告警分类方法、装置、电子设备及存储介质与流程

1.本技术涉及大数据技术，尤其涉及一种告警分类方法、装置、电子设备及存储介质。


背景技术：

2.随着科技的进步和大数据时代的来临，系统的日常运行过程中会产生大量的信息，信息包括日志信息、交易信息以及告警信息。告警信息的来源众多，每条告警信息与系统中不同的模块关联。
3.在告警处理过程中，告警信息的严重程度不同，对告警的处理方式不同，获得准确的告警分类结果，可以有效提高告警的处理效率。目前，告警分类方法层出不穷，大多数的告警分类方法的着力点聚集在告警本身，告警分类结果无法准确地表征告警信息的严重程度。因此，如何对告警信息进行准确分类成为当前亟待解决的问题。


技术实现要素：

4.本技术提供一种告警分类方法、装置、电子设备及存储介质，用以实现对告警信息准确分类。
5.第一方面，本技术提供一种告警分类方法，包括：获取待分类告警信息的特征数据，并基于所述特征数据构建所述待分类告警信息对应的图网络；将所述待分类告警信息对应的图网络输入至告警分类模型，获得所述告警分类模型输出的所述待分类告警信息的分类结果；其中，所述告警分类模型为预先训练得到的图卷积网络。
6.在一种可能的实施方式中，所述方法还包括：根据历史告警信息生成样本库；所述样本库包括历史告警信息和所述历史告警信息的参考分类结果，其中，告警信息的分类结果表征该告警信息的紧急程度；依照所述样本库中所述历史告警信息的参考分类结果，将所述样本库分为多个子样本库，所述多个子样本库与不同的紧急程度一一对应；对于每个子样本库分别构建所述子样本库对应的图网络；基于图卷积网络，建立初始的告警分类模型；分别基于所述多个子样本库对应的图网络，对所述初始的告警分类模型进行训练，直至获得所述告警分类模型。
7.在一种可能的实施方式中，所述对于每个子样本库分别建立所述子样本库对应的图网络，包括：将每个子样本库划分为多个样本集合，对于每个样本集合分别构建所述样本集合对应的图网络；所述分别基于所述多个子样本库对应的图网络，对所述初始的告警分类模型进行训练，直至获得所述告警分类模型，包括：针对每个子样本库，基于所述子样本库下的各样本集合对应的图网络，采用小批量迭代训练的方式，对所述初始的告警分类模型进行训练，直至获得所述告警分类模型。
8.在一种可能的实施方式中，所述针对每个子样本库，基于所述子样本库下的各样本集合对应的图网络，对所述初始的告警分类模型进行训练，包括：针对每个子样本库，将该子样本库下的每个样本集合对应的图网络输入当前的告警分类模型，得到模型输出的第
一告警分类结果；计算所述样本集合所属的子样本库对应的参考分类结果与所述第一告警分类结果的相似度，并根据当前的相似度调整告警分类模型，直至当前的相似度满足预设的要求，则判定训练完成。
9.在一种可能的实施方式中，所述根据历史告警信息生成样本库，包括：确定所述历史告警信息在各特征类型下的特征值；根据各类型特征对应的权重，对该历史告警信息在各特征类型下的特征值进行加权求和计算，得到该历史告警信息的告警程度值；根据所述历史告警信息的告警程度值和分类结果对应的告警程度取值范围，将所述历史告警信息的告警程度值所在的取值范围对应的分类结果，作为该历史告警信息的参考分类结果。
10.在一种可能的实施方式中，所述根据历史告警信息生成样本库，之前包括：对所述历史告警信息进行预处理，所述预处理包括以下至少一种：数据去重、数据去噪以及数据补全。
11.第二方面，本技术提供一种告警分类装置，包括：获取模块，用于获取待分类告警信息的特征数据；构建模块，用于基于所述特征数据构建所述待分类告警信息对应的图网络；处理模块，用于将所述待分类告警信息对应的图网络输入至告警分类模型，获得所述告警分类模型输出的所述待分类告警信息的分类结果；其中，所述告警分类模型为预先训练得到的图卷积网络。
