（微电子学与固体电子学专业论文）告警管理系统的关键技术研究.pdf

告警管理系统的关键技术研究 摘要 告警管理系统主要是完成网络系统的告警分析和故障诊断，由于 网络故障的传递，导致一令踊络系统故漳弓；起格关僚多令受影响设备 呈送告警，从而导致大量冗余告警甚至虚假告警的产生，甚至形成告 警风暴，大量的告警会淹没真实的故障信息，为此需要在告警管理系 i 、 统中进彳亍告警分析，通过进行相关性分析，提取相关根源故障集来凸 现故障信息。针对这些问题，本文着重讨论告警的相关性分析。 本论文主要完成了告警分析算法的相关研究，首先比较了目前告 警分析的算法思想，分析了告警故障特点和产生机制，并根据 a k o b s o n 的思想对告警相关性进行了分类分析。然后给出了告警相关 性分析的语法模型，即在告警序列中寻找某个子集合满足；此子集合 惫皂够解释告警痔鳓，并且此子集合包含的节点出现故障的概率最大。 根据语法模型研究了以依赖关系模型来描述告警推理知识库，通过融 合信任网络秘汪据合成理论进行告警分橱费算洼。由于告警分辑属子 不确定性推理的问题，本文尝试了通过系统信任网络图来描述网络依 赖关系模型的方法。由于告警分析的动态性，告警图被甩来作为告警 分析的基本单元，并提出了告警国的概率推理算法。由于依赖关系模 型的建立大多数是基于手工建立最后分析了自动分析依赖关系的算 法进而完成依赖关系建立的方法， 本论文主要的研究内容和创新点如下： 分析了告警管理系统的特点和告警的产生机制，通过对目前的相 关性算法包括r u l e b a s e d 、c o d e b a s e d 、m o d e l - b a s e d 等进行分析比 较后，提出了告警分析的语法模型，并根据此语法模型建立了融合信 任网络和证据合成理论进行告警分析的算法。 提出了种基于分层思想的网络系统依赖关系模型，针对信任网 络的特点，为适应告警分析的内容，提出了信任网络的改进结构加权 信任网络( w b b n 0 ，并探讨了通过系统信任网络图来描述网络依赖关 系模型的算法，分析了通过w b b n 作为告警分析推理知识库的可行 性。 尝试在保证告警分析准确率的前提下，通过减少分析涉及的信任 网络节点数来降低计算复杂度，首次提出了融合信任网络和d - s 证据 合成理论的告警分析算法，即首先根据系统w b b n 建立描述告警信 息的告警图，然后建立告警图中包含可能故障节点的证据集，根据信 任网络计算每一个证据节点的概率信息，最后根据d s 合成规则对证 据进行融合，选择最优的节点集作为根源故障，从而完成告警的相关 性分析。针对告警分析中的证据冲突和证据相关，提出了一种d s 证据理论改进算法来解决此问题。为解决告警分析的动态性，告警图 被提出，并给出了基于节点消减法的告警图概率推理算法，最后通过 对比实验和仿真、真实数据来分析验证了本文的告警分析算法。 自动分析网络系统依赖关系并建立依赖关系模型，是影响告警分 析算法的瓶颈。分析了通过性能数据进行e n dt oe n ds e r v i c e 依赖关 系分析的可能性，提出了一种基于线性算予进行多功能点( e n d ) 依 赖关系分析的算法，给出了一种基于性能数据几何相似性进行自动分 析依赖关系的算法，即通过性能数据信息对需要分析依赖关系的设备 单元进行描述，然后分析数据曲线间的几何相似性来建立相应的依赖 关系，提出了一种基于趋势特征的依赖关系分析算法，即提取性能数 据的趋势特征信息，并进行相似性挖掘进而获取网络系统中的依赖关 系，最后通过对比实验来验证了自动分析算法。 关键词：网络管理告警管理告警相关性信任网络依赖关系d s 合成理论 f f i r e s e a r c ho nk e yi s s u ei n s i d ea l a r m ma n a g e m e n ts y s t e m a b s t r a c t w i t ht h ed e v e l o p m e n to ft e l e c o m m u n i c a t i o nt e c h n o l o g y , t h es c a l eo fn e t w o r k h a sb e e ne n l a r g e d ，a n dc o m p l e x i t yo fn e t w o r kh a si n c r e a s e d a ne f f i c i e n tn e t w o r k m a n a g e m e n ts y s t e mi sr e q u i r e dt oi m p r o v eq o sa n dr e d u c eo p e r a t i o nc o s t s , w h i c h s h o u l do b t a i nt h e s i m p l i c i t y a n d i n t e l l i g e n c e f a u l tm a n a g e m e n t i st h em a i n c o m p o n e n t o fn e t w o r km a n a g