基于关联规则的通信网络告警相关性分析模型*国务院侨办科研基金资助项目（03QZR5）。吴扬扬吴扬扬，教授，国立华侨大学信息学院计算机科学系，研究方向为数据库技术和数据挖掘，发表论文二十多篇。电话：0595-22991503;E-mail:wuyy@hqu.edu.cn，陈怀南陈怀南，工程师，福建省电信公司泉州分公司，研究方向为数据库技术和电信网络管理。（1华侨大学计算机科学系，福建泉州362021;2福建省电信公司泉州分公司，福建泉州362000）摘要：在通信网络运行过程中,每天都会产生大量告警，将数据挖掘中的关联规则发现技术用于分析历史告警数据，可发现告警相关性规则。这些规则可辅助故障定位和告警过滤，以减轻网络管理员的工作强度，提高工作效率。本文分析了通信网络原始告警信息的特点，提出了一个基于关联规则的通信网络告警相关性分析模型，该模型通过对原始告警数据进行预处理，不仅有效地解决了网络告警时间不同步问题，使得处理后的告警数据可直接用一般的关联规则挖掘工具发现告警相关规则，还大大地压缩了挖掘结果，提高了规则的准确率。初步的实验表明这种分析模型具有实用价值。关键词：告警相关性；关联规则挖掘；数据预处理1.引言故障管理作为通信网络日常维护的基础，对网络的正常运行起着举足轻重的作用。当网络中出现故障时，会引发一系列的告警，但并不是所有的告警都表明故障原因，因此需要对网络中发生的告警事件进行相关性分析，确定产生故障的根本原因。故障处理过程一般分三个处理阶段：故障相关性分析、故障定位、故障验证。目前的网络故障处理工作主要靠网络工程师依据个人的维护经验对告警进行人工分类、判断、分析，并最终得出告警的来源。由于通信网络是由交换机、传输设备、动力设备等多种部件组成，在什么情况下由网络的哪些节点上的哪些设备产生告警以及告警内容和格式都是由生产厂商定义好的，并非所有设备都会告警，不同设备的告警信息内容不同，对同一类设备而言不同生产厂商定义告警信息的内容和格式也有差异，而且一个设备故障经常引起其他设备产生告警，所以告警数目庞大、告警之间的相关性复杂，完全靠人工分类、判断效率很低。目前故障管理面临的主要挑战在于报警的及时性、准确性和灵活性。一旦告警信息产生，网络监控中心必须在最短的时间内准确定位故障点，根据故障原因发布故障单，并派遣维修人员修复故障。因此在故障管理过程中，需要引入能对全网告警进行全程的、多层次的、复杂的相关性分析，以便进行告警过滤，帮助定位故障。有些网络管理系统提供告警相关性分析功能，但这些告警相关性分析功能大多建立在用户定制的处理逻辑或关联规则之上[1]，系统需要根据预先定义的处理逻辑来过滤冗余告警，分析告警之间的相关性，如NetLog故障管理系统[2]，其强大的相关性分析功能的实现方法是：系统根据用户定制的关联规则，从一组事件中推测出作为这组事件起因的根源性事件，产生一条新的更抽象的决策事件，或关联出互相依赖的互为事件。要充分发挥这些系统的相关性分析功能，关键在于如何得到告警事件的关联规则和告警设备的关联规则。本文研究如何有效地利用数据挖掘中的关联规则挖掘工具，分析历史告警信息，得到告警之间的关联规则以及告警设备的关联规则,这些规则既可用于帮助网络管理系统用户定制关联规则，以利用网管系统的告警相关性分析功能帮助定位故障，也可辅助网络管理人员分析当前告警信息，进行网络故障的定位检测和预测严重故障等等。采用关联规则挖掘方法的优点是不需要知道网络拓扑结构关系，当网络拓扑结构发生变化时，可以通过告警的历史记录进行分析，自动发现新的告警相关性规则，因此基于数据挖掘告警相关性系统能够很快调整适应一些变化快的通信网络，解决通信网络中出现的新问题，基于数据挖掘的方法有较好的网络适应性。本文在深入研究告警信息的特点和需求的基础上，提出了一个基于关联规则挖掘的告警相关性分析模型，相对于其他分析方法[3][4][5][6]，该模型具有如下特点：适用性广：本分析模型只需使用一般告警数据项的历史记录，与网络的拓扑结构无关，可适用于不同的电信网络；容易实现：数据经过预处理后，可直接用一般数据库的关联规则挖掘工具实现告警关联规则挖掘任务；比较准确：因为本模型在定义告警事务时，不仅考虑告警时间还考虑到告警解除时间，所以，挖掘出来的告警关联规则比较准确地反映了告警的相关性；挖掘结果易于理解：挖掘出来的关联规则直观地反映了不同告警之间关联关系和告警设备之间的关联关系，有助于告警信息过滤、定位故障。2.告警相关性分析模型2.1告警信息基本形式电信网络故障被定义为网络中的电信设备或软件模块异常。故障发生时系统状态会发生变化，从而引发告警事件。电信网络告警信息一般只有经历系统状态发生变化的设