网络告警分析模型创建方法、告警分析方法及装置制造方法及图纸

本申请公开了一种网络告警分析模型创建方法、告警分析方法及装置，该方案采用大数据挖掘和机器学习算法基于概率关系自学习得到告警数据之间的主次关联规则，通过置信度和提升度过滤掉无效关联关系，而不依赖于告警发生时间的先后顺序，因此能够快速且准确地获得主次关联规则。而且，采用机器学习方法能够降低人工成本。

Network alarm analysis model creation method, alarm analysis method and device

【技术实现步骤摘要】
网络告警分析模型创建方法、告警分析方法及装置
本专利技术属于网络
，尤其涉及网络告警分析模型创建方法、告警分析方法及装置。
技术介绍
在计算机网络中，当某一个网络设备出现故障并引发故障告警时，与它关联的其它网络设备也会引发相应的故障告警。告警根因定位技术是通过分析故障告警之间的相关性，查找到根因告警(即源头告警)，然后，仅对根因告警进行处理，从而高效解决故障问题。但是，目前的告警根因分析基于人工经验梳理规则，将特定告警系统领域的告警知识包含在一组规则集合中，然后，基于总结得到的规则集合及相应的推理规则判定检测到的告警信息是否符合某一规则，进而确定其具体的故障类型，这种方式需要人工维护大量告警规则集合，成本高。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种网络告警分析模型创建方法、告警分析方法及装置，以解决基于人工经验梳理关联规则存在的成本高且缺乏实时性和灵活性的技术问题，其公开的技术方案如下：第一方面，本专利技术公开了一种网络告警分析模型创建方法，包括：获取历史告警数据并进行预处理得到训练数据集；利用密度聚类算法，基于告警数据的属性信息对所述训练数据集中的告警数据进行聚类，得到不同的聚类簇，所述属性信息包括所述告警数据的告警发生时间，或者，告警发生时间和网元拓扑信息；基于同一聚类簇中任意两个告警数据之间的支持度过滤掉无关联的告警数据；基于过滤后得到的各个告警数据对中两个告警数据之间主次关联关系的置信度和提升度，分析各个告警数据之间的主次关联关系，得到主次关联规则；依据所述主次关联规则构建告警分析模型。可选地，所述基于同一聚类簇中任意两个告警数据之间的支持度过滤掉无关联的告警数据，包括：对于任意一个聚类簇，遍历该聚类簇中各个告警数据，分别计算任意两个告警数据之间的支持度；其中，所述支持度表征任意两个告警数据同时出现的频次；过滤掉支持度低于支持度阈值的告警数据对。可选地，所述基于过滤后得到的各个告警数据对的置信度和提升度，分析各个告警数据之间的主次关联关系，得到主次关联规则，包括：计算过滤后得到的各个告警数据对中两个告警数据之间主次关联关系的置信度和提升度，所述置信度表征所述两个告警数据之间主次关联关系的概率，所述提升度表征两个告警数据相互独立的概率；选取置信度大于或等于置信度阈值的主次关联关系为告警数据对应的主次关联关系；滤除主次关联关系的提升度高于提升度阈值的告警数据对；对过滤后的主次关联关系中网元类型相同且网元唯一标识不同的主次关联关系进行合并，得到所述主次关联规则。可选地，所述方法还包括：对于每一对主次关联关系，对比该主次告警数据对应的告警清除时间；若主告警数据对应的告警清除时间和次告警数据的告警清除时间的差值在预设范围内，确定所述主次关联关系有效；若主告警数据的告警清除时间与次告警数据的告警清除时间的差值超出所述预设范围，确定所述主次关联关系无效。