e m e n ts y s t e m , w h i c hd e a l sw i t ha l lt h ea l a r m sa n df a u k s g a t h e r e d f r o mt h em a n a g e dd e v i c ei nt h en e t w o r k b e c a u s et h ef o r m a t so fa l a r m sa r e d i f f e r e n ta n dt h ei n f o r m a t i o ni n s i d ei sc o g e l a t e d a l lt h ei n f o r m a t i o ns h o u l db e a n a l y z e db e f o r et h er e s u l t sa r ep r e s e n tt ot h ea d m i n i s t r a t o r i faf a u l to c c u r si nt h e n e t w o r lal o to fa l a r m sw i l lb ep r o d u c e df r o mn e t w o r k , w h i c hi n c l u d e ss o m e m e n d a c i o u si n f o r m a t i o n ；a l a r ms t r e a mw i l tb ef o r m e de v e n s oa l a r ma n a l y z e ss h o u l d b ed o n ei nf a u l tm a n a g e m e n t s y s t e m t oo b t a i nt h er e a lf a u l ti n f o r m a t i o n i nt h i s p a p e r , s o m ea l g o r i t h m so na l a r ma n a l y s e sa r ei n v e s t i g a t e d as e r i a l o f a l g o r i t h m s b a s e do ns y s t e md e p e n d e n c eg r a p ht os o l v ea l a r mc o r r e l a t i o na r ea d v a n c e d a f t e rd i s c u s s i n ga l a r mc o r r e l a t i o n sp o s s i b l ec l a s s e s an e wa l g o r i t h mt oa u t ob u i l d d e p e n d e n c e r e l a t i o ni s p r e s e n t e d i nt h e p a p e r a n da s y s t e m i ct h e o r y f r a m eo f c o m b i n i n gb e l i e fn e t w o r ka n dt h e o r yo fe v i d e n c ec o m b i n a t i o nt o w o r ko na l a r m a n a l y s i si se s t a b l i s h e di nt h i sp a p e r - t h em a i nc o n t e n t so f t h i sp a p e ra r el i s t e da sf o l l o w s ： t h i sp a p e rc o m p a r e st h ec h a r a c t e ro ff a u l tm a n a g e m e n ts y s t e m ，as y s t e mm o d e l w h i c hu s e ss y s t e md e p e n d e n c em o d e la n de v i d e n c er e a s o n i n gt od e a lw i t ha l a r m a n a l y s i si sa d v a n c e d a p a r l a n c em o d e l o fa l a r ma n a l y s i si sp u tf o r w a r di nt h i sp a p e ri nt h i sp a p e r , a l l k i n do fc o r r e l a t i o n sa r ed i s c u s s e ds u c ha sc o d eb a s e d ，r u l eb a s e da l g o r i t h m ，a tl a s ts i x i v t y p e s o f c o r r e l a t i o n sa m o n ga l a r ma r ei n d u c e d