상기 타겟 경보 타입 세트를 연관 규칙으로서 결정하는 단계; 및
    결정 절차를 반복적으로 수행한 후에, 상기 제2 경보 타입 세트가 빈 세트가 아닐 때, 상기 제2 경보 타입 세트를 신규 제1 경보 타입 세트로서 사용하여 상기 클러스터링 동작을 반복적으로 수행하는 단계; 또는
    결정 절차를 반복적으로 수행한 후에, 상기 제2 경보 타입 세트가 빈 세트일 때, 상기 클러스터링 동작을 수행하는 것을 중단하는 단계를 포함하고;
    상기 결정 절차는:
    처리될 경보 타입의 시간 시퀀스 벡터와 상기 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 상기 처리될 경보 타입과 상기 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 단계- 상기 처리될 경보 타입은 상기 타겟 경보 타입 세트 내의 경보 타입들 이외의 상기 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
    상기 상관 관계가 미리 설정된 상관 임계값보다 클 때, 상기 처리될 경보 타입을 상기 타겟 경보 타입 세트에 추가하여, 업데이트된 타겟 경보 타입 세트를 획득하고, 상기 제1 경보 타입 세트로부터 상기 처리될 경보 타입을 삭제하는 단계; 또는
    상기 상관 관계가 상기 미리 설정된 상관 임계값보다 크지 않을 때, 상기 처리될 경보 타입을 상기 제2 경보 타입 세트에 추가하고, 상기 제1 경보 타입 세트로부터 상기 처리될 경보 타입을 삭제하는 단계를 포함하는 경보 로그 압축 방법.
  6. 제4항에 있어서,
    상기 모든 경보 타입의 상기 시간 시퀀스 벡터들에 기초하여 상기 제1 경보 타입 세트 내의 모든 경보 타입에 대한 클러스터링 처리를 수행하여, 상기 적어도 하나의 연관 규칙을 생성하는 단계는:
    상기 제1 경보 타입 세트에 타겟 경보 타입을 마킹하는 단계- 상기 타겟 경보 타입은 상기 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
    상기 제1 경보 타입 세트에 대한 클러스터링 동작을 수행하는 단계를 포함하고, 상기 클러스터링 동작은:
    상기 제1 경보 타입 세트 내의 모든 경보 타입이 순회(traverse)될 때까지 결정 절차를 반복적으로 실행하는 단계; 및
    결정 절차를 반복적으로 실행하는 단계 이후에, 상기 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 있을 때, 어떠한 마크도 설정되지 않은 임의의 경보 타입을, 신규 타겟 경보 타입으로서 결정하고, 상기 신규 타겟 경보 타입을 마킹하며, 상기 클러스터링 동작을 반복적으로 수행하는 단계- 상이한 타겟 경보 타입들은 상이한 마크들을 가짐 -; 또는
    결정 절차를 반복적으로 실행하는 단계 이후에, 상기 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 없을 때, 상기 클러스터링 동작을 수행하는 것을 중단하고, 상기 제1 경보 타입 세트에 기초하여 상기 적어도 하나의 연관 규칙을 생성하는 단계- 각각의 연관 규칙의 모든 경보 타입에 대해 동일한 마크가 설정됨 -를 포함하고;
    상기 결정 절차는:
    상기 타겟 경보 타입과 동일한 마크를 갖는 상기 제1 경보 타입 세트 내의 모든 경보 타입을 포함하는 세트를 타겟 경보 타입 세트로서 결정하는 단계;
    처리될 경보 타입의 시간 시퀀스 벡터와 상기 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 상기 처리될 경보 타입과 상기 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 단계- 상기 처리될 경보 타입은 상기 타겟 경보 타입 세트 내의 경보 타입들 이외의 상기 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
    상기 상관 관계가 미리 설정된 상관 임계값보다 클 때 상기 처리될 경보 타입을 마킹하는 단계- 상기 처리될 경보 타입의 마크는 상기 타겟 경보 타입의 마크와 동일함 -를 포함하는 경보 로그 압축 방법.
  7. 제5항 또는 제6항에 있어서,
    처리될 경보 타입의 시간 시퀀스 벡터와 상기 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 상기 처리될 경보 타입과 상기 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 단계는:
    피어슨(Pearson) 상관 계수 공식에 따라 상기 타겟 경보 타입 세트 내의 각각의 경보 타입과 상기 처리될 경보 타입 사이의 상관 관계를 계산하는 단계- 상기 피어슨 상관 계수 공식은:
    Figure pct00036
    이고,
    Cor(ii, ij)는 경보 타입 ii와 경보 타입 ij 사이의 상관 관계를 나타내고, cov(vi, vj)는 vi와 vj사이의 공분산을 나타내고,
    Figure pct00037
    는 vi의 표준 편차를 나타내고,
    Figure pct00038
    는 vj의 표준 편차를 나타내고, vi는 경보 타입 ii의 시간 시퀀스 벡터를 나타내고, vj는 경보 타입 ij의 시간 시퀀스 벡터를 나타냄 -; 및
    평균 상관 계산 공식에 따라 상기 타겟 경보 타입 세트 내의 각각의 경보 타입과 상기 처리될 경보 타입 사이의 상관 관계에 기초하여 상기 처리될 경보 타입과 상기 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 단계- 상기 평균 상관 계산 공식은:
    Figure pct00039
    이고,
    AveCor(ij, R)는 경보 타입 ij와 타겟 경보 타입 세트 R 사이의 상관 관계를 표시하고,
    Figure pct00040
    는 타겟 경보 타입 세트 R 내의 경보 타입들의 수량을 표시하는 경보 로그 압축 방법.
  8. 제1항에 있어서,
    통신 네트워크에서 제1 네트워크 디바이스에 의해 생성되는 이력 경보 로그 세트를 획득하는 단계는:
    제1 미리 설정된 기간 내에 상기 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그를 미리 처리하여 각각의 이력 경보 로그로부터 중복된 정보를 제거함으로써, 상기 이력 경보 로그 세트를 획득하는 단계를 포함하는 경보 로그 압축 방법.
  9. 제8항에 있어서,
    각각의 이력 경보 로그는 2-튜플(M, t) 포맷으로 나타나고, M은 경보 로그 정보를 나타내며, t는 생성 시간 스탬프를 나타내고, 상기 경보 로그 정보는 적어도 상기 제1 네트워크 디바이스의 경보 타입 필드 및 식별자 필드를 포함하는 경보 로그 압축 방법.