12.在一种可能的实施方式中，所述装置还包括：样本生成模块，用于根据历史告警信息生成样本库；所述样本库包括历史告警信息和所述历史告警信息的参考分类结果，其中，告警信息的告警分类结果表征该告警信息的紧急程度；划分模块，用于依照所述样本库中所述历史告警信息的参考分类结果，将所述样本库分为多个子样本库，所述多个子样本库与不同的紧急程度一一对应；所述构建模块，还用于对于每个子样本库分别建立所述子样本库对应的图网络；建立模块，用于基于图卷积网络，建立初始的告警分类模型；训练模块，用于分别基于所述多个子样本库对应的图网络，对所述初始的告警分类模型进行训练，直至获得所述告警分类模型。
13.在一种可能的实施方式中，所述构建模块，还用于：将每个子样本库划分为多个样本集合，对于每个样本集合分别构建所述样本集合对应的图网络；所述训练模块，具体用于：针对每个子样本库，基于所述子样本库下的各样本集合对应的图网络，采用小批量迭代训练的方式，对所述初始的告警分类模型进行训练，直至获得所述告警分类模型。
14.在一种可能的实施方式中，所述训练模块，包括：处理单元，用于针对每个子样本库，将该子样本库下的每个样本集合对应的图网络输入当前的告警分类模型，得到模型输出的第一告警分类结果；第一计算单元，用于计算所述样本集合所属的子样本库对应的参考分类结果与所述第一告警分类结果的相似度；模型调整单元，用于根据当前的相似度调整告警分类模型，直至当前的相似度满足预设的要求，则判定训练完成。
15.在一种可能的实施方式中，所述样本生成模块，包括：确定单元，用于确定所述历史告警信息在各特征类型下的特征值；第二计算单元，用于根据各类型特征对应的权重，对该历史告警信息在各特征类型下的特征值进行加权求和计算，得到该历史告警信息的告警程度值；匹配单元，用于根据所述历史告警信息的告警程度值和分类结果对应的告警程度取值范围，将所述历史告警信息的告警程度值所在的取值范围对应的分类结果，作为该历史告警信息的参考分类结果。
16.在一种可能的实施方式中，所述装置，还包括：预处理模块，用于对所述历史告警信息进行预处理，所述预处理包括以下至少一种：数据去重、数据去噪以及数据补全。
17.第三方面，本技术提供一种电子设备，包括：处理器，以及与所述处理器通信连接的存储器；所述存储器存储计算机执行指令；所述处理器执行所述存储器存储的计算机执行指令，以实现如前所述的方法。
18.第四方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如前所述的方法。
19.本技术提供的告警分类方法、装置、电子设备及存储介质中，获取待分类告警信息的特征数据，并基于特征数据构建待分类告警信息对应的图网络；将待分类告警信息对应的图网络输入至告警分类模型，获得告警分类模型输出的待分类告警信息的分类结果。本技术的方案，基于特征数据构建图网络并基于图卷积网络得到分类结果，其中图网络能够真实深入地反映告警信息之间的关系属性，故能够得到更准确的分类结果，能够很好地适用于告警信息关系属性复杂的场景，有效提高告警的处理效率。
附图说明
20.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
21.图1为本技术实施例一提供的告警分类方法的流程示意图；
22.图2为本技术实施例二提供的告警分类方法的流程示意图；
23.图3为本技术实施例二提供的图卷积神经网络架构示意图；
24.图4为本技术实施例三提供的告警分类方法的流程示意图；
25.图5为本技术实施例四提供的告警分类装置的结构示意图；
26.图6为本技术实施例五提供的告警分类装置的结构示意图；
27.图7为本技术实施例六中提供的一种电子设备的结构示意图。
28.通过上述附图，已示出本技术明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本技术构思的范围，而是通过参考特定实施例为本领域技术人员说明本技术的概念。
具体实施方式
29.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
30.需要说明的是，本技术中对于术语的简要说明，仅是为了方便理解接下来描述的实施方式，而不是意图限定本技术的实施方式。除非另有说明，这些术语应当按照其普通和通常的含义理解。