i nt h i sp a p e 5an e w d e p e n d e n tm o d e lb a s e do nn m t i l 1 a y e rt od e s c r i b en e t w o r k m o d e li s p u tf o r w a r d ，a n dw b b n ( an e wk i n do fb e l i e fn e t w o r ka d v a n c e di nt h i s p a p e r ) i sa d v a n c e d t ob eu s e dt od e s c r i b ek n o w l e d g eb a s e ， t h ep o s s i b i l i t yo fa n a l y z i n g d e p e n d e n c er e l a t i o nu s i n gp e r f o r m a n c ed a t a i s d i s c u s s e di nt h i s p a p e r ；a l la l g o r i t h mb a s e do na n a l y s i so f l i n e a ro p e r a t o rt o q u e r y d e p e n d e n c e r e l a t i o ni sa d v a n c e d t h e d e p e n d e n c e r e l a t i o n si nt h en e t w o r k s y s t e m a r ea n a l y z e di nt h i sp a p e r ，an e w a l g o r i t h mb a s e do ns h a p ec o m p a r a b i l i t yt ob u i l dd e p e n d e n c er e l a t i o ni sa d v a n c e d ，i n t h i s a l g o r i t h mt h e f u n c t i o nn o d e sa r ed e n o t e db yc h a r a c t e r i g i ci n f o r m a t i o n , a f t e r c o m p a r et h ec h a r a c t e r i s t i cd a t ag a t h e r e df r o mt h ef u n c t i o nn o d e sa n do b t a i n st h e i r c o m p a r a b i l i t y , t h ed e p e n d e n c e r e l a t i o nb e t w e e nt h ef u n c t i o nn o d e si sp r o d u c e d ，a tl a s t s o m e e x p e r i m e n t s a r ec o n d u c t e dt ov a l i d a t et h o s e a l g o r i t h m s a l a r m g r a p hi s i n t r o d u c e di nt h i sp a p e rt os o l v et i m ei n f o r m a t i o ni nt h ea l a r m ， s o m ei n f e r e n c ea l g o r i t h mi sa d v a n c e dt o o t oa c c e s sd e p e n d e n c er e l a t i o n sa m o n gn e t w o r ke l e m e n t s ，an e w a l g o r i t h m w h i c h b a s e do nt r e n dc h a r a c t e ri sp u tf o r w a r d ，s o m ee x p e r i m e n t sa r em a d et ov a l i d a t et h i s a l g o r i t h m an e w a l g o r i t h m , w h i c hc o m b i n e sb e l i e fn e t w o r ka n d d - s st h e o r yo f e v i d e n c e ， w a s f i r s t l ye s t a b l i s h e di nt h i sp a p e la f t e ra n a l y z i n ga l a r mi n f o r m a t i o n b a s e do nb e l i e f n e t w o r k , a na l a r mg r a p h , w h i c hd e s c r i b e sa l lt h ea l a r m s ，i sb u i l t ；s o m ee v i d e n c e st h a t a r eu s e di nn e x te v i d e n c e c o m b i n ga l g o r i t h ma r ef o r m e d a f t e rc o l l e c ta l lt h en o d e s p r o b a b i l i t yu s i n gb e l i e f n e t w o r ki n f o r m a t i o n , t h ee n t i r en o d e sb e l i e fv a l u ea r eb u i l t u s i n gd s e v i d e n c ea l g o r i t h m ，c h o o s et h en o d e ( n o d e s ) w h i c ho b t a i n sm a x i m u m b e l i e f a st h er o o tc a u s e s ( f a u l t ) a n a l g o r i t h mi sa d v a n c e di nt h i sp a p e rt oi m p r o v ed - st h e o r yi no r d e r t os o l v e t h ec o n f l i c ta n dc o r r e l a t i o na m o n ge v i d e n c e sp r o d u c e dd u r i n gt h ea l a r ma n a l y s e s a n a l g o r i t h mb a s e d o nn o d ee l i m i n a t i o nt oc a l c u l a t eb e l i e fn e t w o r ki sa d v a n c e d i nt h i sp a p e ga n ds o m eo t h e r a l g o r i t h m s t os o l v eb e l i e f n e t w o r ka r ed i s c u s s e dt o o k e yw o r d s ：n e t w o r km a n a g e m e n t , a l a r mm a n a g e m d n t ，a l a r mc o r r e l a t i o n ，b e l i e f n e t w o r k ，d e p e n d e n c er e l a t i o n ，d st h e o r y v 独创性( 或刨新性) 声明 y s 8 7 。三9 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：t 冀：童磊釜 日期：遮! 里 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释；本学位论文属于保密在一年解密后适用本授权书，非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名； 导师签名： 日期：b 女业：三 日期：趔： ： 信任网络节点 节点矿的双亲节点 节点v 的家庭集 识别框架 证据集 倾斜度 告警图 功能点 条件概率 较优弱覆盖集 冲突因子 故障 故障识剐率 性能数据组 性能阕值 符号说明 x j c ， 信任网络节点取值 节点矿的孩子节点 m ，节点v 的亲属集 m 概率分布 盯 焦元 r趋势 s弱覆盖集 p 。 依赖权值 a ， 告警组 e 。 证据 d ( e ，e ，) 证据相关度 a ，告警 置故障误识别率 y 冀 性能数据 珥 昂o e 。0 m 曰 甲 足 厶 研 吼 北京邮电大学博士学位论文 第一章绪论 第一节引言 人类的社会生活离不开信息交流，网络通讯作为国民经济和社会发展的基 础，己成为当今世昴上技术进步最迅速的领域之一，如何对通讯网络进行有效管 理，是无数网络管理工作者不断追求的目标。 网络管理的发展主要分为三个阶段：人工管理，分布式集中管理，集中式维 护管理。在人工管理阶段，网络管理以人工管理为主要形式，采用分散方式对网 络及网络服务质量进行测量、统计、分析和管理；在分布式集中管理阶段采用专 用的集中操作维护系统进行维护和管理；由于网络设备数字化，在集中式维护管 理阶段，将各自分散的专用系统集中起来操作和管理，实现了集中维护管理的目 标。参考t m n 标准的定义，网络管理从管理功能上主要划分为五大功能域：性 能管理；配置管理；故障管理( 告警管理) ；安全管理；计费管理。 告警管理是网络管理系统的重要组成部分，主要是处理告警分析和故障诊 断，通过图形化的方式呈现给网络管理员，不同的网络设备发送的告警格式不同， 而且一个网络故障可能会引起相关的多个告警信息，这样大量的冗余告警甚至虚 假告警会形成告警风暴，淹没真实故障信息，为更好的诊断故障需要对告警信息 进行分析，这个工作就需要对告警信息进行相关性分析，由于网络设备的拓扑关 系形成了关联关系，这种关联关系会反映到告警信息中，根据网络设备之间的关 联关系以及其它信息，可完成告警的相关性分析。 