告警关联规则匹配优先级排序方法、装置及存储介质转让专利
申请号 : CN202110241609.8
文献号 : CN112702215B
文献日 : 2021-07-02
发明人 : 王明辉 , 敖襄桥
申请人 : 新华三人工智能科技有限公司
摘要 :
权利要求 :
1.一种告警关联规则匹配优先级排序方法,其特征在于,所述方法包括:获取待排序的预先配置的告警关联规则;所述告警关联规则所包含的告警之间具有蕴含关系,每种蕴含关系中都包含父告警和子告警及父告警与子告警之间的有向因果关系;
根据所获取的告警关联规则中的告警及告警之间的蕴含关系构建有向无环的告警关联图;所述告警关联图中的每个节点对应一种告警,节点之间的边代表告警关联规则中的蕴含关系;
根据告警关联图所反映的告警关联规则之间的层级关系,基于下层告警关联规则的匹配优先级高于上层告警关联规则的匹配优先级的原则,对所获取的告警关联规则的匹配优先级进行排序。
2.根据权利要求1所述的方法,其特征在于,所述告警关联规则分为三类,分别为父子关联规则、衍生关联规则和频次关联规则;
父子关联规则体现某一种告警必然引起另一种告警的关联关系,父子关联规则中的父告警与子告警之间为一父一子或多父一子的蕴含关系;
衍生关联规则体现同源的多个不同告警与根源告警之间的关联关系,衍生关联规则中的根源告警与同源的多个不同告警之间为一父多子的蕴含关系;
频次关联规则体现预设时间周期内多次重复出现的同一类告警与派生的特殊告警之间的频次关联关系,频次关联规则中的特殊告警与多次重复出现的同一类告警之间为一父一子的蕴含关系。
3.根据权利要求1所述的方法,其特征在于,所述根据所获取的告警关联规则中的告警及告警之间的蕴含关系构建有向无环的告警关联图的方法为:对告警关联图进行初始化,将所获取的告警关联规则读取到规则列表List中;
每次从规则列表List中取出一个告警关联规则,将该告警关联规则插入到告警关联图中;循环执行该步骤直到处理完规则列表List中的所有告警管理规则;
所述将该告警关联规则插入到告警关联图中的方法为:将该告警关联规则包含的告警存入集合A;
每次从集合A中取出一个告警,判断告警关联图中是否存在该告警,若不存在,则将该告警添加到告警关联图中;循环执行该步骤直到处理完集合A中的所有告警;
根据该告警关联规则中告警之间的蕴含关系,在告警关联图中告警对应的节点之间增加有向边,并将有向边的属性设置为该告警关联规则。
4.根据权利要求3所述的方法,其特征在于,在执行所述将该告警关联规则插入到告警关联图中的步骤后,还包括:
判断告警关联图中是否存在环路,如果存在环路则终止构建告警关联图的处理流程,提示用户修改产生环路的相关告警关联规则。
5.根据权利要求1所述的方法,其特征在于,所述对所获取的告警关联规则的匹配优先级进行排序的方法为:
将告警关联图中所有的告警存入告警序列warn_list,告警序列warn_list中的每个元素对应告警关联图中的一个节点,每个元素都具有子告警数量son_num属性,子告警数量属性初始化为0;将告警关联图包含的所有告警关联规则存入规则列表rule_list中;建立用于存放告警关联规则优先级排序结果队列rule_queue;
根据规则列表rule_list中所有告警关联规则所包含的告警之间的蕴含关系,为告警序列warn_list中的每个元素设置子告警数量son_num属性值;
遍历规则列表rule_list,判断rule_list中每一个告警关联规则中的所有子告警的子告警数量son_num属性值是否都为0,将满足条件的告警关联规则添加到排序结果队列rule_queue中,同时从rule_list中删除满足条件的告警关联规则并将满足条件的告警关联规则中的父告警的子告警数量son_num属性值减去该规则子告警个数;重复执行该步骤,直到将rule_list中所有告警关联规则添加到排序结果队列rule_queue中,先加入到rule_queue中的告警关联规则的匹配优先级高于后加入的告警关联规则的匹配优先级。
6.一种告警关联规则匹配优先级排序装置,其特征在于,该装置包括:规则获取模块,用于获取预先配置的告警关联规则;所述告警关联规则所包含的告警之间具有蕴含关系,每种蕴含关系中都包含父告警和子告警及父告警与子告警之间的有向因果关系;
关联图构建模块,用于根据所获取的告警关联规则中的告警及告警之间的蕴含关系构建有向无环的告警关联图;所述告警关联图中的每个节点对应一种告警,节点之间的边代表告警关联规则中的蕴含关系;