31.本技术中说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似或同类的对象或实体，而并不必然意味着限定特定的顺序或先后次序，除非另外注明(unless otherwise indicated)。应该理解这样使用的用语在适当情况下可以互换，例如
能够根据本技术实施例图示或描述中给出那些以外的顺序实施。
32.此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖但不排他的包含，例如，包含了一系列组件的产品或设备不必限于清楚地列出的那些组件，而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。本技术中使用的术语“模块”，是指任何已知或后来开发的硬件、软件、固件、人工智能、模糊逻辑或硬件或/和软件代码的组合，能够执行与该元件相关的功能。
33.实际应用中，系统的日常运行过程中会产生大量的信息，信息包括日志信息、交易信息以及告警信息。告警信息的来源众多，每条告警信息与系统中不同的模块关联。在告警处理过程中，告警信息的严重程度不同，对告警的处理方式不同，获得准确的告警分类结果，可以有效提高告警的处理效率。
34.目前，告警信息的分类多数着力点聚集在告警本身，没有挖掘告警信息与特征信息之间的关联，告警分类结果无法准确地表征告警信息的严重程度。以金融领域为例，告警信息之间关联属性复杂，传统的告警分类方式忽略了告警信息之间的关系属性，不能得到准确的告警分类结果。
35.本技术提供的告警分类方法，基于特征数据构建图网络并基于图卷积网络得到分类结果，其中图网络能够真实深入地反映告警信息之间的关系属性，故能够得到更准确的分类结果，能够很好地适用于告警信息关系属性复杂的场景，有效提高告警的处理效率。
36.下面以具体的实施例对本技术的技术方案以及本技术的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。在本技术的描述中，除非另有明确的规定和限定，各术语应在本领域内做广义理解。下面将结合附图，对本技术的实施例进行描述。
37.实施例一
38.图1为本技术实施例一提供的告警分类方法的流程示意图，本实施例的实施主体可以为告警分类装置，如图1所示，该方法包括：
39.s101、获取待分类告警信息的特征数据，并基于特征数据构建待分类告警信息对应的图网络。
40.其中，待分类告警信息的特征数据为表征待分类告警信息产生原因和产生来源的特征对应的特征值。待分类告警信息的特征至少包括：系统名称、模块名称、实例名称、端口号、异常指标、当前阈值、设定阈值、首次异常时间、末次异常时间、异常判断频率。
41.本实施例中，图网络(graph network,简称gn)是指在拓扑空间(topological space)内按图(graph)结构组织以进行关系推理(relational reasoning)的函数集合。图网络由相互连接的图网络块(graph network block)组成，在神经网络实现中图网络块也被称为节点(node)。节点间的连接称为边(edge)，表示了节点间的依赖关系。图网络的每个节点的内部状态和系统状态称为属性(attribute)。
42.具体的，基于特征数据构建待分类告警信息对应的图网络。示例性的，将系统作为图网络的节点，每条告警信息作为一条边，方向代表告警影响因果关系，结合待分类告警信息的特征，构建待分类告警信息对应的图网络。
43.s102、将待分类告警信息对应的图网络输入至告警分类模型，获得告警分类模型输出的待分类告警信息的分类结果。
44.其中，告警分类模型为预先训练得到的图卷积神经网络。图卷积网络(graph convolutional network，简称gcn)是指可以直接作用于图并且利用其结构信息的卷积神经网络。
45.本实施例中，待分类告警信息的分类结果可以分为：严重告警、一般告警、正常告警。示例性的，严重告警是指会造成业务中断，需要立即进行故障检修的告警；一般告警是指影响业务，需要立即进行故障检修的告警；正常告警是指不影响现有业务，但有影响业务的可能，需要进行检修以避免影响业务。