第二节告警管理系统的分析 l 告警管理系统的内容 网络系统中的状态变化如l i n kl o s s ，n o d ed o w n u p 等都以消息事件的形式报 告给网络管理系统，如果这种消息事件描述了故障内容，我们称其为“告警”， 如s n m p 的t r a p ，c m i p 的e v e n tn o t i f i c a t i o n s 。当网络系统发生异常情况时：如 硬件、软件故障、性能瓶颈、配置异常甚至是入侵扫描等，系统异常会被多个相 关的设备发现并通过告警来上报给网络管理系统。由于一个网络故障可能会导致 多个设备或子系统的故障，从而产生大量的告警事件的产生，这样网络管理系统 会被大量的告警事件所“淹没”，形成所谓的“告警风暴”，网络维护人员可能会 忽略甚至错误的理解重要的信息，延长了故障的处理时间，甚至在经济上蒙受较 第1 页 j ! 塞些皇查兰堕主兰竺笙奎 大的损失。 由于网络拓扑连接关系，一个系统资源的故障会传递并关联多个系统资源， 从而在告警事件间产生相关性，图l - i 描述了这种告警和故障间的传递关系。 图1 - 1 一个简单的网络系统拓扑图 “局域网1 ”下的节点“w e b 浏览器”通过t c p 连接同“局域网2 ”下的“w e b 服务器”进行数据交换，即通过路由器丸b ，c ，d 进行i p 包的传输，分析如下的 情况：路由器c ，d 间通过广域网2 的t 3 连接，如果由于硬件问题t 3 的接口时 钟失步o 2 5 毫秒，并且每秒发生4 次，这种噪音将导致t 3 连接的数据丢失率为 01 ，这样物理连接层的噪音导致大量的数据包中的位错误，位错误的数据包 可能因为i p 头错误而在路由器上被丢弃，或者由于i p 数据体错误而在接收端被 丢弃，但不管数据包在哪一环节被丢弃了，c - d 连接上的t c p 性能将严重的受到 影响，由于t c p 协议通过窗口自适应来处理网络拥塞，同时由于包丢失严重是网 络拥塞的标志，这时t c p 窗口尺寸将减小，如果噪音经常产生，t c p 窗口尺寸将 保持较小，这样“w e b 浏览器”的浏览时间会延长，导致“w e b 服务器”的效 率降低。这样一个简单的物理连接时钟失步问题将导致多个问题的产生。 在网络系统中，网络系统故障存在如下特点： 1 由于网络协议和网络拓扑关系，故障会被放大、传递成为多个系统故障， 也就是存在故障传递。 2 ，一个故障会导致多个告警事件，如图1 1 所示的情况下“w e b 浏览器” 和“w 曲服务器”及路由器c ，d 出现包丢失率过大的告警，严重的情况下会出 现“告警风暴”。 3 故障发生处不一定能够观测到告警。 4 告警信息中存在着噪音信息，同时存在着告警的丢失现象。 5 告警具有突发性，也就是在某时刻大量的告警涌现。如图1 2 【l 】所示情形。 6 在某个时刻同时存在多于两个的故障发生。 7 网络系统可能没有同步时钟导致告警消息中的时间不能统一比较描述。 正是由于这些特点，需要对告警内容进行信息挖掘，获取隐含在告警中的根 第2 页 北京邮电大学博士学位论文 源故障，也就是告警的相关性分析。告警相关性分析是网络管理中最重要最必要 的技术1 2 j i ”，高效快速的告警相关性分析算法是目前告警管理的重要研究内容。 告警的相关性分析思路为：依赖某种算法模型，主动地获取新告警信息，根 据已建立的告警知识库快速实时地对新告警进行分析推理，获取根源故障，从而 获得最大可能的网络设备或网络功能服务故障，完成故障的定位。在相关性处理 中主要涉及到推理算法和告警知识库的建立；如何保证在极短的时间内，获得高 准确度的故障信息也是告警相关性算法的主要研究内容。 | j 、蠢 藜 再 ； kl 一 2 9 酏 。r。 “曩。 2 0 溪曼 1 0 警曼 5 d 0 ； 警婺黎黪鬻黧黑露蘸黯麓黼甄躐鹂黼勰溺懿爨黥溯慝囊鬻 2 国外发展与现状 图1 - 2 告警的突发性图示 近年来告警管理系统在不断成熟，目前产品包括h p 公司的o p e nv i e w 中的 e c s ，m i c r o m u s e 公司的n e t c o o i o m n i b u s ，a p r i s m a 公司的s p e c t r u m r x 等【3 1 1 4 】【5 l 【6 l ， 每一种产品都采用不同的算法来进行告警处理，例如在o p e n v i e w 4 】采用了r u l e - - b a s e d 的算法，在s p e c t r u m r x | * q 用了c a s e - - b a s e d 算法，此外还有其它算 法【3 】【4 胴1 “。 最初的告警管理系统主要是完成告警采集和呈现，对不同的告警格式进行分 析，获得格式统一的告警信息后，通过告警呈现接口呈现出来，目前此类型的告 警管理系统已经失去了竞争力，例如a d v e n t n e t 公司的网络管理系统平台，对告 警没有作深入处理分析。