一种告警关联规则挖掘方法、规则挖掘引擎及系统的制作方法

专利名称：一种告警关联规则挖掘方法、规则挖掘引擎及系统的制作方法
技术领域：
本发明实施例涉及通信技术领域，特别是涉及一种告警关联规则挖掘方法、规则 挖掘引擎及系统。
背景技术：
在通信网络运行过程中，电信设备每天都会产生大量告警，而且一个设备故障会 引起其他设备产生告警。70年代有人提出了使用规则引擎根据告警关联规则自动处理电信 告警。随着网络的发展，网络结构越来越复杂，电信设备之间的关系也越来越复杂，导致人 工很难完整的定义告警关联规则。在告警关联规则挖掘领域，有人提出将频繁模式的挖掘技术应用于告警关联规则 的挖掘，频繁模式即事件序列上频繁出现且相互临近并有一定结构关系的事件类型的集 合。频繁模式可以认为是关联规则。对于频繁模式的挖掘，有人提出在事件序列中滑动窗 口的WinEPI算法。现有技术中WinEPI算法被应用于告警关联规则的挖掘，该算法利用滑 动窗口来指定事件在时间上的相邻程度并发现事件序列中事件间在时间上的偏序关系。具体的，应用到告警关联规则挖掘中，每一条告警就是一个事件，每条告警的所属 网元、所属地域和所属设备名称就是该事件的属性。而网元的集合、地域集合及设备的集 合则分别是对应的属性域。事件序列即一系列有顺序的事件集合，并且每个事件都有一个 与其相关联的发生时间，网络中的告警日志或告警数据库便是待分析的事件序列。如图1 所示，为一个抽象的事件序列的例子，其中时间窗口是一个半开半闭的时间区间，如[35， 40)，包含告警事件<A，35>，不包含告警事件〈F，40>。窗口滑动步长指两个连续窗口的起始 时间之差，取值不大于时间窗口的长度。一个时间窗口中的告警序列即是一个事务。不包 含任何事件的窗口称为无效窗口，在计算一个事件序列上的窗口总数时，不统计无效窗口。发明人在实现本发明的过程中，发现在电信网络中，告警之间的频繁程度相差很 大，有些告警经常发生，有些告警较少发生，如图2所示，告警α是经常发生的告警，在一个 时间段内连续多次发生；告警B是偶然告警，在一个时间段内发生一次或少数几次。告警A 和告警B之间实际上没有关联关系(因为无论告警B是否发生，告警A发生的概率都接近 100% )，但采用现有的WinEPI算法挖掘告警关联规则的应用过程中，会误认为告警A和告 警B之间有强关联关系(即模式5 j是强关联规则)，从而现有技术输出的关联规则结果 集中会存在虚假规则。

发明内容
本发明实施例提供一种告警关联规则挖掘方法、规则挖掘引擎及系统，以减少关 联规则结果集中的虚假规则。本发明实施例提供如下技术方案一方面，本发明实施例提供一种告警子系统，包括规则挖掘引擎，用于获得告警序列，所述告警序列包括多条告警，每条告警至少用告警类型属性和告警发生时间表示，N为该告警序列的总告警类型数；计算每个k_项集的 支持度，得到包含支持度不小于最小支持度的k_项集的k_项频繁项集集合，其中k_项集 表示k种告警类型的集合，k = {1，2，. . .，L，. . .，N}；由该k-项频繁项集集合生成k+Ι-项 频繁项集集合；针对该k+Ι-项频繁项集集合中的每个k+Ι-项频繁项集，根据该k+Ι-项频 繁项集所包含的k+Ι个1-项集的支持度中的最大值和该k+Ι-项频繁项集的支持度，计算 该k+Ι-项频繁项集的极大置信度；并将极大置信度不小于最小置信度的k+Ι-项频繁项集 作为关联规则加入关联规则结果集；规则推理引擎，用于接收所述规则挖掘引擎输出的关联规则结果集，并对输入的 告警与所述关联规则结果集中的关联规则进行匹配，根据匹配结果以关联的告警处理方式
处理所述告警。另一方面，本发明实施例提供一种告警关联规则的挖掘方法，该方法包括获得告警序列，所述告警序列包括多条告警，每条告警至少用告警类型属性和告 警发生时间表示；计算每个k_项集的支持度，得到k_项频繁项集集合，该k_项频繁项集集合包含 支持度不小于最小支持度的k-项集，其中，k = {1，2，. . .，L，. . .，N}，k-项集表示k种告 警类型的集合，N为该告警序列中总告警类型数；由该k_项频繁项集集合生成k+Ι-项频繁项集集合；针对该k+Ι-项频繁项集集合中的每个k+Ι-项频繁项集，根据该k+Ι-项频繁项 集所包含的k+Ι个1-项集的支持度中的最大值和该k+Ι-项频繁项集的支持度，计算该 k+Ι-项频繁项集的极大置信度；将极大置信度不小于最小置信度的k+Ι-项频繁项集作为 关联规则加入关联规则结果集。