专利名称:一种基于网络和时间的告警相关性分析方法及系统的制作方法
技术领域:
本发明涉及电力通信网的告警相关性分析技术,特别是涉及基于网络和时间关联 模式的告警相关性分析方法及系统。
背景技术:
在电力通信网中,通信设备发生故障时,会产生大量告警,运行维护人员需要从大 量告警中找出主要告警,根据告警判断故障原因,分析出那些业务受到影响。但告警是故障 的外在表现,具有传递性和多侧面表述等特点,故障是原因,告警是结果;告警是可观测和 易获取的,故障却通常被掩盖在大量告警消息的背后。对于大量输出的告警信息,为有效地提出有用信息,定位告警根源,需要将按照告 警模式、维护经验形成告警专家库,当大量告警信息产生时,系统能够筛选出告警根源,缩 短通信故障分析、查找和处理时间,这一过程叫告警相关性分析。告警相关性分析的主要内容是对告警之间的关系进行分析,确定能反应和处理故 障根本原因的告警,目的是减少告警信息潮对系统管理的影响、帮助进行准确的故障定位。 采用的手段是基于模式运用(Rule Based Correlation),而模式的定义、发现、推演以及维 护管理则成为需要处理的核心,模式的运用包括其运用策略与运用流程则是组成相关性处 理引擎的重要部分。关于告警相关性分析,目前国内外采取如数据挖掘、模式匹配、流模型等前沿技 术,取得了一些成果。基于事件树的相关性分析模式匹配模型,是当前较为实用的分析模 型,其认为在系统中任何一个告警事件都是由其他告警事件引起,即告警之间因果相关。一 组有因果相关的告警事件会组成一颗告警事件树。在本发明的研究过程中,发现基于事件树的分析模型存在以下问题(1)所述模 型要求每条模式必须与具体的对象关联,即模式中含有具体的对象信息;对于简单网络也 许可行,但是对于规模较大的网络而言,需要针对每一个对象制订模式,系统显然不具有可 维护性和实用性;(2)所描述的模式匹配准则要求过于严格,即是要求是严格的匹配,不适 用于当前日益复杂网络情况和用户使用习惯;(3)网络配置信息与告警的相关性存在着因 果关系,但所述系统没有结合网络拓扑关系和电路路由关联关系来进行分析和计算,缺乏 一定的全面性。因此,在具体的设计时,本发明充分考虑以上问题,本着提高告警相关性分析的准 确性和效率的原则,提出后文所述方法及系统。
发明内容
本发明针对现有上述技术的不足,提出网络和时间的相关性检查模式,并通过其 改进事件树,设计并实现告警相关性分析引擎系统和系统,实现准确、高效的告警相关性分 析,以解决原有系统不能全面分析的具体问题。本发明的总体组成结构和各部分名称如附图1所示,其具体步骤为第一步以统一的格式对所有告警进行归一化的处理和转换; 第二步结合网络配置信息,按照网络相关性对告警进行分组; 第三步按照时间相关性对各组告警进行时间窗检查,将超过时间窗的告警分组推入 分析处理;
第四步使用事件树模型对告警进行模式匹配分析,推出根源告警。特别的,第二步所使用的网络相关性分组方法,特点为分析所发生的一组告警, 若其所在的网元设备是相同的,或其所在的传输段是相同的、或其所在的传输电路是相同 的,确定其具有网络相关性,分到同一个组别。不存在网络相关性的告警不具备相关性条 件,应当分开入组。特别的,第三步时间相关性检查所使用的时间窗,特点为使用时间窗实现时间相 关性检查,时间窗界定一组告警在从最后一次告警到达,到等待下一次告警到来的最长等 待时间,以及从最初一条到达,到最后一条到达之间的最长等待时间。只有在时间窗内发生 的告警,才具备时间上的相关性,具备分析的前提条件。特别的,第四步所使用的事件树模式匹配方法,是通过以上网络相关性分组和时 间相关性判定而改进的分析方法,将发生的告警所在的网络配置信息和告警之间的时间关 系信息应用到具体的事件树模式匹配上,具有分析的全面性和准确性。本发明的另外一个目的在于提供一套基于网络和时间的告警相关性分析系统, 结构内容包括