基于规则r m e b a s e d 1 1 】的算法是比较翠应用于故障分析 系统的方法，i l o g 公司的j r u l e 产品是比较成功的此类算法产品。y y e m i n i ( 7 j 【研等 人提出t c o d e - b a s e d 的算法，并将算法推广到s m a i 江s 的产品i n c h a r g e q ， g r u s c h k e 等人提出了基于d e p e n d e n c eg r a p h t l 2 l 【1 3 l 的算法，s p e e t r u m r x q b 使用了基 于案例( c a s e b a s e d ) 1 6 1 1 9 1 的算法等。 虽然各个告警管理算法都在不断地改进以提高系统的效率，但仍然存在着许 多问题，不同的模型只能适应于具体的管理业务范围，由于通讯网络涉及到复杂 的网络设备，不同制造厂商的设备具有不同的信息描述方式，且随着网络应用服 第3 页 北京邮电大学博士学位论文 务管理要求的提高，网络应用系统将比物理网络设备具有更大的可变性和复杂 性，其逻辑关系，包括依赖关系、包含关系、父子关系变化更加频繁，这些导致 传统的故障分析方式已不能够满足要求。 随着技术的进步，涉及告警管理的技术也不断的发展进步，不同的组织提出 了不同的网络管理概念模型，这些概念模型进一步促进了告警管理的提高。 2 1s n m p 协议模型 s n m p 是由i e t f 组织提出的网络管理模型，在r f c l l 5 7 中描述了s n m p 中 的代理管理者模型，s n m p 代理是一个软件代码，它能够回答来自s n m p 管理 者( 如网络管理系统) 的关于m i b 中信息的各种查询，每个提供m i b 信息给管 理者的网络设备都有一个s n m 2 p 代理。 2 2c i m 模型 由d m t f 组织定义的c i m “】是通用信息模型的简称，主要是通过信息模型 来描述被管理软件和应用服务的细节内容。c i m 模型提出的主要目的是希望在 不同的网络管理平台之间建立一个通用的信息管理模型，以便于结合所有的被管 理资源到一个通用模型描述空间内进行处理。 3 国内发展与现状 国内对网络管理的各种问题研究不断的深入，告警分析是研究的重点【1 5 】【l “， 以李增智教授为主的西安交通大学电子与信息工程学院课题组【l ”】，李未院士、 马世龙教授为主的北京航空航天大学国家重点实验室课题组等都是国内对告 警分析的研究较早的单位，主要通过数据挖掘等算法来进行告警分析并取得了许 多成果。 苏利敏【1 5 l 提出了一种基于神经网络的告警分析方法，通过基于b p 网络的关 联算法来完成告警关联分析，具有一定的抑制嗓音的能力；王永际p ，】提出了 种通过故障相关图进行分析极大相关类来进行告警分析的算法；王云岚【2 0 i 提出 了一种基于规贝j j ( r u l e ，b a s e d ) 的告警分析方法，此系统中规则知识库通过数据挖 掘技术来实现的，并实现在线、实时的告警分析和故障诊断：张勇等f 2 i j 提出了 基于案例推t 里( c a s e b a s e d ) 的算法，采用分布式代理技术进行告警采集，并利用 神经网络和基于事例推理技术，实现网络故障检测的学习。 其他领域的故障分析和诊断在国内研究的也比较多，例如机械设备口2 l 【2 3 】， 电力网络中的故障分析，例如通过数据挖掘技术f 2 4 l f 2 翻，通过不确定推理算法f 捌1 2 7 】 第4 页 北崇邮电大学博士学位论文 来进行故障的分析，例如采用d s 证据融合理论f 2 6 】来进行分析，采用粗糙集理 论来进行分析2 7 1 ，这些理论和知识都可以推广延伸到告警分析的算法中去。 4 网管发展的新需求 4 1 网管内容的拓宽 从功能层面上看，网络管理已经由单纯的物理设备管理发展到对各种网络服 务的综合业务管理，从管理内容上，由最初的单一厂商设备的专用网管，到多种 设备、多种协议的通用网管。 网络规模的不断增加，网络设备多元化、多型化，都需要网警系统的功能提 高和管理内容的拓宽才可以适应，特别是应用服务由于其具有变化性强、关联性 复杂等特点，导致比节点设备的管理更难于处理。 告警管理的内容不断的拓宽，最初的告警管理主要是完成原始告警的收集和 呈现，以及基本统计信息的描述，随着管理系统的复杂性提高，告警管理需要分 析多种的告警格式以及多种设备和多种服务产生的告警信息，同时实现告警的相 关性分析，以及完成故障的隔离和故障预测处理。 4 2 网管智能化需求 目前网络管理系统需要通过软件来实现智能的处理和分析过程，包括系统中 告警管理的智能化处理和完善的相关性分析，以及依据性能数据分析的网络性能 优化和业务趋势分析等要求。 早期的告警管理主要是对物理设备和物理链路故障的分析和处理，通过概率 分析、规贝d 推理】等算法来实现链路故障分析。随着综合网络管理的提出，网络 系统和系统服务质量的管理和监控对告警分析提出了新要求。 告警分析依赖于个告警推理知识库，如何通过告警分析的告警，故障信息 来进行告警推理知识库的自学习，是一个重要的研究内容，通过历史数据和经验 来修正系统中的推理知识库，可以提高告警分析处理的正确率，随着数据挖掘等 技术的提出，告警推理知识库的实时动态维护也具有了可行性和必要性。 4 3 告警分析算法的全面发展 告警分析的每一种算法都只适应某种拓扑结构的网络系统，适应某一种、某 类网络设备和系统服务的管理要求，告警管理主要包括告警推理知识库和告警 推理引擎，告警推理知识库是一个融合网络系统拓扑结构和被管理单元之间关联 关系的数据库，推理引擎是一个搜索匹配数据的工具，通过推理引擎对系统采集 第s 页 北京邮电大学博士学位论文 的所有告警数据进行分析，根据告警推理知识库中的推理原则，获得隐含在告警 中的故障信息，从而完成告警分析的过程。 基于规则”i 】的告警分析系统通过预定义的规则库来描述网络系统中的关 联关系，经过分析关联规则来实现告警的分析，此算法简单易于实现，由于系统 结构的动态变化，需要规则进行相应的变化，而规则的调整很难适应拓扑结构经 常发生变化的网络系统，特别是不能够适应网络应用服务的管理要求。基于案例 ( c a s e b a s e d ) f l 算法依赖于案例库的建立和匹配算法的效率，完整的案例库是难 以获得的，并且在案例的相关匹配时难以满足所有的案例匹配要求，建立案例的 模型也制约此算法。 依赖关系模型【垤1 1 ”是最近提出的告警分析算法模型，主要是建立个依赖 图，通过依赖图来完成相关性分析。原始的告警映射到依赖图中的节点上，这样 每个单元节点被看作一个可能的故障节点，对所有的可能故障点进行遍历，寻找 共同的依赖节点。目前的此种算法模型中，依赖图仅仅描述简单的功能依赖关系， 对依赖关系的强弱涉及的内容比较少，所以此算法模型需要进一步的完善。 5 关键技术分析 5 1 告警管理系统的软件架构 目前告警管理系统采用的系统结构主要为三类：集中式告警管理系统，分布 式告警管理系统，基于移动代理的告警管理系统。 集中式管理系统主要是适应网络规模比较小，被管理网元数量少的网络，此 系统结构所有的操作行为都依赖于管理系统( n m s ) ，但是随着网络规模的增大， 大量的压力集中到管理服务器上，会导致系统效率低下。 分布式系统结构【2 8 l 是目前告警管理系统主要采用的软件结构，通过将管理 服务器的工作转移到多个运算体中来实现分布式处理。c o r b a t 2 9 i d o l 作为一种分 布式计算体系被广泛采用在告警管理系统中，故障检测系统( f a i l u r ed e t e c t o r ) 2 9 1 是采用c o r b a 实现的一个告警管理系统，n , e 4 3 0 】是结合c o r b a 和移动代理 实现的个管理系统。消息中间件作为分布式系统广泛使用的中间件具有稳定性 好，可靠性高，实现简单等特点，如国内企业宏旨公司，冠群公司的管理系统皆 采用m o 来实现。宏旨公司的a p p n i v i s 系统采用j m s 来实现，此外还有基于其 他体系的告警管理系统i ”】。 移动代理p o j f 3 2 j 【3 3 1 是一个能够对预定情况进行处理的软件或硬件进程，具有 自治性、移动性、安全性，移动代理具有自我推理的能力，能够通过融合管理端 和网元之间的信息进行异步推理，从而减少了服务器端的工作压力。z h a n g p u h a n 3 3 】采用了移动代理来进行告警故障管理，通过j a v a 虚拟机上的移动代理来 第6 贞 。纯京邮电大学辩士学位论文 实现网元数据的采集以数据的分析等过程，移动代理平台m a p ( m o b i l ea g e n t p l a t f o r m ) 3 2 1 是移动代理实现，通过m a p 实现了对网络资源的管理，信息收集等 工作。 5 2 告警分析模型 告警管理包括告警的采集分析、故障检测和定位，主要是进行告警的相关性 分析，相关性分析的算法有早期的r u l e - b a s e d t 3 1 1 4 】【l i 】，c o d e - b a s e d 7 1 8 1 。 c a s e b a s e d t 9 1 等，近期算法主要有d e p e n d e n c eg r a p h i “l 【1 3 1 ，b a y e s n e t w o r k 2 】1 3 4 1 算 法，p a s s i v et e s t i n g 算法【3 5 】【= 1 6 】f 3 7 1 ，m 一模版( m - p a t t e r n ) 数据挖掘算法【3 8 1 等。 及时检测故障并对故障设备进行隔离是必要的，如果能够主动检测到可能发 生的故障，可极大增加网络的稳定性，因此对故障提前预测是告警分析的另一个 研究内容，前摄性故障检测( p r o a c t i v ef a u l td e t e c t i o n ) 【3 4 】【3 9 l 【4 0 1 是对故障信息进行 预测的研究算法，在此算法中通过管理协议( 如i p 数据网络中的s n m p 协议) 对 被管理网元的性能数据进行分析，主动检测并学习获取可能的故障发生。 5 3 网络拓扑知识库模型 告警分析需要结合告警以及网络的拓扑关系进行，为此需要将网络模型描述 到告警分析的过程中，即要建立描述网络模型的知识库。