【技术实现步骤摘要】
一种基于运维业务风险告警分析归并方法
本专利技术涉及风控
,具体是一种基于运维业务风险告警分析归并方法。
技术介绍
随着电信网络的业务和设备集中化管理,网络规模越来越大,业务越来越复杂,每天会产生大量告警,告警间关联关系的发现一直是运维工作的重点问题。目前告警间关联规则发现主要有两种方法,一种是专家经验方式,通过业务专家的经验,结合专业知识手工添加。这种人工获取关联规则的方法,本身效率不高,且依赖特定专家经验,使得有效告警关联的获取成本高,难以适应不断出现的新业务场景;另一种是通过关联算法方式来挖掘,如先验算法只能处理理算数据,告警数据是连续、流式数据,必须经过特殊处理后,才能挖掘告警间的关联关系。现有告警平台是将用户的每次请求的事件ID以原始日志的格式进行存放,这导致同一账户如果触发多次风控事件会有多条告警存储。这种告警对于单个请求事件可以快速定位查看触发风险的原因。但是当有多个告警的时候就很难从告警中发现更多有价值的问题,同时也很难对告警进行升级或降级处置。因此,基于业务风险告警自动处置风险来直观,能将这些泛化报警既要具有很强的概括性,同时尽可能地保留细节,这样运维人员在查看告警日志时,能够快速定位到攻击的大致手法,从而可以判断是否要对当前同类型攻击提高或降级处理,或将分析流程规范化,自动处理告警日志,并对使用同样攻击方式黑产进行防护升级,从而使黑产增加攻击成本。
技术实现思路
本专利技术的目的在于提供一种基于运维业务风险告警分析归并方法,以解决上述
技术介绍
中提出 ...
【技术保护点】
1.一种基于运维业务风险告警分析归并方法,其特征在于,包含以下步骤:/nA、基于告警内容的归并;/nB、基于告警序列的归并;/nC、告警序列预测。/n
【技术特征摘要】
1.一种基于运维业务风险告警分析归并方法,其特征在于,包含以下步骤:
A、基于告警内容的归并;
B、基于告警序列的归并;
C、告警序列预测。
2.根据权利要求1所述的一种基于运维业务风险告警分析归并方法,其特征在于,所述告警融合算法的数学定义如下:设告警数据库S={Alert1,Alert2,Alert3,……,Alertn},其中Alert是经过预处理的初级告警,在进行初级告警的聚合时,考虑告警的类别,时间,源,事件类型,得到不同告警之间的相异度d.定义为其中,p为对象i和j中属性的个数,f是P个属性中的每一个,W(f)表示属性f在对象相似度中的权值,取值范围为0-1,对于告警类别属性,取W(f)=1,其他属性的权值可根据实际情况自己定义,是一个指示项,它的取值为0或者1,用于表示某一个属性对于相异度是否存在贞献,如果有贞献,其值为1,否则其值为0,如果某一属性不同时存在于i,j中,则是对象i和对象j在f属性上的相异度,对于不同类型的数据,有不同的计算方法,初级告警对象的属性类型可以有如下几种:数值型变量、布尔型变量、枚举型变量,使用加权的欧几里德距离来表示其中,x表示不同属性占的权重,布尔型变量只有两个状态:0或1,评价两个对象i和j之间相异度,采用简单匹配系数法,定义如下:其中,q是对象i和j都为1的属性的数目,是对象i和j都为0的属性的数目,r是对象i值为1而对象j值为0的属性的数目,s是对象i值为0而对象j值为1的属性的数目,枚举型变量可有多个取值,两个对象i,j之间的相异度可以用简单匹配的方法来计算:其中m是匹配的数目,即对象i和j取值相同的属性的数目,而p是全部属性的数目,计算出各种属性对应的dij后,将其代入式0),即可得出d(i,j).计算出d(i,j)后,用一个nxn维矩阵式存储n个初级告警对象两两之间的相异性,d(i,j)通常是一个非负数,当对象i和j越相似或越接近,其值就越接近0;两个对象越不同,其值越大,显然,d(i,j):d(ji)且d(i,i)因此相异度矩阵对角线的值全为0,右上角值不用再列出,根据d(i,j),我们就可以将初级告警进行分组,然后进行合并和关联。
3.根据权利要求1所述的一种基于运维业务风险告警分析归并方法,其特征在于,所述步骤B是基于经典的FP-growth关联规则,增加动态加权特性的改进算法WFP-growth,在海量的告警当中高级别的告警的数量会比普通级别的告警少很多,当数据出现频率相差较大时,就会...
【专利技术属性】
技术研发人员:葛胜利,魏国富,钟丹阳,钱沁莹,汲丽,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。