  10. 제1항에 있어서,
    상기 이력 경보 로그 세트 내의 상기 이력 경보 로그들은 시간 부분 순서 관계를 가지며, 상기 이력 경보 로그 세트 내의 상기 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 상기 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하는 단계는:
    상기 이력 경보 로그 세트 내의 상기 이력 경보 로그들의 생성 시간 스탬프 세트를 획득하는 단계; 및
    슬라이딩 윈도우 기술을 사용하여 상기 생성 시간 스탬프 세트, 미리 설정된 시간 윈도우 길이, 및 윈도우 슬라이딩 스텝에 기초하여 상기 이력 경보 로그들을 상기 복수의 이력 경보 로그 서브세트로 분류하는 단계- 상기 윈도우 슬라이딩 스텝은 상기 시간 윈도우 길이보다 크지 않음 -를 포함하는 경보 로그 압축 방법.
  11. 제1항에 있어서,
    상기 방법은:
    제2 미리 설정된 기간 내에 상기 통신 네트워크에서 제2 네트워크 디바이스에 의해 생성되는 처리될 경보 로그 세트를 획득하는 단계- 상기 처리될 경보 로그 세트는 상기 복수의 처리될 경보 로그를 포함하고, 각각의 처리될 경보 로그는 경보 타입과 생성 시간 스탬프를 포함함 -; 및
    상기 처리될 경보 로그 세트에 기초하여 적어도 하나의 경보 이벤트를 생성하는 단계- 각각의 경보 이벤트는 상기 제2 네트워크 디바이스에 의해 생성되는 동일한 경보 타입의 경보 로그들을 표시하는데 사용됨 -를 추가로 포함하는 경보 로그 압축 방법.
  12. 제11항에 있어서,
    상기 처리될 경보 로그 세트에 기초하여 적어도 하나의 경보 이벤트를 생성하는 단계는:
    상기 처리될 경보 로그 세트 내의 각각의 경보 타입에 대해, 상기 처리될 경보 로그 세트 내에 있고 해당 경보 타입(the alarm type)인 타겟 경보 로그를 획득하는 단계;
    상기 시간 시퀀스에서 인접하는 상기 처리될 경보 로그 세트 내의 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격을 개별적으로 계산하는 단계; 및
    동일한 경보 이벤트에 속하는 상기 처리될 경보 로그 세트 내의 타겟 경보 로그들을, 2개의 타겟 경보 로그마다 그 사이의 상기 발생 시간 간격에 기초하여 하나의 경보 이벤트로 재구성하는 단계를 포함하는 경보 로그 압축 방법.
  13. 제12항에 있어서,
    동일한 경보 이벤트에 속하는 상기 처리될 경보 로그 세트 내의 타겟 경보 로그들을, 2개의 타겟 경보 로그마다 그 사이의 상기 발생 시간 간격에 기초하여 하나의 경보 이벤트로 재구성하는 단계는:
    지수 이동 평균 방법(exponential moving average method)을 사용하여 2개의 타겟 경보 로그 사이의 추정된 시간 간격을 계산하는 단계- 상기 2개의 타겟 경보 로그는 상기 시간 시퀀스에서 인접하는 임의의 2개의 타겟 경보 로그이고, 상기 2개의 타겟 경보 로그는 제1 경보 로그와 제2 경보 로그를 포함하고, 상기 제1 경보 로그는 상기 제2 경보 로그 이전에 생성됨 -;
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격과 상기 추정된 시간 간격이 미리 설정된 조건을 충족하는지를 판정하는 단계; 및
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격과 상기 추정된 시간 간격이 미리 설정된 조건을 충족할 때, 상기 제2 경보 로그가 상기 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하고, 상기 제2 경보 로그를 상기 제1 경보 로그가 속하는 경보 이벤트로 집계하는 단계; 또는
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격과 상기 추정된 시간 간격이 상기 미리 설정된 조건을 충족하지 않을 때, 상기 제2 경보 로그가 상기 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하는 단계를 포함하는 경보 로그 압축 방법.
  14. 제13항에 있어서,
    상기 2개의 타겟 경보 로그 사이의 상기 발생 시간 간격 sk는 sk=tk-tk-1이고, 상기 추정된 시간 간격 sk'는
    Figure pct00041
    이고, 상기 미리 설정된 조건은
    Figure pct00042
    이고,
    tk는 상기 제2 경보 로그의 생성 시간 스탬프이고, tk-1는 상기 제1 경보 로그의 생성 시간 스탬프이고, 0≤α≤1, k는 1보다 큰 정수이고, β는 양수인 경보 로그 압축 방법.
  15. 제14항에 있어서,
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격과 상기 추정된 시간 간격이 미리 설정된 조건을 충족하는지를 판정하는 단계 전에, 상기 방법은:
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최소 시간 간격 임계값 이하일 때, 상기 제2 경보 로그가 상기 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하는 단계; 또는
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최대 시간 간격 임계값보다 클 때, 상기 제2 경보 로그가 상기 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하는 단계를 추가로 포함하며,
    Figure pct00043
    , smin는 최소 시간 간격 임계값이고, smax는 최대 시간 간격 임계값인 경보 로그 압축 방법.
  16. 제13항 내지 제15항 중 어느 한 항에 있어서,
    상기 제2 경보 로그가 상기 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하는 단계 이후에, 상기 방법은:
    상기 제1 경보 로그가 속하는 상기 경보 이벤트의 재구성을 종료하고, 신규 경보 이벤트를 초기화하는 단계; 및
    상기 제2 경보 로그를 상기 신규 경보 이벤트로 집계하는 단계를 추가로 포함하는 경보 로그 압축 방법.
  17. 제11항에 있어서,
    상기 경보 이벤트는 경보 타입과, 상기 경보 이벤트에서 경보 로그의 시작 발생 순간, 종료 발생 순간, 평균 발생 시간 간격, 및 발생 횟수 중 적어도 하나를 포함하는 경보 로그 압축 방법.
  18. 제11항 내지 제15항 중 어느 한 항에 있어서,
    상기 적어도 하나의 연관 규칙에 기초하여 복수의 처리될 경보 로그를 압축하여, 경보 타입이 상기 근본 원인 경보 타입인 경보 로그를 획득하는 단계는:
    상기 적어도 하나의 연관 규칙에 기초하여 상기 적어도 하나의 경보 이벤트를 압축하여, 적어도 하나의 타겟 경보 이벤트를 획득하는 단계를 포함하고, 각각의 타겟 경보 이벤트는 경보 타입이 상기 근본 원인 경보 타입인 경보 로그를 표시하는데 사용되는 경보 로그 압축 방법.
  19. 제18항에 있어서,
    상기 적어도 하나의 경보 이벤트를 압축하여, 적어도 하나의 타겟 경보 이벤트를 획득하는 단계 이후에, 상기 방법은:
    상기 적어도 하나의 타겟 경보 이벤트를 출력하여, 상기 적어도 하나의 타겟 경보 이벤트를 네트워크 모니터링 엔지니어에게 디스플레이하는 단계를 추가로 포함하는 경보 로그 압축 방법.
  20. 제11항에 있어서,
    상기 제2 네트워크 디바이스와 상기 제1 네트워크 디바이스는 동일한 네트워크 디바이스이거나; 또는
    상기 제2 네트워크 디바이스와 상기 제1 네트워크 디바이스는 동일한 타입의 상이한 네트워크 디바이스들인 경보 로그 압축 방법.
  21. 압축 디바이스에 적용되는 경보 로그 압축 장치로서,
    통신 네트워크에서 제1 네트워크 디바이스에 의해 생성되는 이력 경보 로그 세트를 획득하도록 구성된 제1 획득 모듈- 상기 이력 경보 로그 세트는 복수의 이력 경보 로그를 포함하고, 각각의 이력 경보 로그는 경보 타입과 생성 시간 스탬프를 포함함 -;
    상기 이력 경보 로그 세트 내의 상기 이력 경보 로그들의 생성 시간 스탬프들에 기초하여 상기 이력 경보 로그 세트를 복수의 이력 경보 로그 서브세트로 분할하도록 구성된 분할 모듈- 각각의 이력 경보 로그 서브세트 내의 모든 이력 경보 로그는 시간 시퀀스에서 연속적이고, 상기 복수의 이력 경보 로그 서브세트의 조합 세트는 상기 이력 경보 로그 세트 내의 모든 이력 경보 로그를 포함함 -;
    상기 이력 경보 로그 세트 내의 경보 타입과 상기 복수의 이력 경보 로그 서브세트 사이의 대응관계를 결정하도록 구성된 결정 모듈;
    상기 대응관계에 기초하여 상기 이력 경보 로그 세트 내의 상기 경보 타입들에 대한 클러스터링 처리를 수행하여, 적어도 하나의 연관 규칙을 생성하도록 구성된 클러스터링 모듈- 각각의 연관 규칙은 서로 연관되는 근본 원인 경보 타입 및 적어도 하나의 경미한 경보 타입을 포함함 -; 및
    상기 적어도 하나의 연관 규칙에 기초하여 복수의 처리될 경보 로그를 압축하여, 경보 타입이 상기 근본 원인 경보 타입인 경보 로그를 획득하도록 구성된 압축 모듈을 포함하는 경보 로그 압축 장치.
  22. 제21항에 있어서,
    상기 결정 모듈은:
    상기 이력 경보 로그 세트 내의 모든 경보 타입을 획득하여, 제1 경보 타입 세트를 획득하도록 구성된 획득 서브모듈; 및
    상기 제1 경보 타입 세트 내의 각각의 경보 타입의 시간 시퀀스 벡터를 결정하도록 구성된 결정 서브모듈- 각각의 시간 시퀀스 벡터는 대응하는 경보 타입과 상기 복수의 이력 경보 로그 서브세트 사이의 대응관계를 반영하는데 사용됨 -을 포함하고,
    각각의 경보 타입에 대응하는 상기 시간 시퀀스 벡터에 대해, 상기 시간 시퀀스 벡터의 값들은 상기 복수의 이력 경보 로그 서브세트와 일대일로 대응하고, 상기 시간 시퀀스 벡터의 값들은 제1 값과 제2 값 중 적어도 하나를 포함하고, 상기 제1 값은 상기 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재한다는 것을 표시하는데 사용되고, 상기 제2 값은 상기 경보 타입이 대응하는 이력 경보 로그 서브세트에 존재하지 않는다는 것을 표시하는데 사용되며, 상기 제1 값은 상기 제2 값과 상이한 경보 로그 압축 장치.
  23. 제22항에 있어서,
    상기 결정 서브모듈은:
    상기 제1 경보 타입 세트 내의 각각의 경보 타입에 대해 시간 시퀀스 벡터 결정 절차를 실행하도록 구성되고,
    상기 시간 시퀀스 벡터 결정 절차는:
    상기 경보 타입이 상기 복수의 이력 경보 로그 서브세트에 존재하는지를 순차적으로 검출하는 것; 및
    검출 결과에 기초하여 상기 경보 타입의 시간 시퀀스 벡터를 결정하는 것을 포함하는 경보 로그 압축 장치.
  24. 제22항 또는 제23항에 있어서,
    상기 클러스터링 모듈은:
    시간 시퀀스-관련 클러스터링 알고리즘에 따라 상기 모든 경보 타입의 상기 시간 시퀀스 벡터들에 기초하여 상기 제1 경보 타입 세트 내의 모든 경보 타입에 대한 클러스터링 처리를 수행하여, 상기 적어도 하나의 연관 규칙을 생성하도록 구성되는 경보 로그 압축 장치.
  25. 제24항에 있어서,
    상기 클러스터링 모듈은:
    상기 제1 경보 타입 세트에 대한 클러스터링 동작을 수행하도록 추가로 구성되고, 상기 클러스터링 동작은:
    타겟 경보 타입 세트와 제2 경보 타입 세트를 설정하는 것- 상기 타겟 경보 타입 세트와 상기 제2 경보 타입 세트 양쪽 모두는 빈 세트들임 -;
    상기 제1 경보 타입 세트 내의 임의의 경보 타입을 상기 타겟 경보 타입 세트에 추가하고, 상기 제1 경보 타입 세트로부터, 상기 타겟 경보 타입 세트에 추가된 상기 경보 타입을 삭제하는 것;
    상기 제1 경보 타입 세트가 빈 세트가 될 때까지 결정 절차를 반복적으로 수행하고, 상기 타겟 경보 타입 세트를 연관 규칙으로서 결정하는 것; 및
    결정 절차를 반복적으로 수행한 후에, 상기 제2 경보 타입 세트가 빈 세트가 아닐 때, 상기 제2 경보 타입 세트를 신규 제1 경보 타입 세트로서 사용하여 상기 클러스터링 동작을 반복적으로 수행하는 것; 또는
    결정 절차를 반복적으로 수행한 후에, 상기 제2 경보 타입 세트가 빈 세트일 때, 상기 클러스터링 동작을 수행하는 것을 중단하는 것을 포함하고;
    상기 결정 절차는:
    처리될 경보 타입의 시간 시퀀스 벡터와 상기 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 상기 처리될 경보 타입과 상기 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 것- 상기 처리될 경보 타입은 상기 타겟 경보 타입 세트 내의 경보 타입들 이외의 상기 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
    상기 상관 관계가 미리 설정된 상관 임계값보다 클 때, 상기 처리될 경보 타입을 상기 타겟 경보 타입 세트에 추가하여, 업데이트된 타겟 경보 타입 세트를 획득하고, 상기 제1 경보 타입 세트로부터 상기 처리될 경보 타입을 삭제하는 것; 또는
    상기 상관 관계가 상기 미리 설정된 상관 임계값보다 크지 않을 때, 상기 처리될 경보 타입을 상기 제2 경보 타입 세트에 추가하고, 상기 처리될 경보 타입을 상기 제1 경보 타입 세트로부터 삭제하는 것을 포함하는 경보 로그 압축 장치.
