挖掘电信告警关联模式方法

85第2期 赵传强等:面向吞吐量效率的无线M esh网络机会主义路由

347 357.

2011年4月第34卷第2期

北京邮电大学学报

Journa l of Be ijing U niversity of Posts and T e lecomm un i cations

A pr .2011V o.l 34N o .2

文章编号:1007 5321(2011)02 0085 05

挖掘电信告警关联模式方法

徐前方, 肖 波, 郭 军

(北京邮电大学信息与通信工程学院,北京100876)

摘要:关联模式挖掘算法通常受到最小支持度的限制,仅能得到频繁告警序列间的关联模式,针对这一问题,基于图论思想提出了一种挖掘电信网络告警间关联模式的方法.首先在单遍扫描数据库的条件下挖掘网络中的二项关联模式,然后直接发现其最大关联模式,从而避免大量中间项集的产生.基于实际网络告警数据的实验结果表明,该方法不仅具有较高的效率,而且有效.关 键 词:故障管理;告警关联;数据挖掘中图分类号:TN929 53 文献标志码:A

An Approach on A ssociation PatternsM i ni ng i n

T eleco mmunicati on A lar m Database

XU Q ian fang , X I A O Bo , GUO Jun

(S chool of In f or m ati on and Co mm un ication Eng i neeri ng ,Beiji ng Un i versity of Posts and Teleco mmun ications ,B eiji ng 100876,Ch i na)

Abst ract :Currentl y li m iting to the m i n i m al suppor,t t h e a l g orit h m s used in a l a r m assoc iation r u les m in

i n g are a l m ost applied i n t h e frequently occurri n g alar m events .A ne w a l g orithm based on graph t h eory to m ine te leco mm un i c ation alar m pattern is proposed.It firstm i n es net w ork s 2 ite m s assoc i a ti o n pattern by scanning the database on l y once ,and then gets the m ax i m al association mode ,so that it can avo i d gener ating lots ofm iddle ite m s .Experi m ents based on the actual net w ork alar m data de m onstrate the efficiency and the effectiveness of the algor ithm .

K ey w ords :faultm anage m en;t alar m assoc i a ti o n ;data m i n ing 收稿日期:2010 05 10

基金项目:国家自然科学基金项目(60905017);高等学校学科创新引智计划项目(B08004);中央高校基本科研业务费专项资金资助项

目(2011RC0119)

作者简介:徐前方(1975 ),女,讲师,博士,E m ai:l xuq f 123@g m ai.l co m;郭 军(1959 ),男,教授,博士生导师.

告警相关性分析可将多个告警事件归结为较少的告警事件,过滤无意义的告警,从海量告警数据中找出故障的根本原因,准确定位故障.目前大多数研究都是基于最小支持度-最小置信度框架挖掘关联模式,如文献[1]中的贝叶斯网络方法;文献[2]中的基于滑动窗口的挖掘算法.近年来,一些学者又提出了改进算法,如文献[3]中采用了决策树的方法;文献[4]提出的针对数据流的序列模式挖掘方法.这些算法都存在难以确定合适支持度阈值的问题.文献[5]提出利用相关度挖掘告警关联规则方

法;文献[6]提出挖掘极大超团模式的算法;文献[7]提出基于极大团挖掘告警关联规则.这些算法都没有针对电信网络中的告警特点挖掘,效率较低.本文分析了电信网络中告警的特点,提出了挖掘告警模式(MTAP ,m ining teleco mm un icati o n alar m pat tern)算法.

1 告警影响范围的分析

定义1 告警窗口宽度

[2]

告警序列s = (a 1,t 1),(a 2,t 2), ,(a n ,t n ) ,

其中,告警类型a i ,1 i n,n 为告警类型数, 为告警类型集合;t i (i =1,2, ,n )为告警发生时间.告警窗口W 指告警序列s 上的一个子序列,可表示成W =(w,t s ,t e ),其中,t s 、t e 分别为告警窗口的起始和结束时间;w 为告警窗口中发生的告警.告警窗口宽度为t e -t s .

告警窗口宽度实质是相关告警事件的最大时间间隔,即某告警的影响范围,告警持续时间内的所有告警都可能与其相关.在实际网络中,告警的清除有3种情况:1)网管系统或设备自身检测系统发现后自动恢复;2)运维人员发现故障后清除;3)各种原因上报的无意义告警,告警持续时间较长.

以文献[5]中3种告警类型为例,其告警持续时间如图1所示.

网络中告警不同,其相关窗口也不同,即使同一告警类型也有多种持续时间.因此,选择告警相关窗口时,应依据告警持续时间主要集中(如90%)的范围.

从图1可知,告警A 、B 、C 的最大持续时间分别约为10、250和600s ,但大部分告警仅持续1(91 84%)、50(97 14%)和300s (97 21%),因此相关窗口应分别设为1、50和300s .从图1还可见,告警的影响范围与告警类型有关,采用文献[5 7]提出的挖掘算法对全网告警采用统一的相关窗口是不合理的,若窗口选取过小,会丢失相关告警信息;若选取过大,不仅会引入虚假规则,而且由于引入了无关数据,降低了算法效率.

因此,为便于挖掘,可利用告警窗口宽度对告警数据库进行时间跨度的约束,即针对不同的告警设置不同的时间约束参数,告警a i 的相关窗口宽度为

W a i =m i n W a i +W a i e

-(T e -T s )2

2

,W m ax (1)

其中,T s 、T e 分别为1次告警的起始和结束时间; 为衰减常数;W max 为最大相关窗口,其目的是为了进行最大时间跨度约束.由此可根据实际告警数据动态调整相关窗口,从而避免采用单一相关窗口的问题.

2 告警关联挖掘算法

2 1 相关定义

定义2 告警关联模式相关度

衡量2个向量间的相关性通常采用Pearson 相

关系数,如文献[5]提出的关联规则挖掘算法.但实

图1 告警持续时间与告警频度关系

际网络中的告警频度分布不均匀,对于大量低频度告警,其期望近似为0,因此存在无法分析它们之间相互关系的问题.

研究2个告警向量时更注重告警是否同时发生,即告警向量在方向上是否一致,因此本文采用夹角余弦R a i a j 来衡量,有

R a i a j =

a i a j a i

a j

=

a ij a i a j

(2)

根据统计学原理,R a i a j 越大,告警的相关性越强,这样可避免以往算法中无法选取合适支持度的问题.

定义3 告警关联模式置信度

在支持度-置信度框架下的算法中采用的置信

87

第2期 徐前方等:挖掘电信告警关联模式方法