另一方面，本发明实施例提供一种告警关联规则的规则挖掘引擎，包括告警获得单元，用于获得告警序列，所述告警序列包括多条告警，每条告警至少用 告警类型属性和告警发生时间表示；执行单元，用于计算每个k_项集的支持度，得到k_项频繁项集集合，该k_项频繁 项集集合包含支持度不小于最小支持度的k-项集；由该k-项频繁项集集合生成k+Ι-项频 繁项集集合，针对该k+Ι-项频繁项集集合中的每个k+Ι-项频繁项集，根据该k+Ι-项频繁 项集所包含的k+Ι个1-项集的支持度中的最大值和该k+Ι-项频繁项集的支持度，计算该 k+Ι-项频繁项集的极大置信度；将极大置信度不小于最小置信度的k+Ι-项频繁项集作为 关联规则加入关联规则结果集，其中，k = {1，2，. . .，L，. . .，N}，k-项集表示k种告警类型 的集合，N为该告警序列中总告警类型数。另一方面，本发明实施例提供一种网络管理系统，包括电信设备和所述的告警子 系统。可见，本发明实施例在告警关联规则的挖掘过程中，通过使用新定义的极大置信 度，由规则挖掘引擎根据k+Ι-项频繁项集所包含的k+Ι个ι-项集的支持度中的最大值和 该k+Ι-项频繁项集的支持度，计算该k+Ι-项频繁项集的极大置信度，并将极大置信度不小 于最小置信度的k+Ι-项频繁项集加入关联规则结果集，这样的话，由该k+Ι-项频繁项集 (亦即模式)得到的所有规则(即规则的前件和后件为该模式的子集)的传统置信度均不 小于最小置信度，从而可以认为该k+Ι-项频繁项集中的所有项(亦即告警类型)均同时出现的概率会很大，由此该k+l_项频繁项集中的所有项可认为构成一种强亲密度关联模式， 表达的关联程度更强。从而，本发明实施例相对于现有技术，在告警关联规则的挖掘过程 中，减少了由于置信度参数的影响而产生的虚假规则，从而减少关联规则结果集中的虚假 规则减少关联规则结果集中的虚假规则。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明 的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根 据这些附图获得其他的附图。图1为一个抽象的事件序列示例；图2为一个告警序列的示例；图3为本发明实施例的一种告警子系统的结构示意图；图4为本发明实施例的一种告警关联规则的挖掘方法的流程示意图；图5为本发明实施例的另一种告警关联规则的挖掘方法的流程示意图；图6为本发明实施例的涉及的告警序列T的示例；图7a为本发明实施例的一种告警关联规则的挖掘方法的交互示意图；图7b为本发明实施例的一种网络管理系统的结构示意图；图8a为本发明实施例的另一种告警关联规则的挖掘方法的交互示意图；图8b为本发明实施例的另一种网络管理系统的结构示意图；图9为本发明实施例的一种规则挖掘引擎的结构示意图；图10为本发明实施例的应用于告警子系统中的一种规则挖掘引擎的结构示意 图；图11为本发明实施例的应用于告警子系统中的另一种规则挖掘引擎的结构示意 图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例 中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是 本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。首先介绍本发明实施例的告警关联规则挖掘方案涉及的相关定义，如下告警每条告警至少用告警类型属性和告警发生时间来表示，每条告警可以以一 个二元组(A，t)表示，A表示告警类型属性，t表示告警发生时间。需要说明的是，告警类 型属性至少可以由告警类型字段和告警网元ID字段组合表示，进一步的，告警类型字段至 少可以用告警类型ID、告警子类型ID组合表示。告警序列T 由一系列具有时间偏序关系的告警组成的序列，时间区间为[Ts， Tmd]，这里的Ts表示起始时间，Tend表示结束时间。项集表示告警类型的集合，其中山表示告警类型。包含k个项的项集称为k_项集，这里的项表示一种告警类型。具体的，k_项集表示k种告警类型的集合，1-项集表示一 种告警类型的集合，如ii为1-项集，i2，. . .，ik为k_项集。k_项集简称为P (k)，不包 含ik项的k-项集简称为P(k+l)/ik。项集也可以理解为模式。
α发生的窗P数 支持度k_项集的支持度定义为sup( ) =, α表示k_项集，如
2，...，ik，举例说明，α发生的窗口数指的是告警类型“，“，…-，“共同发生的窗口
ι” ι
数。特别的，I-项集h的支持度定义为=Sup(Zi) = -
;发生的窗口数 总窗口数
.需要说明的是，最小支
持度min_SUp可以是人工指定的阈值。极大置信度k_项集的极大置信度定义为