  26. 제24항에 있어서,
    상기 클러스터링 모듈은:
    상기 제1 경보 타입 세트에 타겟 경보 타입을 마킹하고- 상기 타겟 경보 타입은 상기 제1 경보 타입 세트 내의 임의의 경보 타입임 -;
    상기 제1 경보 타입 세트에 대한 클러스터링 동작을 수행하도록 추가로 구성되고, 상기 클러스터링 동작은:
    상기 제1 경보 타입 세트 내의 모든 경보 타입이 순회(traverse)될 때까지 결정 절차를 반복적으로 실행하는 것; 및
    결정 절차를 반복적으로 실행한 이후에, 상기 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 있을 때, 어떠한 마크도 설정되지 않은 임의의 경보 타입을, 신규 타겟 경보 타입으로서 결정하고, 상기 신규 타겟 경보 타입을 마킹하며, 상기 클러스터링 동작을 반복적으로 수행하는 것- 상이한 타겟 경보 타입들은 상이한 마크들을 가짐 -; 또는
    결정 절차를 반복적으로 실행한 이후에, 상기 제1 경보 타입 세트에 어떠한 마크도 설정되지 않은 경보 타입이 없을 때, 상기 클러스터링 동작을 수행하는 것을 중단하고, 상기 제1 경보 타입 세트에 기초하여 상기 적어도 하나의 연관 규칙을 생성하는 것- 각각의 연관 규칙의 모든 경보 타입에 대해 동일한 마크가 설정됨 -을 포함하고;
    상기 결정 절차는:
    상기 타겟 경보 타입과 동일한 마크를 갖는 상기 제1 경보 타입 세트 내의 모든 경보 타입을 포함하는 세트를 타겟 경보 타입 세트로서 결정하는 것;
    처리될 경보 타입의 시간 시퀀스 벡터와 상기 타겟 경보 타입 세트 내의 모든 경보 타입의 시간 시퀀스 벡터들에 기초하여 상기 처리될 경보 타입과 상기 타겟 경보 타입 세트 사이의 상관 관계를 계산하는 것- 상기 처리될 경보 타입은 상기 타겟 경보 타입 세트 내의 경보 타입들 이외의 상기 제1 경보 타입 세트 내의 임의의 경보 타입임 -; 및
    상기 상관 관계가 미리 설정된 상관 임계값보다 클 때 상기 처리될 경보 타입을 마킹하는 것- 상기 처리될 경보 타입의 마크는 상기 타겟 경보 타입의 마크와 동일함 -을 포함하는 경보 로그 압축 장치.
  27. 제25항 또는 제26항에 있어서,
    상기 클러스터링 모듈은:
    피어슨 상관 계수 공식에 따라 상기 타겟 경보 타입 세트 내의 각각의 경보 타입과 상기 처리될 경보 타입 사이의 상관 관계를 계산하고- 상기 피어슨 상관 계수 공식은:
    Figure pct00044
    이고,
    Cor(ii, ij)는 경보 타입 ii와 경보 타입 ij 사이의 상관 관계를 나타내고, cov(vi, vj)는 vi와 vj사이의 공분산을 나타내고,
    Figure pct00045
    는 vi의 표준 편차를 나타내고,
    Figure pct00046
    는 vj의 표준 편차를 나타내고, vi는 경보 타입 ii의 시간 시퀀스 벡터를 나타내고, vj는 경보 타입 ij의 시간 시퀀스 벡터를 나타냄 -; 및
    평균 상관 계산 공식에 따라 상기 타겟 경보 타입 세트 내의 각각의 경보 타입과 상기 처리될 경보 타입 사이의 상관 관계에 기초하여 상기 처리될 경보 타입과 상기 타겟 경보 타입 세트 사이의 상관 관계를 계산하도록 추가로 구성되고, 상기 평균 상관 계산 공식은:
    Figure pct00047
    이고,
    AveCor(ij, R)는 경보 타입 ij와 타겟 경보 타입 세트 R 사이의 상관 관계를 표시하고,
    Figure pct00048
    는 상기 타겟 경보 타입 세트 R 내의 경보 타입들의 수량을 표시하는 경보 로그 압축 장치.
  28. 제21항에 있어서,
    상기 제1 획득 모듈은:
    제1 미리 설정된 기간 내에 상기 제1 네트워크 디바이스에 의해 생성된 이력 경보 로그를 미리 처리하여 각각의 이력 경보 로그로부터 중복된 정보를 제거함으로써, 상기 이력 경보 로그 세트를 획득하도록 구성되는 경보 로그 압축 장치.
  29. 제28항에 있어서,
    각각의 이력 경보 로그는 2-튜플(M, t) 포맷으로 나타나고, M은 경보 로그 정보를 나타내며, t는 생성 시간 스탬프를 나타내고, 경보 로그 정보는 적어도 경보 네트워크 디바이스의 경보 타입 필드 및 식별자 필드를 포함하는 경보 로그 압축 장치.
  30. 제21항에 있어서,
    상기 이력 경보 로그 세트 내의 상기 이력 경보 로그들은 시간 부분 순서 관계를 가지며, 상기 분할 모듈은:
    상기 이력 경보 로그 세트 내의 상기 이력 경보 로그들의 생성 시간 스탬프 세트를 획득하고;
    상기 생성 시간 스탬프 세트, 미리 설정된 시간 윈도우 길이, 및 윈도우 슬라이딩 스텝에 기초하여 상기 이력 경보 로그들을 상기 복수의 이력 경보 로그 서브세트로 분류하도록 구성되고, 상기 윈도우 슬라이딩 스텝은 상기 시간 윈도우 길이보다 크지 않은 경보 로그 압축 장치.
  31. 제21항에 있어서,
    상기 장치는:
    제2 미리 설정된 기간 내에 상기 통신 네트워크에서 제2 네트워크 디바이스에 의해 생성되는 처리될 경보 로그 세트를 획득하도록 구성된 제2 획득 모듈- 상기 처리될 경보 로그 세트는 상기 복수의 처리될 경보 로그를 포함하고, 각각의 처리될 경보 로그는 경보 타입과 생성 시간 스탬프를 포함함 -; 및
    상기 처리될 경보 로그 세트에 기초하여 적어도 하나의 경보 이벤트를 생성하도록 구성된 생성 모듈- 각각의 경보 이벤트는 상기 제2 네트워크 디바이스에 의해 생성되는 동일한 경보 타입의 경보 로그들을 표시하는데 사용됨 -을 추가로 포함하는 경보 로그 압축 장치.
  32. 제31항에 있어서,
    상기 생성 모듈은:
    각각의 처리될 경보 로그 세트에 대해 경보 이벤트 재구성 절차를 실행하도록 구성된 재구성 서브모듈을 포함하고, 상기 경보 이벤트 재구성 프로세스는:
    획득 유닛이 상기 처리될 경보 로그 세트 내의 각각의 경보 타입에 대해, 상기 처리될 경보 로그 세트 내에 있고 해당 경보 타입(the alarm type)인 타겟 경보 로그를 획득하도록 구성되는 것;
    계산 유닛이 시간 시퀀스에서 인접하는 처리될 경보 로그 세트 내의 2개의 타겟 경보 로그마다 그 사이의 발생 시간 간격을 개별적으로 계산하도록 구성되는 것; 및
    재구성 유닛이 동일한 경보 이벤트에 속하는 상기 처리될 경보 로그 세트 내의 타겟 경보 로그들을, 2개의 타겟 경보 로그마다 그 사이의 상기 발생 시간 간격에 기초하여 하나의 경보 이벤트로 재구성하도록 구성되는 것을 포함하는 경보 로그 압축 장치.
  33. 제32항에 있어서,
    상기 재구성 유닛은:
    지수 이동 평균 방법(exponential moving average method)을 사용하여 2개의 타겟 경보 로그 사이의 추정된 시간 간격을 계산하고- 상기 2개의 타겟 경보 로그는 상기 시간 시퀀스에서 인접하는 임의의 2개의 타겟 경보 로그이고, 상기 2개의 타겟 경보 로그는 제1 경보 로그와 제2 경보 로그를 포함하고, 상기 제1 경보 로그는 상기 제2 경보 로그 이전에 생성됨 -;
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격과 상기 추정된 시간 간격이 미리 설정된 조건을 충족하는지를 판정하고;
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격과 상기 추정된 시간 간격이 미리 설정된 조건을 충족할 때, 상기 제2 경보 로그가 상기 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하고, 상기 제2 경보 로그를 상기 제1 경보 로그가 속하는 경보 이벤트로 집계하거나; 또는
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격과 상기 추정된 시간 간격이 상기 미리 설정된 조건을 충족하지 않을 때, 상기 제2 경보 로그가 상기 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하도록 구성되는 경보 로그 압축 장치.
  34. 제33항에 있어서,
    상기 2개의 타겟 경보 로그 사이의 상기 발생 시간 간격 sk는 sk=tk-tk-1이고, 상기 추정된 시간 간격 sk'는
    Figure pct00049
    이고, 상기 미리 설정된 조건은
    Figure pct00050
    이고,
    tk는 상기 제2 경보 로그의 생성 시간 스탬프이고, tk-1는 상기 제1 경보 로그의 생성 시간 스탬프이고, 0≤α≤1, k는 1보다 큰 정수이고, β는 양수인 경보 로그 압축 장치.
  35. 제34항에 있어서,
    상기 재구성 유닛은:
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최소 시간 간격 임계값 이하일 때, 상기 제2 경보 로그가 상기 제1 경보 로그가 속하는 경보 이벤트에 속하는 것으로 결정하거나; 또는
    상기 2개의 타겟 경보 로그 사이의 발생 시간 간격이 미리 설정된 최대 시간 간격 임계값보다 클 때, 상기 제2 경보 로그가 상기 제1 경보 로그가 속하는 경보 이벤트에 속하지 않는 것으로 결정하도록 추가로 구성되고,
    Figure pct00051
    , smin는 최소 시간 간격 임계값이고, smax는 최대 시간 간격 임계값인 경보 로그 압축 장치.
  36. 제33항 내지 제35항 중 어느 한 항에 있어서,
    상기 재구성 유닛은:
    상기 제1 경보 로그가 속하는 상기 경보 이벤트의 재구성을 종료하고, 신규 경보 이벤트를 초기화하고;
    상기 제2 경보 로그를 상기 신규 경보 이벤트로 집계하도록 추가로 구성되는 경보 로그 압축 장치.
  37. 제31항에 있어서,
    상기 경보 이벤트는 경보 타입과, 상기 경보 이벤트에서 경보 로그의 시작 발생 순간, 종료 발생 순간, 평균 발생 시간 간격, 및 발생 횟수 중 적어도 하나를 포함하는 경보 로그 압축 장치.
  38. 제31항 내지 제35항 중 어느 한 항에 있어서,
    상기 압축 모듈은:
    상기 적어도 하나의 연관 규칙에 기초하여 상기 적어도 하나의 경보 이벤트를 압축하여, 적어도 하나의 타겟 경보 이벤트를 획득하도록 구성되고, 각각의 타겟 경보 이벤트는 경보 타입이 상기 근본 원인 경보 타입인 경보 로그를 표시하는데 사용되는 경보 로그 압축 장치.
  39. 제38항에 있어서,
    상기 장치는:
    상기 적어도 하나의 타겟 경보 이벤트를 출력하여, 상기 적어도 하나의 타겟 경보 이벤트를 네트워크 모니터링 엔지니어에게 디스플레이하도록 구성된 출력 모듈을 추가로 포함하는 경보 로그 압축 장치.
  40. 제31항에 있어서,
    상기 제2 네트워크 디바이스와 상기 제1 네트워크 디바이스는 동일한 네트워크 디바이스이거나; 또는
    상기 제2 네트워크 디바이스와 상기 제1 네트워크 디바이스는 동일한 타입의 상이한 네트워크 디바이스들인 경보 로그 압축 장치.
  41. 경보 로그 압축 시스템으로서,
    상기 시스템은 압축 디바이스를 포함하고, 상기 압축 디바이스는 제21항 내지 제40항 중 어느 한 항에 따른 장치를 포함하고;
    상기 압축 디바이스는 통신 네트워크에서 적어도 하나의 네트워크 디바이스에 의해 생성되는 복수의 경보 로그를 압축하도록 구성되는 경보 로그 압축 시스템.
  42. 제41항에 있어서,
    상기 압축 디바이스는 상기 복수의 경보 로그가 압축된 이후에 획득되는 경보 정보를 디스플레이하도록 추가로 구성되는 경보 로그 압축 시스템.
  43. 제41항에 있어서,
    상기 시스템은 네트워크 관리 디바이스를 추가로 포함하고;
    상기 압축 디바이스는 상기 복수의 경보 로그가 압축된 이후에 획득되는 상기 경보 정보를 상기 네트워크 관리 디바이스에 출력하도록 추가로 구성되고;
    상기 네트워크 관리 디바이스는 상기 경보 정보를 디스플레이하도록 구성되는 경보 로그 압축 시스템.
  44. 제42항 또는 제43항에 있어서,
    상기 경보 정보는 차트의 형태로 디스플레이되는 경보 로그 압축 시스템.
  45. 경보 로그 압축 장치로서,
    상기 장치는 메모리, 프로세서, 및 상기 메모리에 저장되고 상기 프로세서 상에서 실행될 수 있는 컴퓨터 프로그램을 포함하고, 상기 프로세서가 상기 컴퓨터 프로그램을 실행할 때, 제1항 내지 제20항 중 어느 한 항에 따른 상기 경보 로그 압축 방법이 구현되는 경보 로그 압축 장치.
  46. 컴퓨터 판독가능 저장 매체로서,
    상기 컴퓨터 판독가능 저장 매체는 명령어를 저장하고, 상기 명령어가 프로세서에 의해 실행될 때, 제1항 내지 제20항 중 어느 한 항에 따른 상기 경보 로그 압축 방법이 구현되는 컴퓨터 판독가능 저장 매체.
KR1020207033540A 2018-04-23 2018-12-27 경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체 KR102520044B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201810370889.0 2018-04-23
CN201810370889.0A CN110399347B (zh) 2018-04-23 2018-04-23 告警日志压缩方法、装置及系统、存储介质
PCT/CN2018/124144 WO2019205697A1 (zh) 2018-04-23 2018-12-27 告警日志压缩方法、装置及系统、存储介质