用于告警相关性分析的分析运算单元,用于存储相关性分析引擎程序、模式和配置等 数据的信息存储单元,用于采集网络告警并进行归一化转换的数据采集单元和预处理单 元,用于组织和报告分析结果的输出单元,用于网络配置信息录入的输入单元,其特点在于 所使用的
(1)网络配置数据库通过采集网络配置信息、结合手动录入等方式而形成的含有系 统网元、拓扑和电路等具体配置信息的数据库;
(2)时间窗配置信息用以存储进行时间相关性检查的时间窗设置,内容必须包括两 个时间段长度的配置信息;
(3)事件树模式数据库通过采手动录入而形成的含有事件树模式等具体模式和策略 信息的模式数据库;
(4)相关性分析引擎模块在对告警进行归一化处理后,结合网络配置数据库对告警 进行分组处理,对于超过时间窗的告警分组推入分析处理单元,使用事件树模式对告警进 行匹配分析,最终输出含有根源告警的相关性分析结果。
图1本发明工作流程图。图2本发明系统结构图。图3传输网络拓扑示例图。图4事件树模型图。图5告警相关性分析处理流程图。
具体实施例方式本发明的系统具体实施内容如下
1、一套基于网络和时间的告警相关性分析系统。图1、图2描述了本告警相关性分析系统的设计方案。内容包括
(1)用于告警相关性分析的分析运算单元,结合网络配置、时间窗配置和事件树模式 等信息,具体执行对告警的相关性算法分析;
(2)用于存储相关性分析引擎程序、模式和配置等数据的信息存储单元,具体存储相 关性分析引擎程序文件、网络配置数据库、时间窗配置信息数据和事件树模式数据库;
(3)用于采集网络告警并进行归一化转换的数据采集单元和预处理单元,实现对多个 通信网络上的告警的采集,并实现对告警内容和格式的归一化转换;
(4)用于组织和报告分析结果的输出单元,组织相关性分析的结果格式及内容,出具 具体的分析依据、过程和结果,为外部显示系统提供根源告警等输出内容。(5)用于网络配置信息录入的输入单元,提供人工输入接口和工具,用以输入系 统中网元、拓扑和电路等具体网络配置信息,作为网络配置数据库的具体内容。(6)网络配置数据库通过采集网络配置信息、结合手动录入等方式而形成的含 有系统网元、拓扑和电路等具体配置信息的数据库;
(7)时间窗配置信息用以存储进行时间相关性检查的时间窗设置,内容必须包括两 个时间段长度的配置信息;
(8)事件树模式数据库通过采手动录入而形成的含有事件树模式等具体模式和策略 信息的模式数据库;
(9)相关性分析引擎模块在对告警进行归一化处理后,结合网络配置数据库对告警 进行分组处理,对于超过时间窗的告警分组推入分析处理单元,使用事件树模式对告警进 行匹配分析,最终输出含有根源告警的相关性分析结果。、基于网络和时间的告警相关性分析方法
(一)第一步以统一的格式所有告警进行归一化的处理和转换 本发明通过对从全网采集得到告警进行归一化处理,组成进行全网告警相关性分析所 需的基础数据。确定并采用统一的告警数据内容和格式的划分方法,对各网络上原始告警 报文进行采集和处理,将告警必要的属性信息(如告警对象、告警名称、告警时间、告警等 级等)进行归一化的格式转换。通过本步骤的归一化处理和转换,得到的规范化告警信息格式如下
权利要求
1.一种基于网络和时间的告警相关性分析方法,其特征在于包括如下步骤A.以统一的格式对所有告警进行归一化的处理和转换;B.结合网络配置信息,按照网络相关性对告警进行分组;C.按照时间相关性对各组告警进行时间窗检查,将超过时间窗的告警分组推入分析处理;D.使用事件树模型对告警进行模式匹配分析,推出根源告警。
2.根据权利要求1所述的一种基于网络和时间的告警相关性分析方法,其特征在于, 所述步骤A中采用了统一的告警数据内容和格式的划分方法,对网络上原始告警报文进 行采集和处理,将告警必要的属性信息如告警对象、告警名称、告警时间、告警等级等进行 了归一化的格式转换。
3.根据权利要求1所述的一种基于网络和时间的告警相关性分析方法,其特征在于, 所述步骤B中确定所发生的一组告警具有网络相关性的方法是,告警所在的网元设备是 相同的,或其所在的传输段是相同的、或其所在的传输电路是相同的。
4.根据权利要求1所述的一种基于网络和时间的告警相关性分析方法,其特征在于, 所述步骤C中使用时间窗实现时间相关性检查,进一步的,时间窗的特征在于界定了一组 告警在从最后一次告警到达、到等待下一次告警到来的最长等待时间,以及从最初一条到 达、到最后一条到达之间的最长等待时间。
5.根据权利要求1所述的一种基于网络和时间的告警相关性分析方法,其特征在于, 所述步骤D中通过网络相关性分组和时间相关性判定而改进的分析方法,将发生的告警 所在的网络配置信息和告警之间的时间关系信息应用到具体的事件树模式匹配上。
6.基于网络和时间的告警相关性分析系统,其特征在于系统含有用于告警相关性分 析的分析运算单元,用于存储相关性分析引擎程序、模式和配置等数据的信息存储单元,用 于采集网络告警并进行归一化转换的数据采集单元和预处理单元,用于组织和报告分析结 果的输出单元,用于网络配置信息录入的输入单元。
7.根据权利要求6所述的基于网络和时间的告警相关性分析系统,其特征在于系统 内部组成具体内容包括(1)用于告警相关性分析的分析运算单元,其特征在于,结合了网络配置、时间窗配置 和事件树模式等信息,具体执行对告警的相关性算法分析;(2)用于存储相关性分析引擎程序、模式和配置等数据的信息存储单元,其特征在于, 具体存储相关性分析引擎程序文件、网络配置数据库、时间窗配置信息数据和事件树模式 数据库;(3)用于采集网络告警并进行归一化转换的数据采集单元和预处理单元,其特征在 于,实现对多个通信网络上的告警的采集,并实现对告警内容和格式的归一化转换;(4)用于组织和报告分析结果的输出单元,其特征在于,具体组织相关性分析的结果 格式及内容,出具具体的分析依据、过程和结果,为外部显示系统提供根源告警等输出内 容;(5)用于网络配置信息录入的输入单元,其特征在于,提供了人工输入接口和工具, 用以输入系统中网元、拓扑和电路等具体网络配置信息,作为网络配置数据库的具体内容。
8.根据权利要求6所述的基于网络和时间的告警相关性分析系统,其特征在于信息存储单元所存储的而分析处理单元所使用的具体数据有(1)网络配置数据库,其特征在于,是通过输入网络配置信息形成的含有系统网元、拓 扑和电路等具体配置信息的数据库;(2)时间窗配置信息,其特征在于,是用以存储进行时间相关性检查的时间窗设置的 两个时间段长度的配置信息;(3)事件树模式数据库,其特征在于,是通过手动录入而形成的含有事件树模式等具 体模式和策略信息的模式数据库。
9.根据权利要求6所述的基于网络和时间的告警相关性分析系统,其特征在于,含有 相关性分析引擎,其特点在于,是在对告警进行归一化处理后,结合网络配置数据库对告警 进行分组处理,对于超过时间窗的告警分组推入分析处理单元,使用事件树模式对告警进 行匹配分析,最终输出含有根源告警的相关性分析结果。
全文摘要
本发明提出了基于网络和时间的告警相关性分析方法及系统,内容包括以统一的格式对所有告警进行归一化的处理和转换;结合网络配置信息,按照网络相关性对告警进行分组;按照时间相关性对各组告警进行时间窗检查,将超过时间窗的告警分组推入分析处理;使用改进后的事件树模型对告警进行模式匹配分析,推出根源告警。解决了现有系统不能全面分析的问题,实现了准确、高效的告警相关性分析。
文档编号H04L12/24GK102136949SQ20111007233
公开日2011年7月27日 申请日期2011年3月24日 优先权日2011年3月24日
发明者唐云善, 焦群, 闫生超 申请人:南京南瑞集团公司, 国网电力科学研究院