知识库模型是与告警分 析算法相一致的，不同的告警分析算法对应者不同的知识库模型，在d e p e n d e n c e g r a p h 算法中的知识库是将网元进行模型化，并建立依赖关系来描述网络拓扑关 系1 1 2 】 ”1 。规则库【4 】f 1 1 】是r u l e b a s e d 算法使用的知识库，规则库主要通过融合拓扑 结构信息来完成。知识库需要具有极好的自适应性，能够根据网络拓扑结构变化 自动修正。 5 4 网络系统依赖关系模型 网络系统连接和包含等关系可通过依赖关系【1 2 1 【1 3 l 【4 1 1 1 4 7 - 1 来描述，通过依赖关 系进行告警分析是一个重要研究的方向，目前m m f ”i ，德国m u n i c h 大学1 4 4 1 等分 别对依赖关系模型进行研究，包括依赖关系模型的描述方式和依赖关系的建立算 法。 如何自动地建立依赖关系是依赖关系模型的难点。gk a i - 4 5 分析了应用服务 之间的依赖关系建立算法，m - 模舨( m - p a t t e m ) 1 4 1 j 是一种通过数据挖掘算法来进行 依赖关系分析的算法。c e n s e l 等人阳提出了依据神经网络知识进行依赖关系分 析的算法，此外还对自动分析依赖关系进行了讨论。 第7 页 一 一 ! ! 皇堑皇奎兰竖主兰竺堕苎 l 研究目标及内容 第三节论文主要内容 本论文是在宏智公司和中国网通研究院的支持下完成的，并得到宏智公司和 中国网通网络中心实验环境的支持，本论文完成的部分算法已应用于宏智网络管 理系统a p p n m s 和中国网通长途预警网管系统。本论文的主要研究目标是：探 讨告警管理系统的告警相关性分析模型，研究网络系统模型的描述方法，设计通 过依赖关系模型来进行告警分析的算法，研究网络系统依赖关系的自动分析算 法，研究船权信任厨络w b b n 和i 正据合成理论的改进以及融合信任网络和证据 理论进行告警分析的算法。 本文的研究内容主要分为以下四个方面： 告警相关性的分析 。 告警是事件报告，用来传递故障信息，每一条告警信息是语义不完整的， 不一定能够独立的描述一个系统故障内容，需要对其完成相关性分析。在 本文中分析了告警信息之间存在的各种相关性，分析了告警相关性的分类， 提出了种告警分析的语法模型。 网络模型与告警推理知识库的研究 本文以功能点作为网络系统的最小数据单元，将网络系统模型化为由功 能点构成的数据结构，提出了基于分层思想的依赖关系模型来描述网络模 型，并将其作为告警分析的知识库，并探讨了通过系统信任网络图来描述网 络系统的依赖关系模型的方法。 网络系统依赖关系模型的建立 本文分析了网络性能数据( 流量特征) 的特点，探讨了通过性能数据 来分析依赖关系的可能性。提出了基于线性算子思想进行多功能点闽依赖 关系分析的算法，提出了基于几何相似性来自动分析建立系统中依赖关系 的算法，提出了一种基于趋势特征的依赖关系分析算法。 告警分析算法 本文首次提出了一种融合信任网络和d s 证据合成理论进行告警分析 的算法模型，即首先根据系统信任网络分析告警信息，建立描述告警信息 的告警图，根据告警图获取告警证据集，最后通过d s 合成规则来建立起 所有的可能故障点的信任度，选择最优的节点作为根源故障。本论文提出 了加权信任网络( w b b n ) 并给出了基于节点消减法的w b b n 概率推理算 法，针对d s 证据理论不足，本文提出了种d s 证据理论改进算法，以 解决告警分析过程中的证据冲突毂证据相关阊题。 第8 页 北京邮电大学博士学位论文 2 论文章节安排 本论文的结构安排为： 第一章中主要分析了国内外告警管理系统的研究程度，描述了目前告警系统 中存在的问题和论文研究的主要内容。 第二章中主要分析了告警相关性分析的主要内容，对相关性分析的主流算法 模型进行了分析比较，指出了这些主流算法模型中的优缺点，提出了一种告警分 析的语法模型。 第三章中主要分析了告警管理系统的告警推理知识库建立方法，提出了一种 基于分层思想的依赖关系模型来描述网络系统，并提出加权信任网络( w b b n ) 来 实现依赖关系模型。 第四章中主要描述了告警图的定义以及告警图的运算，并提出了基于的节点 消减法的告警图概率推理算法。 第五章主要描述了融合信任网络和d s 证据合成理论进行告警分析的算法， 提出了改进d s 证据理论算法，以解决告警分析过程中的证据冲突和证据相关 问题。 第六章中描述了分析功能节点性数据之间的相似关系来进行网络系统中依 赖关系的自动建立算法，提出了基于线性算子思想进行多功能点间依赖关系分析 的算法，提出了基于几何相似性和基于趋势特征的依赖关系自动分析建立算法。 第9 页 北京邮电大学博士学位论文 第= 章告警相关性分析模型 第一节引言 告警管理系统是一个智能分析系统，它一般包含告警分析知识库和推理引 擎，通过推理算法对采集的告警信息进行分析、整合产生出含义丰富的内容，同 时能够记录此分析结果到告警分析知识库，也就是一个自我学习的过程。 告警相关性分析包括两个主要的部分：告警分析知识库、告警分析推理算法。 告警分析知识库的结构决定了分析推理所采用的算