Publications (2)

Publication Number Publication Date
KR20210002602A true KR20210002602A (ko) 2021-01-08
KR102520044B1 KR102520044B1 (ko) 2023-04-11

Family

ID=68294786

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207033540A KR102520044B1 (ko) 2018-04-23 2018-12-27 경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체

Country Status (7)

Country Link
US (1) US11436196B2 (ko)
EP (1) EP3779718A4 (ko)
JP (2) JP7100155B2 (ko)
KR (1) KR102520044B1 (ko)
CN (2) CN110399347B (ko)
CA (1) CA3098860C (ko)
WO (1) WO2019205697A1 (ko)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110928255B (zh) * 2019-11-20 2021-02-05 珠海格力电器股份有限公司 数据异常统计报警方法、装置、存储介质及电子设备
CN111147300B (zh) * 2019-12-26 2022-04-29 绿盟科技集团股份有限公司 一种网络安全告警置信度评估方法及装置
CN111352759B (zh) * 2019-12-31 2024-04-02 杭州亚信软件有限公司 一种告警根因的判定方法及装置
CN113138968A (zh) * 2020-01-20 2021-07-20 普天信息技术有限公司 日志压缩方法及日志解压缩方法
CN111555921B (zh) * 2020-04-29 2023-04-07 平安科技(深圳)有限公司 告警根因的定位方法、装置、计算机设备和存储介质
CN111726248A (zh) * 2020-05-29 2020-09-29 北京宝兰德软件股份有限公司 一种告警根因定位方法及装置
DE102021109775A1 (de) 2020-06-30 2021-12-30 Hewlett Packard Enterprise Development Lp Adaptive zeitfenster- basierte deduplizierung von protokollnachrichten
CN112583644B (zh) * 2020-12-14 2022-10-18 华为技术有限公司 告警处理方法、装置、设备及可读存储介质
CN112735103A (zh) * 2020-12-16 2021-04-30 中盈优创资讯科技有限公司 一种告警关联识别方法、装置及设备
CN112738087A (zh) * 2020-12-29 2021-04-30 杭州迪普科技股份有限公司 攻击日志的展示方法及装置
CN112699169A (zh) * 2020-12-30 2021-04-23 北京顺达同行科技有限公司 基于慢日志的隐患挖掘方法、装置、计算机设备和介质
US11388039B1 (en) * 2021-04-09 2022-07-12 International Business Machines Corporation Identifying problem graphs in an information technology infrastructure network
CN112968805B (zh) * 2021-05-19 2021-08-06 新华三技术有限公司 一种告警日志处理方法及装置
CN113361904B (zh) * 2021-06-03 2024-04-09 广联达科技股份有限公司 一种监控与告警方法、装置、设备及可读存储介质
CN113297183B (zh) * 2021-07-21 2022-02-15 国网汇通金财(北京)信息科技有限公司 一种时间窗口的告警分析方法及装置
CN113775939B (zh) * 2021-07-29 2022-12-23 河海大学 一种供水管网新增漏损的在线识别与定位方法
CN113822570B (zh) * 2021-09-20 2023-09-26 北京瀚博网络科技有限公司 一种基于大数据分析的企业生产数据存储方法及系统
CN114202907B (zh) * 2021-11-24 2022-12-02 华中科技大学 一种火灾报警实时分类方法及系统
CN114091704B (zh) * 2021-11-26 2022-07-12 奇点浩翰数据技术(北京)有限公司 一种告警压制方法和装置
CN114553682B (zh) * 2022-02-25 2023-08-15 中国平安人寿保险股份有限公司 实时告警方法、系统、计算机设备及存储介质
CN115001753B (zh) * 2022-05-11 2023-06-09 绿盟科技集团股份有限公司 一种关联告警的分析方法、装置、电子设备及存储介质
WO2023224633A1 (en) * 2022-05-20 2023-11-23 Rakuten Symphony Singapore Pte. Ltd. Discarded alarm collection method and system for implementing
CN115022055B (zh) * 2022-06-09 2024-04-19 武汉思普崚技术有限公司 一种基于动态时间窗口的网络攻击实时检测方法及装置
CN115051907A (zh) * 2022-06-10 2022-09-13 中国电信股份有限公司 告警日志数据的处理方法及装置、非易失性存储介质
CN115033463B (zh) * 2022-08-12 2022-11-22 北京优特捷信息技术有限公司 一种系统异常类型确定方法、装置、设备和存储介质
CN115514619B (zh) * 2022-09-20 2023-06-16 建信金融科技有限责任公司 告警收敛方法及系统
CN116996330B (zh) * 2023-09-27 2023-12-01 深圳市互盟科技股份有限公司 基于网络安全的数据中心访问控制管理系统