46.实际应用中，待分类告警信息对应的图网络表征待分类告警信息的特征数据。告警分类模型可以根据输入的待分类告警信息对应的图网络，获得待分类告警信息的分类结果。可以理解，对于相同分类结果对应的待分类告警信息的特征数据具有相似性，根据待分类的告警结果，能够及时判断告警的产生原因和产生来源，便于运维人员及时有效的处理告警。
47.本实施例提供的告警分类方法中，获取待分类告警信息的特征数据，并基于特征数据构建待分类告警信息对应的图网络；将待分类告警信息对应的图网络输入至告警分类模型，获得告警分类模型输出的待分类告警信息的分类结果。本实施例中，基于特征数据构建图网络并基于图卷积网络得到分类结果，其中图网络能够真实深入地反映告警信息之间的关系属性，故能够得到更准确的分类结果，能够很好地适用于告警信息关系属性复杂的场景，有效提高告警的处理效率。
48.实施例二
49.图2为本技术实施例二提供的告警分类方法的流程示意图，如图2所示，该方法还包括：
50.s201、根据历史告警信息生成样本库。
51.本实施例中，样本库包括历史告警信息和历史告警信息的参考分类结果，其中，告警信息的分类结果表征该告警信息的紧急程度。
52.实际应用中，历史告警信息的参考分类结果用于判断历史告警信息的分类结果是否准确，当历史告警信息的分类结果与历史告警信息的参考分类结果一致时，说明历史告警的分类准确；当历史告警信息的分类结果与历史告警信息的参考分类结果不一致时，说明历史告警的分类不准确。举例来说，历史告警信息1的参考分类结果为一般告警，历史告警信息1的分类结果为一般告警，历史告警信息1的分类结果与历史告警信息的参考分类结果一致，历史告警信息1的分类结果准确；历史告警信息2的参考分类结果为一般告警，历史告警信息2的分类结果为严重告警，历史告警信息2的分类结果与历史告警信息的参考分类结果不一致，历史告警信息1的分类结果不准确。
53.关于样本库的生成，在一种可能的实施方式中，s201包括：
54.确定历史告警信息在各特征类型下的特征值；
55.根据各类型特征对应的权重，对该历史告警信息在各特征类型下的特征值进行加权求和计算，得到该历史告警信息的告警程度值；
56.根据历史告警信息的告警程度值和分类结果对应的告警程度取值范围，将历史告警信息的告警程度值所在的取值范围对应的分类结果，作为该历史告警信息的参考分类结果。
57.示例的，根据各类型特征对告警信息的影响，设置各类型对应的权重。举例来说，对系统重要程度、告警影响范围、业务量大小、阈值异常大小以及告警出现频率，权重赋值为：0.35，0.20，0.20，0.15，0.10。具体的，根据各类型特征对应的权重，对该历史告警信息在各特征类型下的特征值进行加权求和计算，得到该历史告警信息的告警程度值。举例来说，系统重要程度、告警原因、告警影响范围、业务量大小、阈值异常大小以及告警出现频率，对应的特征值分别为：6，7，10，4，40％，权重赋值为：0.35，0.20，0.20，0.15，0.10。则该历史告警信息的告警程度值为6.14。
58.实际应用中，不同的分类结果对应的不同的告警程度取值范围。举例来说，正常告警对应的告警程度取值范围为[0,3]，一般告警对应的告警程度取值范围为(3,6]，严重告警对应的告警程度取值范围为(6,10]。具体的，根据历史告警信息的告警程度值和分类结果对应的告警程度取值范围，将历史告警信息的告警程度值所在的取值范围对应的分类结果，作为该历史告警信息的参考分类结果。举例来说，历史告警信息1的告警程度值为6.14，历史告警信息1的告警程度值所在的取值范围中对应的分类结果为严重告警，则历史告警信息的参考分类结果为严重告警。
[0059]
本实施方式中，通过计算历史告警信息在各特征类型下的特征值的进行加权求和，得到该历史告警信息的告警程度值；根据历史告警信息的告警程度值和分类结果对应的告警程度取值范围，将历史告警信息的告警程度值所在的取值范围对应的分类结果，作为该历史告警信息的参考分类结果。本实施方式，根据告警程度值的取值范围确定参考分类结果，为告警分类模型训练过程中输出的告警分类结果提供参考。
[0060]
