基于关联规则的通信网络告警相关性分析模型*国务院侨办科研基金资助项目（03QZR5）。吴扬扬吴扬扬教授国立华侨大学信息学院计算机科学系研究方向为数据库技术和数据挖掘发表论文二十多篇。电话：0595-22991503;E-mail:wuyy@hqu.edu.cn陈怀南陈怀南工程师福建省电信公司泉州分公司研究方向为数据库技术和电信网络管理。（1华侨大学计算机科学系福建泉州362021;2福建省电信公司泉州分公司福建泉州362000）摘要：在通信网络运行过程中每天都会产生大量告警将数据挖掘中的关联规则发现技术用于分析历史告警数据可发现告警相关性规则。这些规则可辅助故障定位和告警过滤以减轻网络管理员的工作强度提高工作效率。本文分析了通信网络原始告警信息的特点提出了一个基于关联规则的通信网络告警相关性分析模型该模型通过对原始告警数据进行预处理不仅有效地解决了网络告警时间不同步问题使得处理后的告警数据可直接用一般的关联规则挖掘工具发现告警相关规则还大大地压缩了挖掘结果提高了规则的准确率。初步的实验表明这种分析模型具有实用价值。关键词：告警相关性；关联规则挖掘；数据预处理1.引言故障管理作为通信网络日常维护的基础对网络的正常运行起着举足轻重的作用。当网络中出现故障时会引发一系列的告警但并不是所有的告警都表明故障原因因此需要对网络中发生的告警事件进行相关性分析确定产生故障的根本原因。故障处理过程一般分三个处理阶段：故障相关性分析、故障定位、故障验证。目前的网络故障处理工作主要靠网络工程师依据个人的维护经验对告警进行人工分类、判断、分析并最终得出告警的来源。由于通信网络是由交换机、传输设备、动力设备等多种部件组成在什么情况下由网络的哪些节点上的哪些设备产生告警以及告警内容和格式都是由生产厂商定义好的并非所有设备都会告警不同设备的告警信息内容不同对同一类设备而言不同生产厂商定义告警信息的内容和格式也有差异而且一个设备故障经常引起其他设备产生告警所以告警数目庞大、告警之间的相关性复杂完全靠人工分类、判断效率很低。目前故障管理面临的主要挑战在于报警的及时性、准确性和灵活性。一旦告警信息产生网络监控中心必须在最短的时间内准确定位故障点根据故障原因发布故障单并派遣维修人员修复故障。因此在故障管理过程中需要引入能对全网告警进行全程的、多层次的、复杂的相关性分析以便进行告警过滤帮助定位故障。有些网络管理系统提供告警相关性分析功能但这些告警相关性分析功能大多建立在用户定制的处理逻辑或关联规则之上[1]系统需要根据预先定义的处理逻辑来过滤冗余告警分析告警之间的相关性如NetLog故障管理系统[2]其强大的相关性分析功能的实现方法是：系统根据用户定制的关联规则从一组事件中推测出作为这组事件起因的根源性事件产生一条新的更抽象的决策事件或关联出互相依赖的互为事件。要充分发挥这些系统的相关性分析功能关键在于如何得到告警事件的关联规则和告警设备的关联规则。本文研究如何有效地利用数据挖掘中的关联规则挖掘工具分析历史告警信息得到告警之间的关联规则以及告警设备的关联规则这些规则既可用于帮助网络管理系统用户定制关联规则以利用网管系统的告警相关性分析功能帮助定位故障也可辅助网络管理人员分析当前告警信息进行网络故障的定位检测和预测严重故障等等。采用关联规则挖掘方法的优点是不需要知道网络拓扑结构关系当网络拓扑结构发生变化时可以通过告警的历史记录进行分析自动发现新的告警相关性规则因此基于数据挖掘告警相关性系统能够很快调整适应一些变化快的通信网络解决通信网络中出现的新问题基于数据挖掘的方法有较好的网络适应性。本文在深入研究告警信息的特点和需求的基础上提出了一个基于关联规则挖掘的告警相关性分析模型相对于其他分析方法[3][4][5][6]该模型具有如下特点：适用性广：本分析模型只需使用一般告警数据项的历史记录与网络的拓扑结构无关可适用于不同的电信网络；容易实现：数据经过预处理后可直接用一般数据库的关联规则挖掘工具实现告警关联规则挖掘任务；比较准确：因为本模型在定义告警事务时不仅考虑告警时间还考虑到告警解除时间所以挖掘出来的告警关联规则比较准确地反映了告警的相关性；挖掘结果易于理解：挖掘出来的关联规则直观地反映了不同告警之间关联关系和告警设备之间的关联关系有助于告警信息过滤、定位故障。2.告警相关性分析模型2.1告警信息基本形式电信网络故障被定义为网络中的电信设备或软件模块异常。故障发生时系统状态会发生变化从而引发告警事件。电信网络告警信息一般只有经历系统状态发生变化的设备名称类型、故障症状、发生时间、告警等级等没有提供识别故障所需的故障发生的详细地点和原因等数据。因为电信网络是由多种设备相互连接起来的一个部件故障会影响到很多设备从而引发很多设备告警甚至同一个设