第二方面，本专利技术公开了一种网络告警分析方法，包括：获取多条告警数据并进行预处理得到待分析告警数据集；利用密度聚类算法，基于告警数据的属性信息对所述待分析告警数据集中的告警数据进行聚类得到不同的聚类簇，所述属性信息包括告警数据的告警发生时间、网元类型、网元拓扑信息中的至少一项；基于告警分析模型分析所述各个聚类簇中的告警数据之间存在的主次关联关系，其中，所述告警分析模型由第一方面公开的任一项所述的方法构建得到；对于每一对主次关联关系，过滤掉告警清除时间不符合预设时间范围的主次关联关系，依据过滤后的主次关联关系确定出故障根因告警数据。可选地，所述方法还包括：基于新的告警数据分析得到的主次关联关系，对所述网络告警分析模型中的主次关联规则进行更新。第三方面，本专利技术公开了一种网络告警分析模型创建装置，包括：训练数据获取模块，用于获取历史告警数据并进行预处理得到训练数据集；第一聚类模块，利用密度聚类算法，基于告警数据的属性信息对所述训练数据集中的告警数据进行聚类，得到不同的聚类簇，所述属性信息包括所述告警数据的告警发生时间，或者，告警发生时间和网元拓扑信息；第一过滤模块，用于基于同一聚类簇中任意两个告警数据之间的支持度过滤掉无关联的告警数据；分析模块，用于基于过滤后得到的各个告警数据对中两个告警数据之间主次关联关系的置信度和提升度，分析各个告警数据之间的主次关联关系，得到主次关联规则；模型构建模块，用于依据所述主次关联规则构建告警分析模型。可选地，所述分析模块包括：计算子模块，用于计算过滤后得到的各个告警数据对中两个告警数据之间主次关联关系的置信度和提升度，所述置信度表征所述两个告警数据之间主次关联关系的概率，所述提升度表征两个告警数据相互独立的概率；选取子模块，用于选取置信度大于或等于置信度阈值的主次关联关系为告警数据对应的主次关联关系；滤除子模块，用于滤除主次关联关系的提升度高于提升度阈值的告警数据对；合并子模块，用于基于告警数据对应网元的类型及网元唯一标识，对过滤后的主次关联关系中网元类型相同且网元唯一标识不同的主次关联关系进行合并，得到所述主次关联规则。可选地，所述装置还包括：对比模块，用于对于每一对主次关联关系，对比该主次告警数据对应的告警清除时间；第一确定模块，用于当主告警数据对应的告警清除时间和次告警数据的告警清除时间的差值在预设范围内时，确定所述主次关联关系有效；第二确定模块，用于当主告警数据的告警清除时间与次告警数据的告警清除时间的差值超出所述预设范围时，确定所述主次关联关系无效。第四方面，本专利技术公开了一种网络告警分析装置，包括：实时数据获取模块，用于获取多条告警数据并进行预处理得到待分析告警数据集；第二聚类模块，用于利用密度聚类算法，基于告警数据的属性信息对所述待分析告警数据集中的告警数据进行聚类得到不同的聚类簇，所述属性信息包括告警数据的告警发生时间、网元类型、网元拓扑信息中的至少一项；分析模块，用于基于告警分析模型分析所述各个聚类簇中的告警数据之间存在的主次关联关系，其中，所述告警分析模型由第三方面公开的任一项所述的装置构建得到；第二过滤模块，用于对于每一对主次关联关系，过滤掉告警清除时间不符合预设时间范围的主次关联关系，依据过滤后的主次关联关系确定出故障根因告警数据。本申请提供的网络告警分析模型创建方法，首先对历史告警数据预处理得到训练数据集，然后，基于告警数据的属性信息对告警数据进行聚类将有可能存在关联关系的告警数据划分到一个聚类簇中。依据同一聚类簇中任意两个告警数据之间的支持度过滤掉无关联的告警数据。对过滤后得到的各个告警数据对，基于告警数据对之间主次关联关系的置信度和提升度得到所有告警数据对的主次关联关系，并依据得到的主次关联关系得到最终的主次关联规则，利用该主次关联规则得到告警分析模型。该方案采用本文档来自技高网...