实际应用中，为了保证得到更加精准的告警分类模型，可以对用于训练模型的历史告警信息进行预处理。示例的，在一种可能的实施方式中，s201之前还包括：
[0061]
对历史告警信息进行预处理，预处理包括以下至少一种：数据去重、数据去噪以及数据补全。
[0062]
其中，数据去重是指去除同一系统的相同设备下，由于同一种原因在同一时间产生的重复但无意义的告警信息；数据去噪是指去除缺少特征值的告警信息；数据补全是指对业务交易量大的重要系统，产生频率较高，对业务影响范围较大的告警信息，进行特征值的补全工作，确保对重要告警进行分析时，不会出现信息缺失，保障后期告警信息优化。
[0063]
本实施方式中，在获得历史告警信息后，对告警信息进行预处理，得到了规范、统一、可用性强的历史告警信息，采用预处理后的历史告警信息对初始的告警分类模型进行训练，可以得到准确性更高的告警分类模型，从而得到准确的告警分类结果。
[0064]
s202、依照样本库中历史告警信息的参考分类结果，将样本库分为多个子样本库；
[0065]
s203、对于每个子样本库分别构建子样本库对应的图网络；
[0066]
s204、基于图卷积神经网络，建立初始的告警分类模型；
[0067]
s205、分别基于多个子样本库对应的图网络，对初始的告警分类模型进行训练，直至获得告警分类模型。
[0068]
其中，多个子样本库与不同的紧急程度一一对应。示例性的，将样本库按照历史告警信息的参考分类结果分为正常子样本库、一般子样本库以及严重子样本库。
[0069]
可以理解，子样本库中包括多个历史告警信息，基于子样本库中的所有历史告警信息的特征数据构建待分类告警信息对应的图网络。
[0070]
具体的，s203中对于每个子样本库分别构建子样本库对应的图网络。举例来说，样本库分为正常子样本库、一般子样本库以及严重子样本库，分别构建正常子样本库对应的图网络、一般子样本库对应的图网络以及严重子样本库对应的图网络。
[0071]
实际应用中，每个子样本库对应的参考分类结果一致，每个子样本库中的告警分类信息之间的具有关联关系。因此，分别基于多个子样本库对应的图网络，对初始的告警分类模型进行训练，可以有效提高告警分类模型的准确性。
[0072]
具体的，s205中分别基于多个子样本库对应的图网络，对初始的告警分类模型进行训练，直至获得告警分类模型。举例来说，基于正常子样本库对应图网络对初始的告警分类模型进行训练，直至当前的告警分类模型输出的告警分类结果的准确性满足要求，获得第一告警分类模型；基于一般子样本库对应的图网络对第一告警分类模型进行训练，直至当前的告警分类模型输出的告警分类结果的准确性满足要求，获得第二告警分类模型。基于严重子样本库对应的图网络对第二告警分类模型进行训练，直至当前的告警分类模型输出的告警分类结果的准确性满足要求，获得告警分类模型。
[0073]
可选的，循环基于每个子样本库对应的图网络，对初始的告警分类模型进行训练，直至获得告警分类模型。
[0074]
为了更好的理解图卷积神经网络，结合图3对本实施例中的图卷积神经网络进行说明。图3为本技术实施例二提供的图卷积神经网络架构示意图。
[0075]
如图3所示，本实施例中的图卷积神经网络包括输入层300、隐藏层310以及输出层320。其中，输入层是由图网络中不同节点间的区别特征组成的特征矩阵。隐藏层310包括图卷积(graph convolutional)311、线性整流函数(rectified linear unit，简称relu)312以及随机失活(dropout)层313。隐藏层310使用线性整流函数312将告警信息与样本库信息进行线性划分。由于告警信息数据量较大，为了防止过拟合，在隐藏层310后引入随机失活层313。输出层320负责将模型学习的抽象特征转化为预测值输出。
[0076]
此外，在一种可能的实施方式中，s203具体包括：将每个子样本库划分为多个样本集合，对于每个样本集合分别构建样本集合对应的图网络；s205具体包括：针对每个子样本库，基于子样本库下的各样本集合对应的图网络，采用小批量迭代训练的方式，对初始的告警分类模型进行训练，直至获得告警分类模型。
[0077]