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006041764A (ja) * 2004-07-23 2006-02-09 Ricoh Co Ltd ログ記録装置、ログ記録プログラムおよび記録媒体
US7389345B1 (en) * 2003-03-26 2008-06-17 Sprint Communications Company L.P. Filtering approach for network system alarms
CN101325520A (zh) * 2008-06-17 2008-12-17 南京邮电大学 基于日志的智能自适应网络故障定位和分析方法
JP2009223404A (ja) * 2008-03-13 2009-10-01 Ricoh Co Ltd ログローテーション制御装置およびログローテーション制御プログラム
JP2011113443A (ja) * 2009-11-30 2011-06-09 Mitsubishi Electric Corp ログ圧縮装置及びログ収集システム及びコンピュータプログラム及びログ圧縮方法
CN102158355A (zh) * 2011-03-11 2011-08-17 广州蓝科科技股份有限公司 一种可并发和断续分析的日志事件关联分析方法和装置
JP2012252480A (ja) * 2011-06-02 2012-12-20 Nippon Telegr & Teleph Corp <Ntt> ログ処理装置およびその動作方法
JP2015022659A (ja) * 2013-07-22 2015-02-02 キヤノン株式会社 画像処理装置および画像処理方法、プログラムならびに記憶媒体
JP2016143388A (ja) * 2015-02-05 2016-08-08 日本電信電話株式会社 ログ情報分類装置、ログ情報分類方法、及びプログラム
CN106100885A (zh) * 2016-06-23 2016-11-09 浪潮电子信息产业股份有限公司 一种网络安全告警系统及设计方案
WO2017082782A1 (en) * 2015-11-10 2017-05-18 Telefonaktiebolaget Lm Ericsson (Publ) Managing network alarms
JP2017091108A (ja) * 2015-11-06 2017-05-25 キヤノン株式会社 情報処理装置、方法及びプログラム
CN107391746A (zh) * 2017-08-10 2017-11-24 深圳前海微众银行股份有限公司 日志分析方法、设备和计算机可读存储介质
CN107426022A (zh) * 2017-07-21 2017-12-01 上海携程商务有限公司 安全事件监测方法及装置、电子设备、存储介质

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6230153B1 (en) * 1998-06-18 2001-05-08 International Business Machines Corporation Association rule ranker for web site emulation
US20070150690A1 (en) * 2005-12-23 2007-06-28 International Business Machines Corporation Method and apparatus for increasing virtual storage capacity in on-demand storage systems
US7941389B2 (en) * 2006-02-10 2011-05-10 Numenta, Inc. Hierarchical temporal memory based system including nodes with input or output variables of disparate properties
WO2008106623A2 (en) * 2007-02-28 2008-09-04 Numenta, Inc. Episodic memory with a hierarchical temporal memory based system
US7941392B2 (en) * 2007-02-28 2011-05-10 Numenta, Inc. Scheduling system and method in a hierarchical temporal memory based system
JP4600447B2 (ja) 2007-08-30 2010-12-15 ブラザー工業株式会社 ログ収集システム、及びコンピュータ装置
US8175984B2 (en) * 2007-12-05 2012-05-08 Numenta, Inc. Action based learning
US9110452B2 (en) * 2011-09-19 2015-08-18 Fisher-Rosemount Systems, Inc. Inferential process modeling, quality prediction and fault detection using multi-stage data segregation
JP6126891B2 (ja) 2013-03-29 2017-05-10 富士通株式会社 検出方法、検出プログラム、および検出装置
JP6690646B2 (ja) 2015-06-26 2020-04-28 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、プログラム
US9665420B2 (en) 2015-07-31 2017-05-30 Ca, Inc. Causal engine and correlation engine based log analyzer
CN105528280B (zh) * 2015-11-30 2018-11-23 中电科华云信息技术有限公司 系统日志与健康监控关系决定日志告警等级的方法及系统
RU2615790C1 (ru) 2016-01-29 2017-04-11 Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Магнитогорский государственный технический университет им. Г.И. Носова" (ФГБОУ ВПО "МГТУ") Устройство для мониторинга силовых трансформаторов
CN107181604B (zh) * 2016-03-09 2020-06-02 华为技术有限公司 一种告警关联规则的生成方法、告警压缩方法以及装置
US9836952B2 (en) * 2016-04-06 2017-12-05 Alcatel-Lucent Usa Inc. Alarm causality templates for network function virtualization
CN106055608B (zh) 2016-05-25 2019-06-07 北京百度网讯科技有限公司 自动采集和分析交换机日志的方法和装置
CN107770797A (zh) * 2016-08-17 2018-03-06 中国移动通信集团内蒙古有限公司 一种无线网络告警管理的关联分析方法及系统
CN107231258B (zh) * 2017-06-01 2019-09-24 国网电子商务有限公司 一种网络告警数据处理方法及装置
CN107835087B (zh) * 2017-09-14 2022-09-02 北京科东电力控制系统有限责任公司 一种基于频繁模式挖掘的安全设备告警规则自动提取方法
CN107844514A (zh) * 2017-09-22 2018-03-27 深圳市易成自动驾驶技术有限公司 数据挖掘方法、装置及计算机可读存储介质
US9923757B1 (en) * 2017-10-03 2018-03-20 Akamai Technologies, Inc. Reducing data sets related to network security events