^ , 、sup⑷Confmax ⑷=■
r 、 、 T7T^ii表示告警类型，α表示k-项集，如 max [ SupO1 )，sup(z2),..., sup(zt)]
I1, i2，...，ik。特别的，1-项集不定义极大置信度。需要说明的是，最小置信度min_Conf· 可以是人工指定的阈值。频繁项集支持度不小于最小支持度的项集称为频繁项集。关联规则极大置信度不小于最小置信度的频繁项集称为关联规则。极大关联规 则定义为=Rulefflax = U1I2. · · ik}，Ii表示告警类型。请参阅图3，为本发明实施例的一种告警子系统，该告警子系统用于管理电信设备 告警，如图3所示，本发明实施例的告警子系统包括规则挖掘引擎10，用于获得告警序列，所述告警序列包括多条告警，每条告警至少 用告警发生时间和告警类型属性表示，N为该告警序列的总告警类型数；计算每个k_项集 的支持度，得到包含支持度不小于最小支持度的k_项集的k_项频繁项集集合，其中k_项 集表示k种告警类型的集合，k= {1，2，...，L，...，N}；由该k-项频繁项集集合生成k+1-项 频繁项集集合；针对该k+Ι-项频繁项集集合中的每个k+Ι-项频繁项集，根据该k+Ι-项频 繁项集所包含的k+Ι个1-项集的支持度中的最大值和该k+Ι-项频繁项集的支持度，计算 该k+Ι-项频繁项集的极大置信度；并将极大置信度不小于最小置信度的k+Ι-项频繁项集 作为关联规则加入关联规则结果集；规则推理引擎20，用于接收规则挖掘引擎10输出的关联规则结果集，并对输入的 告警与所述关联规则结果集中的关联规则进行匹配，根据匹配结果以关联的告警处理方式 处理所述告警。具体的，这里的告警处理方式可以是对告警字段进行过滤、合并、修改或删 除处理等等，也可以是不做任何处理。在一种实现方式下，规则推理引擎20具体用于接收规则挖掘引擎10输出的关联 规则结果集，并对输入的告警与该关联规则结果集中的关联规则进行匹配，根据匹配结果 执行预先定义的告警处理动作。例如如果输入的告警能匹配关联规则{AC}，则处理能匹 配该关联规则的告警，这里的告警处理动作可以是上述的删除、过滤、合并或修改告警字段 等操作中的一种或多种。应当理解的是，这里的告警处理动作具体可根据业务需求而定。如 果输入的告警与关联规则A = >B无法匹配，可以不做任何改动。应当理解的是，也可以改 变告警字段，具体可根据业务需求而定。进一步的，本发明实施例的告警子系统可以包括告警存储设备30，用于存储电
8信设备产生的告警。这里存储的告警可以是电信设备产生的原始告警，也可以是处理后的
生敬口目。相应的，规则挖掘引擎10具体用于从告警存储设备30读取告警序列，所述告警序 列包括多条告警，每条告警至少用告警发生时间和告警类型属性表示，N为该告警序列的总 告警类型数；计算每个k-项集的支持度，得到包含支持度不小于最小支持度的k-项集的 k-项频繁项集集合，其中k-项集表示k种告警类型的集合，k = {1，2，. . .，L，. . .，N}；由 该k-项频繁项集集合生成k+Ι-项频繁项集集合；针对该k+Ι-项频繁项集集合中的每个 k+l_项频繁项集，根据作为分母的、该k+Ι-项频繁项集所包含的k+Ι个1-项集的支持度中 的最大值和作为分子的、该k+Ι-项频繁项集的支持度，计算该k+Ι-项频繁项集的极大置信 度；并将极大置信度不小于最小置信度的k+Ι-项频繁项集作为关联规则加入关联规则结 果集。相应的，规则推理引擎20进一步用于将处理后的告警保存到告警存储设备30。应 当理解，这里的告警存储设备30具体可以是告警数据库，数量可以是一个或多个。可见，本发明实施例相对于现有技术，在告警关联规则的挖掘过程中， 通过使用新定义的极大置信度，减少了由于置信度参数的影响而产生的虚假规 则，从而减少关联规则结果集中的虚假规则。具体的正如本领域技术人员所 知，多种告警类型同时发生的概率越大，则所述多种告警类型它们之间就越可能 具有强关联关系，现有WinEPI算法中，针对频繁模式P = I1, i2，...，ik，ik+1，其 支持度为sup(P)，则由该模式得到所有满足条件的关联规则的方法如下如果
SUp( P)
“《/(Α -Z2,…人，D =ccw/，则认为属于满足条件的关联规则。同理，计
SupO1)
算 con/0_2 => IlJi,...,IkJk^Xconfiii ix,.i2,..,ik+X..,conf{ik+l =^ 々,々,..·,、),满足条件则保
留规则。这些规则在计算置信度时，分子都相同，不同的是分母，即分母为该模式中各个项 (即告警类型)的支持度。相对于现有技术，本发明实施例的告警子系统中，由规则挖掘引 擎根据作为分母的、k+Ι-项频繁项集所包含的k+Ι个1-项集的支持度中的最大值和作为 分子的、该k+Ι-项频繁项集的支持度，计算该k+Ι-项频繁项集的极大置信度，并将极大置 信度不小于最小置信度的k+Ι-项频繁项集加入关联规则结果集，这样的话，由该k+Ι-项频 繁项集(亦即模式)得到的所有规则(即规则的前件和后件为该模式的子集)的传统置信 度均不小于最小置信度，从而可以认为该k+Ι-项频繁项集中的所有项(亦即告警类型)均 同时出现的概率会很大，由此该k+Ι-项频繁项集中的所有项可认为构成一种强亲密度关 联模式，表达的关联程度更强。进一步的，本发明实施例在告警关联规则的挖掘过程中，减缓了现有WinEPI算法 可能导致内存不足的问题。具体的由于使用了滑动窗口，窗口中的告警顺序无法表示告 警之间的实际衍生关系，另外，由于电信网络中存在传输、延时、丢失等问题，进一步干扰了 告警顺序。实际应用中，规则X => 5和5 =^ 2往往会共同出现，并且规则乂 5在实际中并 不能表示告警A是告警B的根源告警。因此这种前后件的规则定义在电信告警挖掘中意义 不大，考虑到这些，本发明实施例通过考察“告警A和告警B同时发生”的概率，相对于现有 WinEPI算法考察“告警A发生的情况下告警B发生”的概率的情况，从而减缓现有WinEPI 方法中候选项集的数量太多所导致的内存不足问题。
请参阅图4，为本发明实施例的一种告警关联规则的挖掘方法的流程示意图，可以 应用于如图3所示的告警子系统中的规则挖掘引擎，该方法可以包括如下步骤S401、获得告警序列，所述告警序列包括多条告警，每条告警至少用告警类型属性 和告警发生时间表示；具体的，根据配置的告警序列T的起始时间和结束时间从告警数据库中读取发生 在所述起始时间和结束时间之间的告警。每条告警表示为二元组形式(A，t)，这里的A表示告警特征属性，t表示告警发生 时间。S402、计算每个k-项集的支持度，得到k-项频繁项集集合，该k-项频繁项集集合 包含支持度不小于最小支持度的k-项集，其中，k = {1，2，...，L，...，N}，k-项集表示k 种告警类型的集合，N为该告警序列中总告警类型数；应当理解的是，本发明实施例方法从k = 1开始执行，即计算告警序列中每种告警 类型的支持度。S403、由该k-项频繁项集集合生成k+Ι-项频繁项集集合，其中k= {1,2,..., L，· · ·，N}；S404、针对该k+Ι-项频繁项集集合中的每个k+Ι-项频繁项集，根据该k+Ι-项频 繁项集所包含的k+Ι个ι-项集的支持度中的最大值和该k+Ι-项频繁项集的支持度，计算 该k+Ι-项频繁项集的极大置信度；将极大置信度不小于最小置信度的k+Ι-项频繁项集作 为关联规则加入关联规则结果集。具体的，根据作为分母的、该k+Ι-项频繁项集所包含的k+Ι个1-项集的支持度中 的最大值和作为分子的、该k+Ι-项频繁项集的支持度，计算该k+Ι-项频繁项集的极大置信 度；如果所述极大置信度不小于最小置信度，将该k+Ι-项频繁项集加入关联规则结果集。在一种实现方式下，S401包括根据配置的告警序列的起始时间和结束时间，以 及告警关键字段从告警存储设备中读取发生在所述起始时间和结束时间之间的告警的关 键属性，并输出告警序列，所述告警序列中的每条告警用二元组形式(A，t)表示，A表示告 警类型属性，t表示告警发生时间；相应的，本实施例方法进一步包括统计所述告警序列中告警的类型，N为所述告 警序列中总告警类型数。在另一种实现方式下，S401包括根据配置的告警序列的起始时间和结束时间， 从告警存储设备中读取发生在所述起始时间和结束时间之间的告警序列；相应的，本实施例方法进一步包括根据配置的告警关键字段将所述告警序列中 的每条告警数据转换为规范的二元组形式(A，t)，输出规范化后的告警序列并统计所述规 范化后的告警序列T中告警的类型，其中A表示告警类型属性，t表示告警发生时间，N为所 述规范化后的告警序列T中总告警类型数。可见，本发明实施例相对于现有技术，在告警关联规则的挖掘过程中， 通过使用新定义的极大置信度，减少了由于置信度参数的影响而产生的虚假规 则，从而减少关联规则结果集中的虚假规则。具体的正如本领域技术人员所 知，多种告警类型同时发生的概率越大，则所述多种告警类型它们之间就越可能 具有强关联关系，现有WinEPI算法中，针对频繁模式P = I1, i2，...，ik，ik+1，其
10支持度为sup(P)，则由该模式得到所有满足条件的关联规则的方法如下如果
SUp( P)
conf{ix 二。…，HJ-^^^^mir^mn/，则认为属于满足条件的关联规则。同理，计
supO,)
算=> χ, ^,..., Η, Μ),confix => ix,.i2,..,ik+x),...,conf{ik+x =>、义,…,、),满足条件则保
留规则。这些规则在计算置信度时，分子都相同，不同的是分母，即分母为该模式中各个项 (即告警类型)的支持度。相对于现有技术，本发明实施例的告警子系统中，由规则挖掘引 擎根据作为分母的、k+Ι-项频繁项集所包含的k+Ι个1-项集的支持度中的最大值和作为 分子的、该k+Ι-项频繁项集的支持度，计算该k+Ι-项频繁项集的极大置信度，并将极大置 信度不小于最小置信度的k+Ι-项频繁项集加入关联规则结果集，这样的话，由该k+Ι-项频 繁项集(亦即模式)得到的所有规则(即规则的前件和后件为该模式的子集)的传统置信 度均不小于最小置信度，从而可以认为该k+Ι-项频繁项集中的所有项(亦即告警类型)均 同时出现的概率会很大，由此该k+Ι-项频繁项集中的所有项可认为构成一种强亲密度关 联模式，表达的关联程度更强。进一步的，本发明实施例在告警关联规则的挖掘过程中，减缓了现有WinEPI算法 可能导致内存不足的问题。具体的由于使用了滑动窗口，窗口中的告警顺序无法表示告 警之间的实际衍生关系，另外，由于电信网络中存在传输、延时、丢失等问题，进一步干扰了 告警顺序。实际应用中，规则乂 =>万和5 =^ 乂往往会共同出现，并且规则X = 5在实际中并 不能表示告警A是告警B的根源告警。因此这种前后件的规则定义在电信告警挖掘中意义 不大，考虑到这些，本发明实施例通过考察“告警A和告警B同时发生”的概率，相对于现有 WinEPI算法考察“告警A发生的情况下告警B发生”的概率的情况，从而减缓现有WinEPI 方法中候选项集的数量太多所导致的内存不足问题。请参阅图5，为本发明实施例的另一种告警关联规则的挖掘方法的流程示意图，可 以应用于如图3所示的告警子系统中的规则挖掘引擎，其中输入告警序列T，告警类型 I= {‘“，···，in}，模式 α = IljI2,... ,ik(k^n), 时间窗口长度win，窗口滑动步长st印。输出关联规则结果集。其中，该方法可以包括如下步骤S501、读取告警序列T，并进行预处理，即根据时间窗口长度win和窗口滑动步长 step将该告警序列T划分为多个窗口 具体的，从告警序列T的起始时间0开始，
极大置信度，其中 ^axUsupi^), sup(i2), ···, sup (ik), sup (ik+1)]表示 sup (“)中的最大值。如果Confmax(I1, i2，…，ik，ik+1)彡min_conf，则进入步骤S507 ；反之，可以丢弃。S507、将极大置信度不小于最小置信度的k+Ι-项频繁项集作为关联规则加入关 联规则结果集。Sk = k+Ι，返回执行步骤S503。S508、合并关联规则结果集中具有包含关系的关联规则，保留极大规则，输出合并 后的关联规则结果集。这是可选步骤。流程结束。可见，本发明实施例相对于现有技术，在告警关联规则的挖掘过程中， 通过使用新定义的极大置信度，减少了由于置信度参数的影响而产生的虚假规 则，从而减少关联规则结果集中的虚假规则。具体的正如本领域技术人员所 知，多种告警类型同时发生的概率越大，则所述多种告警类型它们之间就越可能 具有强关联关系，现有WinEPI算法中，针对频繁模式P = I1, i2，...，ik，ik+1，其 支持度为sup(P)，则由该模式得到所有满足条件的关联规则的方法如下如果
12SUp( P)
CW^AZ1 =>、.··,々,Dz^r^min—con/，则认为属于满足条件的关联规则。同理，计
SupO1)
conf(i2 I1,i3,...,ik,iM),Confii3 => ix,.i2,..,iM),...,conf(ik+x =>《·2,·",、)，满足条件则保
留规则。这些规则在计算置信度时，分子都相同，不同的是分母，即分母为该模式中各个项 (即告警类型)的支持度。相对于现有技术，本发明实施例的告警子系统中，由规则挖掘引 擎根据作为分母的、k+1-项频繁项集所包含的k+Ι个ι-项集的支持度中的最大值和作为 分子的、该k+Ι-项频繁项集的支持度，计算该k+Ι-项频繁项集的极大置信度，并将极大置 信度不小于最小置信度的k+Ι-项频繁项集加入关联规则结果集，这样的话，由该k+Ι-项频 繁项集(亦即模式)得到的所有规则(即规则的前件和后件为该模式的子集)的传统置信 度均不小于最小置信度，从而可以认为该k+Ι-项频繁项集中的所有项(亦即告警类型)均 同时出现的概率会很大，由此该k+Ι-项频繁项集中的所有项可认为构成一种强亲密度关 联模式，表达的关联程度更强。进一步的，本发明实施例在告警关联规则的挖掘过程中，减缓了现有WinEPI算法 可能导致内存不足的问题。具体的由于使用了滑动窗口，窗口中的告警顺序无法表示告 警之间的实际衍生关系，另外，由于电信网络中存在传输、延时、丢失等问题，进一步干扰了 告警顺序。实际应用中，规则j =^ 5和5 =^ X往往会共同出现，并且规则j = 5在实际中并 不能表示告警A是告警B的根源告警。因此这种前后件的规则定义在电信告警挖掘中意义 不大，考虑到这些，本发明实施例通过考察“告警A和告警B同时发生”的概率，相对于现有 WinEPI算法考察“告警A发生的情况下告警B发生”的概率的情况，从而减缓现有WinEPI 方法中候选项集的数量太多所导致的内存不足问题。进一步的，本发明实施例在告警关联规则的挖掘过程中，提高了挖掘速度，从而提 高了系统处理性能。具体的在现有技术方案中，由k-项频繁项集生成k+Ι-项候选项集 时，过程如下设 i2,... , ik-i; ik 和 i2,... , ik-i; ik+1 为 k-项频繁项集，记为 P (k+1) / ik+1和P(k+l)/ik，即k+1-项集P (k+1)分别去掉ik+1和ik后得到的项集。然后查找如下 k_项集P (k+1)/、P(k+l)/i2，...，P (k+1)/V1是否都是频繁项集。若都存在，则P (k+1) 为k+Ι-项候选项集，然后将所有的k+Ι-项候选项集统计支持度，检查是否满足最小支持 度的要求。采用本发明实施例的极大置信度定义后，要求P(k+1)满足新的置信度要求，即 supC^ + l)) ^ . r
max(sup(; )) mm-con^。sup (P (k+1))彡 max (sup (Ii)) Xmin_conf,根据 Apriori 性质
所有频繁项集的子集必然是频繁项集，所以P(k+1)的任意子集都必须满足sup ((P (k+1) 的任意子集)彡max(SupGi))Xmin_Conf。这样，对于每个频繁项，我们都已经记录了其 支持度，在由P (k+1)/ik+1和P (k+1)/ik构造准k+1-项候选项集P (k+1)时，我们首先判断 min(sup(尸(众 +1)/ik+x)，sup(尸(Α: + 1)/ ' )) ^ . r
^)> mm_conf ’如果不成立，则说明P (k+Ι)不满足置
maxisup^,.))
信度条件，无需再判断每个子集是否是频繁项集，从而提高了告警关联规则的挖掘处理速 度，进而提高了系统处理性能。为了便于理解，下面结合一个实例来介绍本发明实施例方案如图6所示，为本发明实施例涉及的告警序列T，其中，告警序列T中共有三种类型 告警，分别为A、B、C，时间窗口长度为10秒，滑动步长为5秒，最小支持度0. 1，最小置信度0. 5。基于图6所示的告警序列下的告警关联规则的挖掘实例，介绍如下1、根据时间窗口和滑动步长将告警序列T划分为15个窗口，如图6中的 winl-winl5,分别计算告警类型A、B、C的支持度sup (A) = 13/15 = 0. 867 > 0. 1sup (B) = 5/15 = 0. 333 > 0. 1sup (C) = 8/15 = 0. 533 > 0. 1则生成1-项频繁项集集合{{A}，{B}，{C}}2、从1-项频繁项集集合中选取两个未被同时选择过的1-项集，这两个1-项集中 有0个项相同。本实例中，可选取{A}，{B}或{A}，{C}或{B}, {C}。

进入下一步权利要求
一种告警子系统，其特征在于，包括规则挖掘引擎，用于获得告警序列，所述告警序列包括多条告警，每条告警至少用告警类型属性和告警发生时间表示，N为该告警序列的总告警类型数；计算每个k 项集的支持度，得到包含支持度不小于最小支持度的k 项集的k 项频繁项集集合，其中k 项集表示k种告警类型的集合，k＝{1，2，...，L，...，N}；由该k 项频繁项集集合生成k+1 项频繁项集集合；针对该k+1 项频繁项集集合中的每个k+1 项频繁项集，根据该k+1 项频繁项集所包含的k+1个1 项集的支持度中的最大值和该k+1 项频繁项集的支持度，计算该k+1 项频繁项集的极大置信度；并将极大置信度不小于最小置信度的k+1 项频繁项集作为关联规则加入关联规则结果集；规则推理引擎，用于接收所述规则挖掘引擎输出的关联规则结果集，并对输入的告警与所述关联规则结果集中的关联规则进行匹配，根据匹配结果以关联的告警处理方式处理所述告警。
2.根据权利要求1所述的系统，其特征在于，所述系统进一步包括告警存储设备，用于存储电信设备产生的告警；所述规则挖掘引擎具体用于从告警存储设备读取告警序列，所述告警序列包括多条告 警，每条告警至少用告警类型属性和告警发生时间表示，N为该告警序列的总告警类型数； 计算每个k-项集的支持度，得到包含支持度不小于最小支持度的k-项集的k-项频繁项集 集合，其中k-项集表示k种告警类型的集合，k = {1，2，. . .，L，. . .，N}；由该k-项频繁项 集集合生成k+Ι-项频繁项集集合；针对该k+Ι-项频繁项集集合中的每个k+Ι-项频繁项 集，根据作为分母的、k+Ι-项频繁项集所包含的k+Ι个1-项集的支持度中的最大值和作为 分子的、该k+Ι-项频繁项集的支持度，计算该k+Ι-项频繁项集的极大置信度；并将极大置 信度不小于最小置信度的k+Ι-项频繁项集作为关联规则加入关联规则结果集；所述规则推理引擎进一步用于将处理后的告警保存到告警存储设备。
3.一种告警关联规则的挖掘方法，其特征在于，该方法包括获得告警序列，所述告警序列包括多条告警，每条告警至少用告警类型属性和告警发 生时间表示；计算每个k-项集的支持度，得到k-项频繁项集集合，该k-项频繁项集集合包含支持 度不小于最小支持度的k-项集，其中，k = {1，2，. . .，L，. . .，N}，k-项集表示k种告警类 型的集合，N为该告警序列中总告警类型数；由该k-项频繁项集集合生成k+Ι-项频繁项集集合；针对该k+Ι-项频繁项集集合中的每个k+Ι-项频繁项集，根据该k+Ι-项频繁项集所包 含的k+Ι个1-项集的支持度中的最大值和该k+Ι-项频繁项集的支持度，计算该k+Ι-项频 繁项集的极大置信度；将极大置信度不小于最小置信度的k+Ι-项频繁项集作为关联规则 加入关联规则结果集。
4.根据权利要求3所述的方法，其特征在于，所述根据该k+Ι-项频繁项集所包含的 k+Ι个1-项集的支持度中的最大值和该k+Ι-项频繁项集的支持度，计算该k+Ι-项频繁项 集的极大置信度，包括根据作为分母的、k+Ι-项频繁项集所包含的k+Ι个1-项集的支持度中的最大值和作 为分子的、该k+Ι-项频繁项集的支持度，计算该k+Ι-项频繁项集的极大置信度。
5.根据权利要求3或4所述的方法，其特征在于，所述由该k-项频繁项集集合生成 k+Ι-项频繁项集集合，包括从该k-项频繁项集集合中选取两个未被同时选择过的k-项集，所述两个k-项集中有 k_l 个项相同，k= {1，2，...，L，...，N}；取所述两个k-项集的合集生成k+Ι-项集，计算该k+Ι-项集的支持度，将支持度不小 于最小支持度的k+Ι-项集加入k+Ι-项频繁项集集合。
6.根据权利要求3或4所述的方法，其特征在于，所述方法进一步包括判断该k+Ι-项 频繁项集集合是否为空，如果该k+Ι-项频繁项集集合不为空，则执行计算所述k+Ι-项频繁 项集集合中的每个k+Ι-项频繁项集的极大置信度的步骤。
7.根据权利要求6所述的方法，其特征在于，如果该k+Ι-项频繁项集集合为空，所述方 法进一步包括合并所述关联规则结果集中具有包含关系的关联规则，并输出合并后的关 联规则结果集。
8.根据权利要求3或4所述的方法，其特征在于，所述获得告警序列，包括根据配置 的告警序列的起始时间和结束时间，以及告警关键字段从告警存储设备中读取发生在所述 起始时间和结束时间之间的告警的关键属性，并输出告警序列，所述告警序列中的每条告 警用二元组形式(A，t)表示，A表示告警类型属性，t表示告警发生时间；所述方法进一步包括统计所述告警序列中告警的类型，N为所述告警序列中总告警 类型数。
9.根据权利要求3或4所述的方法，其特征在于，所述获得告警序列，包括根据配置 的告警序列的起始时间和结束时间，从告警存储设备中读取发生在所述起始时间和结束时 间之间的告警序列；所述方法进一步包括根据配置的告警关键字段将所述告警序列中的每条告警数据转 换为规范的二元组形式(A，t)，输出规范化后的告警序列并统计所述规范化后的告警序列 中告警的类型，A表示告警类型属性，t表示告警发生时间，N为所述规范化后的告警序列中 总告警类型数。
