基于Apriori算法的异常SER/SOE事件识别方法与流程

技术特征：

1.基于Apriori算法的异常SER/SOE事件识别方法，其特征在于，所述识别方法包括以下步骤：

(1)从运行系统按时序捕获SER/SOE事件序列,从捕获的事件序列中选择一条SER/SOE事件作为目标事件；

(2)运行系统中步骤(1)所述目标事件出现时，提取该目标事件前后5-10秒内伴随发生的全部其他SER/SOE事件作为所述目标事件的1个训练样本，此为一次提取所得结果，如此提取不少于十次，得到不少于10个训练样本，作为所述目标事件的训练样本库；

(3)根据步骤(2)所得训练样本库挖掘所述目标事件的频繁伴随出现事件——最大频繁项集，找出经常同所述目标事件一起出现的其它事件：

a、统计所述步骤(2)所得训练样本库内每条伴随所述目标事件出现的SER/SOE事件的出现次数，根据Apriori算法的支持度计算公式计算每条SER/SOE事件的支持度；所述支持度计算公式定义如下：

b、定义最小支持度Smin，所述步骤a计算所得每条SER/SOE事件的支持度若小于Smin，说明该条SER/SOE事件与所述目标事件关联度不高，丢弃该SER/SOE事件；保留支持度大于或等于Smin的SER/SOE事件并组成频繁项集L1；

c、对步骤b所得频繁项集L1的各事件按排列组合的方式进行相互组合，生成集合度更高的候选项集，候选项内各元素无序且不重复；根据Apriori算法的支持度计算公式计算所述候选项集内各候选项的支持度；

d、支持度小于Smin的候选项丢弃，支持度大于或等于Smin的候选项保留并组成频繁项集L2；

e、对步骤d所得频繁项集L2内各频繁项按关联规则进行两两关联，生成集合度更高的候选项集，候选项集内各候选项的元素无序且不重复；对于频繁项集内任意两个频繁项X和Y，记Xi和Yi分别表示X的第i个元素和Y的第i个元素，记k为X、Y的元素个数；其关联规则为：

若满足：

则X和Y可以关联，生成的候选项为{X1，X2......Xk-1，Xk，Yk}，所有候选项组成候选项集；

f、迭代执行所述步骤d～步骤e，直到无法生成集合度更高的候选项、或者从候选项集里无法找到支持度大于或等于Smin的候选项再组成新的频繁项集时，迭代终止，此时最后一个频繁项集即为最大频繁项集；最大频繁项集里的事件就是与所述目标事件频繁伴随出现的事件，即某时刻运行系统一旦产生所述目标事件，就有很大概率同时会伴随产生这些SER/SOE事件；

(4)根据步骤(3)挖掘出的所述目标事件的最大频繁项集，在运行系统针对所述目标事件进行异常识别，所述识别分为目标事件已出现时的识别和目标事件未出现时的识别，具体识别方法为：

a、所述目标事件已出现时的识别

若运行系统已出现所述目标事件，提取所述目标事件前后5-10秒内伴随发生的其他SER/SOE事件作为分析样本，将此分析样本与所述目标事件的最大频繁项集进行对比，如果所述目标事件的最大频繁项集内的所有事件全部能在此分析样本中找到，说明当前时机出现所述目标事件符合历史出现规律，应识别为正常SER/SOE事件，反之识别为异常SER/SOE事件，提醒运维人员所述目标事件在错误时机出现，及时予以分析处理；

b、所述目标事件未出现时的识别

若运行系统出现某一条非所述目标事件的SER/SOE事件，提取该SER/SOE事件前后5-10秒内伴随发生的所有SER/SOE事件作为分析样本，将此分析样本与所述目标事件的最大频繁项集进行对比，如果所述目标事件的最大频繁项集内的所有事件全部能在此分析样本中找到，说明当前时机未出现所述目标事件不符合历史出现规律，应识别成异常SER/SOE事件，并提醒运维人员所述目标事件应出现而未出现，需及时予以分析处理；反之则识别为正常情况。