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7389345B1 (en) * 2003-03-26 2008-06-17 Sprint Communications Company L.P. Filtering approach for network system alarms
JP2006041764A (ja) * 2004-07-23 2006-02-09 Ricoh Co Ltd ログ記録装置、ログ記録プログラムおよび記録媒体
JP2009223404A (ja) * 2008-03-13 2009-10-01 Ricoh Co Ltd ログローテーション制御装置およびログローテーション制御プログラム
CN101325520A (zh) * 2008-06-17 2008-12-17 南京邮电大学 基于日志的智能自适应网络故障定位和分析方法
JP2011113443A (ja) * 2009-11-30 2011-06-09 Mitsubishi Electric Corp ログ圧縮装置及びログ収集システム及びコンピュータプログラム及びログ圧縮方法
CN102158355A (zh) * 2011-03-11 2011-08-17 广州蓝科科技股份有限公司 一种可并发和断续分析的日志事件关联分析方法和装置
JP2012252480A (ja) * 2011-06-02 2012-12-20 Nippon Telegr & Teleph Corp <Ntt> ログ処理装置およびその動作方法
JP2015022659A (ja) * 2013-07-22 2015-02-02 キヤノン株式会社 画像処理装置および画像処理方法、プログラムならびに記憶媒体
JP2016143388A (ja) * 2015-02-05 2016-08-08 日本電信電話株式会社 ログ情報分類装置、ログ情報分類方法、及びプログラム
JP2017091108A (ja) * 2015-11-06 2017-05-25 キヤノン株式会社 情報処理装置、方法及びプログラム
WO2017082782A1 (en) * 2015-11-10 2017-05-18 Telefonaktiebolaget Lm Ericsson (Publ) Managing network alarms
CN106100885A (zh) * 2016-06-23 2016-11-09 浪潮电子信息产业股份有限公司 一种网络安全告警系统及设计方案
CN107426022A (zh) * 2017-07-21 2017-12-01 上海携程商务有限公司 安全事件监测方法及装置、电子设备、存储介质
CN107391746A (zh) * 2017-08-10 2017-11-24 深圳前海微众银行股份有限公司 日志分析方法、设备和计算机可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YANGYANG Wu, et al, "Mining alarm database of telecommunication network for alarm association rules" 12 December 2005 *

Also Published As

Publication number Publication date
JP2022160405A (ja) 2022-10-19
WO2019205697A1 (zh) 2019-10-31
CN113407507B (zh) 2022-04-29
JP2021519988A (ja) 2021-08-12
EP3779718A4 (en) 2021-06-09
US11436196B2 (en) 2022-09-06
US20210042270A1 (en) 2021-02-11
KR102520044B1 (ko) 2023-04-11
JP7325584B2 (ja) 2023-08-14
CN110399347A (zh) 2019-11-01
CN113407507A (zh) 2021-09-17
CN110399347B (zh) 2021-05-18
EP3779718A1 (en) 2021-02-17
JP7100155B2 (ja) 2022-07-12
CA3098860C (en) 2023-09-26
CA3098860A1 (en) 2019-10-31

Similar Documents

Publication Publication Date Title
KR102520044B1 (ko) 경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체
CN107248927B (zh) 故障定位模型的生成方法、故障定位方法和装置
CN108964995A (zh) 基于时间轴事件的日志关联分析方法
EP4009590A1 (en) Traffic abnormality detection method, and model training method and apparatus
WO2020168756A1 (zh) 集群日志特征提取方法、装置、设备及存储介质
US11706114B2 (en) Network flow measurement method, network measurement device, and control plane device
US20210097431A1 (en) Debugging and profiling of machine learning model training
WO2020167463A1 (en) Interface for fault prediction and detection using time-based distributed data
CN114465874B (zh) 故障预测方法、装置、电子设备与存储介质
CN112596975A (zh) 对网络设备进行监控处理的方法、系统、设备和存储介质
CN113297042B (zh) 一种告警消息的处理方法、装置及设备
US20150281037A1 (en) Monitoring omission specifying program, monitoring omission specifying method, and monitoring omission specifying device
CN111694721A (zh) 一种微服务的故障监测方法和装置
CN111176950A (zh) 一种监控服务器集群的网卡的方法和设备
CN114860543A (zh) 异常检测方法、装置、设备与计算机可读存储介质
CN111740856A (zh) 基于异常检测算法的网络通信设备告警采集异常预警方法
RU2777616C2 (ru) Система, устройство и способ сжатия журнала регистрации аварийных сигналов и носитель данных
CN105892387A (zh) 基于跨平台多点数据采集mpca模型的机房隐患自动上报装置及方法
CN111628901A (zh) 一种指标异常检测方法以及相关装置
US20170109250A1 (en) Monitoring apparatus, method of monitoring and non-transitory computer-readable storage medium
CN115001147B (zh) 一种光伏发电数据采集方法、系统及云平台
CN117148705B (zh) 基于数据监控分析的设备运行状态检测方法及系统
CN212115347U (zh) 一种网络流量数据采集系统
CN116915590A (zh) 基于设备操作日志的设备状态分析方法、装置和电子设备
CN117555501A (zh) 基于边缘计算的云打印机运维数据处理方法以及相关装置

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant