一种网络事件关联分析和动态预警方法
【专利摘要】本发明涉及一种网络事件关联分析和动态预警方法,该方法主要是根据网络故障管理的要求,首先对网络事件进行关联分析预处理,形成告警事件,然后通过推理方式选择器选择优先推理方式,依次使用优先推理方式和次优先推理方式对告警事件进行处理,直到处理成功;如果两种推理方式均处理失败,向网络运维人员提供动态预警。本发明方法可以自适应地选择合适的优先推理方式,大大提高了推理效率,并可以在对网络事件的处理过程中不断优化案例库和规则库,减少了对网络运维人员的技术要求。
【专利说明】-种网络事件关联分析和动态预警方法
【技术领域】
[0001] 本发明属于网络故障管理领域,具体说是一种网络事件关联分析和动态预警方 法。
【背景技术】
[0002] 网络故障管理可此陕速准确地检测、定位和排除故障,减少因网络故障造成的损 失,保证网络的可用性和可靠性,并且能够在一定程度上预防故障的发生。随着网络规模的 扩大与网络环境的日益复杂,每天通过人工处理成千上万多网络事件是行不通的。除了网 络设备产生的大量事件之外,主机、应用系统也会产生大量的事件日志,部分信息可W帮助 进行故障诊断。由于该些事件之间存在因果关系、时序关系等,必然可W采用事件关联分析 技术来解决故障管理。事件关联性分析技术在过滤兀余事件的同时,能够增强其内部所蕴 含的语义信息,通过分析事件,帮助网络运维人员找出故障产生的潜在原因及条件,并指出 相关故障的位置,减少网络失效时间。事件关联技术是一项非常重要的关键技术,属于智能 化故障管理领域研究的重点和热点,目前它正快速成为处理大量事件和报警信息的一种主 要手段,通过事件关联分析与动态预警,能够及时识别网络中出现的问题,快速采取措施将 网络恢复正常,有效地避免网络失效带来的重大损失。
[0003] 结合基于案例推理和基于规则推理的网络事件处理方法作为网络故障管理的一 个核也发展方向,其功能强弱对整个网络的性能、可靠性、可用性和服务质量有直接的影 响。但是随着网络规模的不断扩展,现有的技术难W满足网络故障管理的需求。现有的大 多数网络事件处理方法采用固定的案例推理和规则推理顺序,难W根据网络结构的改变自 适应的选择合理的推理方式;此外,现有的基于案例推理的相关算法对大量网络事件的计 算过于复杂。
【发明内容】
[0004] 本发明的目的在于提供一种网络事件关联分析和动态预警方法,利用推理方法选 择器来进行推理方法的优先级确定,并设计了基于方差的H级案例推理算法,实现了网络 事件的关联分析和动态预警。
[0005] -种网络事件关联分析和动态预警方法,包括W下步骤:
[0006] 1)对网络事件进行关联分析预处理,剔除不必要的和低优先级的网络事件,形成 告警事件;
[0007] 2)采用推理方式选择器来选择优先推理方式;所述推理方式包括规则推理,案例 推理;
[0008] 3)对告警事件进行处理,首先使用优先推理方式来对告警事件进行处理,如果处 理成功,提示网络运维人员;如果处理失败,使用次优先推理方式进行告警事件的处理;次 优先推理方式处理成功,提示网络运维人员,处理失败,向网络运维人员提供动态预警;
[0009] 4)网络运维人员对系统无法解决的告警事件进行处理,并将人员的处理结果导入 案例库和规则库。
[0010] 前述的步骤1)中,对网络事件进行关联分析预处理是指根据网络事件的具体情 况,对网络事件进行压缩、过滤、抑止、计数、概括、时序关系和逻辑组合走种方式中的一种 或多种方式预处理;
[0011] 所述压缩是指将多次发生的同一个网络事件合并为一个单独的事件;
[0012] 所述过滤是指对网络事件的某些参数进行过滤,所述参数包括优先级、类型、位 置、时间;
[0013] 所述抑止是指发生高优先级网络事件的情况下忽略优先级低的网络事件;
[0014] 所述计数是指相同的网络事件发生的次数超过阔值,则对相应的网络事件进行集 中统一处理;
[0015] 所述概括是指将多个局部网络事件综台为一个整体网络事件;即保留关键节点设 备的网络事件,剔除掉与该关键节点设备相连的设备的网络事件,将多个产生的网络事件 概括为一个告警事件;
[0016] 所述时序关系是指根据事件发生的先后次序进行关联,所述时序关系包括先、后、 包含、重叠;
[0017] 所述逻辑组合是指使用AND、OR、NOT逻辑操作符生成关联模式。
[0018] 前述的步骤2)中,所述推理方式选择器通过推理方式选择算法选择优先推理方 式,所述推理方式选择算法具体为;通过对最近化+1条告警事件处理结果进行统计,优先 推理方式成功处理的告警事件数量记为NI,次优先推理方式成功处理的告警事件数量记为 N2,如果Nl小于等于N2,直接切换优先处理方式;如果Nl大于N2,在系统空闲状态下,将优 先推理方式成功处理的告警事件导入次优先推理方式进行处理,处理成功的告警事件数量 记为N3,记M = N2+N3 ;比较Nl和M,如果Nl小于M,切换优先处理方式,否则保留当前 的优先处理方式,其中,n由用户配置。
[0019] 前述的步骤3)中,对告警事件进行处理的过程中,对于规则推理方式是指构建规 则库,采用"if-then"形式表现的专家知识规则;对于案例推理方式是指构建案例库,采用 基于方差的H级案例选择算法。
[0020] 前述的基于方差的H级案例选择算法具体步骤如下:
[0021] 3-1)对每个告警事件的特征值设置阔值,来进行案例库的筛选:如果案例库中的 某个案例特征值超过阔值,说明该个案例与告警事件差异过大,贝帕巧余该案例;如果案例的 所有特征值均在告警事件特征值的阔值范围之内,则保留该案例进入步骤3-2)进行筛选; 如果案例与告警事件的特征值完全相同,则直接用该案例来处理告警事件,不需要进行下 一步;
[0022] 3-2)如果步骤3-1)筛选出来的案例大于8条,分别计算各个案例与告警事件的最 大差异度,计算公式如下:
[0023]
【权利要求】
1. 一种网络事件关联分析和动态预警方法,其特征在于,包括以下步骤: 1) 对网络事件进行关联分析预处理,剔除不必要的和低优先级的网络事件,形成告警 事件; 2) 采用推理方式选择器来选择优先推理方式;所述推理方式包括规则推理,案例推 理; 3) 对告警事件进行处理,首先使用优先推理方式来对告警事件进行处理,如果处理成 功,提示网络运维人员;如果处理失败,使用次优先推理方式进行告警事件的处理;次优先 推理方式处理成功,提示网络运维人员,处理失败,向网络运维人员提供动态预警; 4) 网络运维人员对系统无法解决的告警事件进行处理,并将人员的处理结果导入案例 库和规则库。
2. 根据权利要求1所述的一种网络事件关联分析和动态预警方法,其特征在于,所述 步骤1)中,对网络事件进行关联分析预处理是指根据网络事件的具体情况,对网络事件进 行压缩、过滤、抑止、计数、概括、时序关系和逻辑组合七种方式中的一种或多种方式预处 理; 所述压缩是指将多次发生的同一个网络事件合并为一个单独的事件; 所述过滤是指对网络事件的某些参数进行过滤,所述参数包括优先级、类型、位置、时 间; 所述抑止是指发生高优先级网络事件的情况下忽略优先级低的网络事件; 所述计数是指相同的网络事件发生的次数超过阈值,则对相应的网络事件进行集中统 一处理; 所述概括是指将多个局部网络事件综台为一个整体网络事件;即保留关键节点设备的 网络事件,剔除掉与该关键节点设备相连的设备的网络事件,将多个产生的网络事件概括 为一个告警事件; 所述时序关系是指根据事件发生的先后次序进行关联,所述时序关系包括先、后、包 含、重叠; 所述逻辑组合是指使用AND、OR、NOT逻辑操作符生成关联模式。