规则排序模块,用于根据告警关联图所反映的告警关联规则之间的层级关系,基于下层告警关联规则的匹配优先级高于上层告警关联规则的匹配优先级的原则,对所获取的告警关联规则的匹配优先级进行排序。
7.根据权利要求6所述的装置,其特征在于,所述告警关联规则分为三类,分别为父子关联规则、衍生关联规则和频次关联规则;
父子关联规则体现某一种告警必然引起另一种告警的关联关系,父子关联规则中的父告警与子告警之间为一父一子或多父一子的蕴含关系;
衍生关联规则体现同源的多个不同告警与根源告警之间的关联关系,衍生关联规则中的根源告警与同源的多个不同告警之间为一父多子的蕴含关系;
频次关联规则体现预设时间周期内多次重复出现的同一类告警与派生的特殊告警之间的频次关联关系,频次关联规则中的特殊告警与多次重复出现的同一类告警之间为一父一子的蕴含关系。
8.根据权利要求6所述的装置,其特征在于,所述关联图构建模块包括:初始化模块,用于对告警关联图进行初始化,将所获取的告警关联规则读取到规则列表List中;
规则插入模块,用于将规则列表List中的告警关联规则插入到告警关联图中;
所述规则插入模块包括:
节点插入模块,用于将告警关联规则中包含的告警到告警关联图;
边设置模块,用于根据该告警关联规则中告警之间的蕴含关系,在告警关联图中告警对应的节点之间增加有向边,并将有向边的属性设置为该告警关联规则;
环路检测模块,用于判断告警关联图中是否存在环路,如果存在环路则终止构建告警关联图的处理流程,提示用户修改产生环路的相关告警关联规则。
9.根据权利要求6所述的装置,其特征在于,所述规则排序模块包括:初始化模块,用于将告警关联图中所有的告警存入告警序列warn_list,告警序列warn_list中的每个元素对应告警关联图中的一个节点,每个元素都具有子告警数量son_num属性,将子告警数量属性初始化为0;将告警关联图包含的所有告警关联规则存入规则列表rule_list中;建立用于存放告警关联规则优先级排序结果队列rule_queue;
子告警数量设置模块,用于根据规则列表rule_list中所有告警关联规则所包含的告警之间的蕴含关系,为告警序列warn_list中的每个元素设置子告警数量son_num属性值;
规则排序模块,用于遍历规则列表rule_list,判断rule_list中每一个告警关联规则中的所有子告警的子告警数量son_num属性值是否都为0,将满足条件的告警关联规则添加到排序结果队列rule_queue中,同时从rule_list中删除满足条件的告警关联规则并将满足条件的告警关联规则中的父告警的子告警数量son_num属性值减去该规则子告警个数;
重复执行该步骤,直到将rule_list中所有告警关联规则添加到排序结果队列rule_queue中,先加入到rule_queue中的告警关联规则的匹配优先级高于后加入的告警关联规则的匹配优先级。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序当被处理器执行时实施如权利要求1至5中任一项所述的方法步骤。
说明书 :
告警关联规则匹配优先级排序方法、装置及存储介质
技术领域
背景技术
求通信网络必须具有极高的可靠性和安全性,当复杂的网络结构中的某些节点出现通信故
障时,必须能够自动、快速、智能地诊断故障,定位故障,并有效地进行网络的恢复,这也是
网络管理的重要研究内容和实现目标。现代通信网络在运行中一般都具有完备的日志系
统,对网络的运行状态、操作记录、报警状态、报警恢复情况等都有实时记录。
数据提取和分析,获取其中有重要意义的网络告警信息;再利用合适的故障诊断方法,建立
诊断引擎,实现故障发现和定位,已成为近年来一种常用的研究思路。
定的告警之间的关联规则,系统可推测出新来的一组告警中的决定性告警,根据它定位故
障的根源原因,使用户能够查到故障所影响的设备和链路信息和其影响的业务。
则对告警组中的告警进行关联分析,从而得到对应的聚合告警组。由于应用于告警组进行
关联分析的告警规则可能有多个,且具有不同的匹配优先级,在应用关联规则库中的关联
规则对告警序列进行规则匹配时,需要解决规则匹配优先级的问题,一般采用用户手工指
定优先级的方式。然而手工指定规则优先级非常繁琐,当关联规则数据较大时,工作量大且
极易出错,导致最终的规则匹配结果与预期不一致。此外,新添加的规则也会对原有规则库
的匹配结果造成影响。
发明内容
有向因果关系;
一父一子的蕴含关系。
关联规则中的蕴含关系;
联规则的匹配优先级进行排序。
的告警关联规则并输出,先提取的告警关联规则的匹配优先级高于后输出的告警关联规则
的匹配优先级。
理流程,直到构建出一个有向无环的告警关联图。
性,子告警数量属性初始化为0;将告警关联图包含的所有告警关联规则存入规则列表
rule_list中;建立用于存放告警关联规则优先级排序结果队列rule_queue;
序结果队列rule_queue中,同时从rule_list中删除满足条件的告警关联规则并将满足条
件的告警关联规则中的父告警的子告警数量son_num属性值设置为0;重复执行该步骤,直
到将rule_list中所有告警关联规则添加到排序结果队列rule_queue中,先加入到rule_
queue中的告警关联规则的匹配优先级高于后加入的告警关联规则的匹配优先级。
在获取到待排序的预先配置的告警关联规则后,基于规则中告警之间的蕴含关系,构建告
警关联图,然后按照告警压缩最大化原则根据告警关联图所反映的告警关联规则之间的层
级关系,基于下层告警关联规则的匹配优先级高于上层告警关联规则的匹配优先级的原
则,对所获取的告警关联规则的匹配优先级进行排序。本公开能够实现告警关联规则的自
动排序,有效规避了手工指定规则优先级的各种问题,提高了告警分析效率。
部署在一个硬件设备上实施上述方法的所有步骤,也可分散部署在不同硬件设备上由多个
硬件设备分别实施上述方法中的一个或若干步骤从而共同实施以实现本公开的目的。当由
多个硬件设备共同实施时,由于各硬件设备之间相互协作的目的是共同实现本公开的目
的,一方的动作和处理结果确定了另一方的动作执行的时机及可能获得的结果,因此,在逻
辑上可视为各模块彼此之间具有相互指挥和控制关系。本公开一实施例以应用在一个节点
为例,将该装置200包括:
的有向因果关系;
间的边代表告警关联规则中的蕴含关系;
所获取的告警关联规则的匹配优先级进行排序。
num属性,将子告警数量属性初始化为0;将告警关联图包含的所有告警关联规则存入规则
列表rule_list中;建立用于存放告警关联规则优先级排序结果队列rule_queue;
值;
添加到排序结果队列rule_queue中,同时从rule_list中删除满足条件的告警关联规则并
将满足条件的告警关联规则中的父告警的子告警数量son_num属性值设置为0;重复执行该
步骤,直到将rule_list中所有告警关联规则添加到排序结果队列rule_queue中,先加入到
rule_queue中的告警关联规则的匹配优先级高于后加入的告警关联规则的匹配优先级。
310与存储介质330可以通过通信总线320相互通信。存储介质330内存储有计算机程序,当
该计算机程序被处理器310执行时即可实现本公开提供的方法的各步骤。
介质还可以是至少一个位于远离前述处理器的存储装置。处理器可以是通用处理器,包括
中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还
可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application
Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field‑Programmable Gate
Array,FPGA)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
附图说明
附图仅仅是本公开中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本公
开实施例的这些附图获得其他的附图。
具体实施方式
除非上下文清楚地表示其它含义。本公开中使用的术语“和/或”是指包含一个或多个相关
联的列出项目的任何或所有可能组合。
在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息
也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……
时”或“当……时”或“响应于确定”。
手工指定关联规则的匹配优先级的方式效率非常低且非常繁琐,当规则数据较大时,工作
量大且极易出错。
“蕴含”关系,将告警关联规则所包含的告警形成一个DAG图,然后根据告警压缩最大化原则
对告警关联规则进行匹配优先级排序,从而实现告警关联规则的匹配优先级的自动配置。
含关系,蕴含关系用于表征事件A导致事件B发生的内在逻辑关系。
同时收到S告警和C告警。此时认为S告警为父告警,主告警S引发了次告警C。这种情况下,将
上述告警之间的关联规则记做:
A用户。
配。
涉及的告警关联规则定义的不合适,需要做修改,修改后再次构建告警关联图并再次验证,
直到形成一个有向无环图。
联图的示例,其中的告警关联规则为rule1: warn 1→warn2,warn3。其中父告警warn 1是
上层节点,warn2,warn3的其子节点。
述图4和图5中的rule1和rule2构建的告警关联图。
行修改。
联图必需是有向无环图DAG图,因此需要修改相关的规则配置,例如将rule3去掉。
循环执行步骤A22,直到处理完集合A中的所有告警。
告警关联图,直到生成一个有向无环的告警关联图。
配时要尽量减小告警序列的长度,以实现告警压缩、告警摘要的目的。为实现该目的,规则
匹配应该从告警关联图的下游节点向上游节点滑动,才能使得规则应用个数最大化。
先排序算法等,本公开不做特别限定。
属性,在初始化时将告警序列中的所有元素的son_num属性初始化为0,将告警关联图所涉
及的所有告警关联规则即告警关联规则库中的告警关联规则存入规则列表rule_list中;
warn1.son_num =warn1.son_num+2。
warn1.son_num = warn1.son_num+1,warn2.son_num = warn2.son_num+1,即在原属性值
的基础上加1。
从rule_list中删除所筛选出的子告警数量为0的所有下游规则,同时更新warn_list中子
告警数量为0的下游规则中的父告警的son_num属性值(减去该规则子告警个数)。
rule2的父告警,warn5为rule2的子告警。
warn3.son_num=1,因此不符合条件,rule1为非下游规则。同理,由于rule2只有一个子告警,且
子告警warn5.son_num=0,符合条件,所以rule2为下游规则,将rule2从rule_list中摘除并将
其添加到rule_queue中,同时修改warn3和warn4的子告警数量属性值。完成该步骤后,当前
的结果状态如下:
件。将rule2从rule_list中摘除并将其添加到rule_queue中,同时修改warn1的子告警数量
属性值为0。由于此时,rule_list已为空,所以循环处理结束。
rule1进行匹配。
即可自动完成告警关联规则的优先级排序,该方法满足了告警压缩最大化的要求,提高了
告警优先级关联关系分析的整体效率,具有很好的技术效果和重要的意义。
括配置有计算机程序的非暂时性存储介质在计算机程序中实现,其中如此配置的存储介质
使得计算机以特定和预定义的方式操作。每个程序可以以高级过程或面向对象的编程语言
来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情
况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路
上运行。此外,可按任何合适的顺序来执行本公开描述的过程的操作,除非本公开另外指示
或以其他方式明显地与上下文矛盾。本公开描述的过程(或变型和/或其组合)可在配置有
可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理
器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或
其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本公开的各方面可以以存
储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算
平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当
存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此
外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器
或其他数据处理器实现上文所述步骤的指令或程序时,本公开包括这些和其他不同类型的
非暂时性计算机可读存储介质。当根据本公开所述的方法和技术编程时,本公开还包括计
算机本身。
替换、改进等,均应包含在本公开的保护范围之内。