【技术保护点】
1.一种网络告警分析模型创建方法，其特征在于，包括：/n获取历史告警数据并进行预处理得到训练数据集；/n利用密度聚类算法，基于告警数据的属性信息对所述训练数据集中的告警数据进行聚类，得到不同的聚类簇，所述属性信息包括所述告警数据的告警发生时间，或者，告警发生时间和网元拓扑信息；/n基于同一聚类簇中任意两个告警数据之间的支持度过滤掉无关联的告警数据；/n基于过滤后得到的各个告警数据对中两个告警数据之间主次关联关系的置信度和提升度，分析各个告警数据之间的主次关联关系，得到主次关联规则；/n依据所述主次关联规则构建告警分析模型。/n

【技术特征摘要】
1.一种网络告警分析模型创建方法，其特征在于，包括：
获取历史告警数据并进行预处理得到训练数据集；
利用密度聚类算法，基于告警数据的属性信息对所述训练数据集中的告警数据进行聚类，得到不同的聚类簇，所述属性信息包括所述告警数据的告警发生时间，或者，告警发生时间和网元拓扑信息；
基于同一聚类簇中任意两个告警数据之间的支持度过滤掉无关联的告警数据；
基于过滤后得到的各个告警数据对中两个告警数据之间主次关联关系的置信度和提升度，分析各个告警数据之间的主次关联关系，得到主次关联规则；
依据所述主次关联规则构建告警分析模型。


2.根据权利要求1所述的方法，其特征在于，所述基于同一聚类簇中任意两个告警数据之间的支持度过滤掉无关联的告警数据，包括：
对于任意一个聚类簇，遍历该聚类簇中各个告警数据，分别计算任意两个告警数据之间的支持度；其中，所述支持度表征任意两个告警数据同时出现的频次；
过滤掉支持度低于支持度阈值的告警数据对。


3.根据权利要求1所述的方法，其特征在于，所述基于过滤后得到的各个告警数据对的置信度和提升度，分析各个告警数据之间的主次关联关系，得到主次关联规则，包括：
计算过滤后得到的各个告警数据对中两个告警数据之间主次关联关系的置信度和提升度，所述置信度表征所述两个告警数据之间主次关联关系的概率，所述提升度表征两个告警数据相互独立的概率；
选取置信度大于或等于置信度阈值的主次关联关系为告警数据对应的主次关联关系；
滤除主次关联关系的提升度高于提升度阈值的告警数据对；
对过滤后的主次关联关系中网元类型相同且网元唯一标识不同的主次关联关系进行合并，得到所述主次关联规则。


4.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：
对于每一对主次关联关系，对比该主次告警数据对应的告警清除时间；
若主告警数据对应的告警清除时间和次告警数据的告警清除时间的差值在预设范围内，确定所述主次关联关系有效；
若主告警数据的告警清除时间与次告警数据的告警清除时间的差值超出所述预设范围，确定所述主次关联关系无效。


5.一种网络告警分析方法，其特征在于，包括：
获取多条告警数据并进行预处理得到待分析告警数据集；
利用密度聚类算法，基于告警数据的属性信息对所述待分析告警数据集中的告警数据进行聚类得到不同的聚类簇，所述属性信息包括告警数据的告警发生时间、网元类型、网元拓扑信息中的至少一项；
基于告警分析模型分析所述各个聚类簇中的告警数据之间存在的主次关联关系，其中，所述告警分析模型由权利要求1-4任一项所述的方法构建得到；
对于每一对主次关联关系，过滤掉告警清除时间不符合预设时间范围的主次关联关系，依据过滤后的主次关联关系确定出故障根因告警数据。


6.根据权利要求5所...

【专利技术属性】
技术研发人员：蒋炜，苗大军，李红霞，欧阳晔，
申请(专利权)人：南京亚信软件有限公司，
类型：发明
国别省市：江苏;32