3. 根据权利要求1所述的一种网络事件关联分析和动态预警方法,其特征在于,所述 步骤2)中,所述推理方式选择器通过推理方式选择算法选择优先推理方式,所述推理方式 选择算法具体为:通过对最近2n+l条告警事件处理结果进行统计,优先推理方式成功处理 的告警事件数量记为Nl,次优先推理方式成功处理的告警事件数量记为N2,如果Nl小于等 于N2,直接切换优先处理方式;如果Nl大于N2,在系统空闲状态下,将优先推理方式成功 处理的告警事件导入次优先推理方式进行处理,处理成功的告警事件数量记为N3,记M = N2+N3 ;比较Nl和N4,如果Nl小于N4,切换优先处理方式,否则保留当前的优先处理方式, 其中,n由用户配置。
4. 根据权利要求1所述的一种网络事件关联分析和动态预警方法,其特征在于,所 述步骤3)中,对告警事件进行处理的过程中,对于规则推理方式是指构建规则库,采用 "if-then"形式表现的专家知识规则;对于案例推理方式是指构建案例库,采用基于方差的 二级案例选择算法。
5. 根据权利要求4所述的一种网络事件关联分析和动态预警方法,其特征在于,所述 基于方差的三级案例选择算法具体步骤如下: 3-1)对每个告警事件的特征值设置阈值,来进行案例库的筛选:如果案例库中的某个 案例特征值超过阈值,说明这个案例与告警事件差异过大,则排除该案例;如果案例的所有 特征值均在告警事件特征值的阈值范围之内,则保留该案例进入步骤3-2)进行筛选;如 果案例与告警事件的特征值完全相同,则直接用该案例来处理告警事件,不需要进行下一 I K 少; 3-2)如果步骤3-1)筛选出来的案例大于8条,分别计算各个案例与告警事件的最大差 异度,计算公式如下:
其中,div为案例库中案例与告警事件的最大差异度,k表示第k个特征值,i表示案例 库中的第i个案例,Dk为告警事件的第k个特征值,Cf为案例库中第i个案例的第k个特 征值,max (k)和min (k)表示告警事件的第k个特征值的阈值; 然后采用二分查找法对案例进行进一步筛选,保留4-8个与告警事件的最大差异度最 小的案例,进入下一步; 3-3)采用基于方差的案例选择算法来对所述步骤3-2)筛选的案例进行进一步筛选, 选择三个案例并按优先级进行排序,按照优先级来处理告警事件,直到解决问题并告知网 络运维人员;如果三个案例均无法解决告警事件,向网络运维人员进行动态告警。
6.根据权利要求5所述的一种网络事件关联分析和动态预警方法,其特征在于,所述 基于方差的案例选择算法为:
其中,S(D,Ci)代表告警事件和第i个案例之间的偏差,选择偏差S(D,Ci)最小的三个 案例来解决告警事件,n为告警事件特征值的数量,k为告警事件的第k个特征值,Wk为告 警事件第k个特征值的权值。
【文档编号】H04L12/24GK104363129SQ201410752102
【公开日】2015年2月18日 申请日期:2014年12月10日 优先权日:2014年12月10日
【发明者】刘嘉华, 陈龙, 夏飞, 袁国泉, 周晨曦, 万明, 唐海荣, 孙峰 申请人:国家电网公司, 南京南瑞集团公司, 南京南瑞信息通信科技有限公司, 江苏省电力公司, 江苏省电力公司信息通信分公司