10.一种告警关联规则的规则挖掘引擎，其特征在于，包括告警获得单元，用于获得告警序列，所述告警序列包括多条告警，每条告警至少用告警 类型属性和告警发生时间表示；执行单元，用于计算每个k-项集的支持度，得到k-项频繁项集集合，该k-项频繁项 集集合包含支持度不小于最小支持度的k-项集；由该k-项频繁项集集合生成k+Ι-项频 繁项集集合，针对该k+Ι-项频繁项集集合中的每个k+Ι-项频繁项集，根据该k+Ι-项频繁 项集所包含的k+Ι个1-项集的支持度中的最大值和该k+Ι-项频繁项集的支持度，计算该 k+Ι-项频繁项集的极大置信度；将极大置信度不小于最小置信度的k+Ι-项频繁项集作为 关联规则加入关联规则结果集，其中，k = {1，2，. . .，L，. . .，N}，k-项集表示k种告警类型 的集合，N为该告警序列中总告警类型数。
11.根据权利要求10所述的装置，其特征在于，所述装置进一步包括参数配置模块，用于接收并保存配置的参数，所述配置的参数包括最小置信度、最小 支持度、时间窗口长度、窗口滑动步长、告警关键字段、告警序列的起始时间和结束时间。
12.根据权利要求11所述的装置，其特征在于，所述告警获得单元为第一告警读取模块，用于根据所述配置的告警序列的起始时间和结束时间，以及告警关键字段从告警存储 设备中读取发生在所述起始时间和结束时间之间的告警的关键属性，并输出告警序列，其 中该告警序列中的每条告警用二元组形式(A，t)表示，A表示告警类型属性，t表示告警发 生时间；所述装置进一步包括第一告警规范化模块，用于统计所述告警序列中告警的类型，N 为该告警序列中总告警类型数；第一执行模块具体用于根据所述配置的所述时间窗口长度和窗口滑动步长将所述 的告警序列划分为多个窗口，并计算每个k-项集的支持度，得到k-项频繁项集集合，该 k-项频繁项集集合包含支持度不小于最小支持度的k-项集；由该k-项频繁项集集合生 成k+Ι-项频繁项集集合，针对该k+Ι-项频繁项集集合中的每个k+Ι-项频繁项集，根据该 k+Ι-项频繁项集所包含的k+Ι个1-项集的支持度中的最大值和该k+Ι-项频繁项集的支 持度，计算该k+Ι-项频繁项集的极大置信度；将极大置信度不小于最小置信度的k+Ι-项频 繁项集作为关联规则加入关联规则结果集，并向规则推理引擎21输出关联规则结果集，其 中，k = {1，2，. . .，L，. . .，N}，k-项集表示k种告警类型的集合，N为该告警序列中的总告 警类型数。
13.根据权利要求11所述的装置，其特征在于，进一步包括告警获得单元为第二告警读取模块，用于根据所述配置的告警序列的起始时间和结束 时间，从告警存储设备读取发生在所述起始时间和结束时间之间的告警序列；所述装置进一步包括第二告警规范化模块，用于根据所述配置的告警关键字段将所 述告警读取模块输出的告警序列中的每条告警数据转换为二元组形式(A，t)，输出规范化 后的告警序列并统计所述规范化后的告警序列中告警的类型，其中，N为所述规范化后的告 警序列中总告警类型数，A表示告警类型属性，t表示告警发生时间；第二执行模块具体用于根据所述配置的时间窗口长度和窗口滑动步长将所述的告警 序列划分为多个窗口，计算每个k-项集的支持度，得到k-项频繁项集集合，该k-项频繁 项集集合包含支持度不小于最小支持度的k-项集；由该k-项频繁项集集合生成k+Ι-项 频繁项集集合，针对该k+Ι-项频繁项集集合中的每个k+Ι-项频繁项集，根据该k+Ι-项频 繁项集包含的k+Ι个1-项集的支持度中的最大值和该k+Ι-项频繁项集的支持度，计算 该k+Ι-项频繁项集的极大置信度；将极大置信度不小于最小置信度的k+Ι-项频繁项集作 为关联规则加入关联规则结果集，并向规则推理引擎输出关联规则结果集，其中，k= {1， 2，. . .，L，. . .，N}，k-项集表示k种告警类型的集合，N为该规范化后的告警序列中的总告 警类型数。
14.一种网络管理系统，其特征在于，包括电信设备和如权利要求1或2所述的告警 子系统。
全文摘要
本发明实施例公开一种告警关联规则的挖掘方法、装置及系统，其中，该方法包括获得告警序列，所述告警序列包括多条告警；计算每个k-项集的支持度，得到k-项频繁项集集合；由该k-项频繁项集集合生成k+1-项频繁项集集合；针对该k+1-项频繁项集集合中的每个k+1-项频繁项集，根据该k+1-项频繁项集所包含的k+1个1-项集的支持度中的最大值和该k+1-项频繁项集的支持度，计算该k+1-项频繁项集的极大置信度；将极大置信度不小于最小置信度的k+1-项频繁项集作为关联规则加入关联规则结果集；从而，在告警关联规则的挖掘过程中，减少了由于置信度参数的影响而产生的虚假规则，有效减少关联规则结果集中的虚假规则。
文档编号G06F17/30GK101937447SQ20101019727
公开日2011年1月5日 申请日期2010年6月7日 优先权日2010年6月7日
发明者周伟 申请人:华为技术有限公司