其中，小批量迭代训练是指将子样本库进一步划分为单体数据量更小的多个样本集合，基于多个样本集合进行多次迭代训练。实际应用中，子样本库中的历史告警信息数量较大且特征属性较多，生成的图网络关系属性更复杂，对关系属性复杂的图网络的训练复杂度更高，需要的训练时间较长。故为了节省训练时间，采用小批量迭代训练的方式。举例来说，针对每个子样本库，将其进一步划分为n个样本集合，根据每个样本集合生成一个对应的图网络，即得到n个图网络。分别基于n个图网络对告警分类模型进行训练。需要说明的是，每次迭代训练的模型为当前的告警分类模型，即经过上一次迭代训练得到的模型。
[0078]
实际应用中，采用小批量迭代训练的方式，训练的次数增加，可以有效提高告警分类模型的准确性。
[0079]
本实施方式中，子样本库中的历史告警信息数量较大且特征属性较多时，通过小批量迭代的方式节省了训练时间，提高了告警分类模型的准确性。
[0080]
在一种可能的实施方式中，将每个子样本库划分为多个样本集合，对于每个样本
集合分别构建样本集合对应的图网络，包括：
[0081]
将每个子样本库划分为训练集和测试集，将训练集和测试集分别划分为多个样本集合，对于每个样本集合分别构建样本集合对应的图网络；
[0082]
针对每个子样本库，基于子样本库下的各样本集合对应的图网络，采用小批量迭代训练的方式，对初始的告警分类模型进行训练，直至获得告警分类模型，包括：
[0083]
针对每个子样本库，基于子样本库训练集下的各样本集合对应的图网络，采用小批量迭代训练的方式，对初始的告警分类模型进行训练；基于子样本库测试集下的各样本集各对应的图网络，采用小批量迭代测试的方式，对当前的告警分类模型进行测试，直至获得告警分类模型。
[0084]
关于样本集合训练过程，在一种可能的实施方式中，针对每个子样本库，基于子样本库下的各样本集合对应的图网络，对初始的告警分类模型进行训练，包括：
[0085]
针对每个子样本库，将该子样本库下的每个样本集合对应的图网络输入当前的告警分类模型，得到模型输出的第一告警分类结果；
[0086]
计算样本集合所属的子样本库对应的参考分类结果与第一告警分类结果的相似度，并根据当前的相似度调整告警分类模型，直至当前的相似度满足预设的要求，则判定训练完成。
[0087]
其中，相似度表征样本集合所属的子样本库对应的参考分类结果与第一告警分类结果的关联程度，相似度越大，关联程度越密切。示例性的，相似度可以是相似度函数的函数值，相似度的取值范围为[0,1]，对象a和b的相似度可以表示为sim(a,b)，当sim(a,b)＝0时表示a和b没有任何关联，当sim(a,b)＝1时表示a和b等价。
[0088]
具体的，计算样本集合所属的子样本库对应的参考分类结果与第一告警分类结果的相似度，并根据当前的相似度调整告警分类模型，直至当前的相似度满足预设的要求，则判定训练完成。举例来说，预设的要求为相似度大于0.75，当前的相似度为0.8，当前的相似度满足预设的要求，判定训练完成。
[0089]
本实施方式中，通过计算样本集合所属的子样本库对应的参考分类结果与第一告警分类结果的相似度，根据相似度是否满足预设的要求，动态判断训练是否完成。
[0090]
本实施例提供的告警分类方法中，根据历史告警信息生成样本库；依照样本库中历史告警信息的参考分类结果，将样本库分为多个子样本库；对于每个子样本库分别构建子样本库对应的图网络；基于图卷积神经网络，建立初始的告警分类模型；分别基于多个子样本库对应的图网络，对初始的告警分类模型进行训练，直至获得告警分类模型。本实施例中，基于图卷积神经网络，建立初始的告警分类模型，并基于多个子样本库对应图网络，对初始的告警分类模型进行训练，获得告警分类模型，应用训练得到的告警分类模型，能够得到准确的告警分类结果。
[0091]
实施例三
[0092]
图4为本技术实施例三提供的告警分类方法的流程示意图，如图4所示，该方法包括：
[0093]
s401、根据历史告警信息生成样本库；
[0094]
s402、依照样本库中历史告警信息的参考分类结果，将样本库分为多个子样本库。
[0095]
s403、对于每个子样本库分别构建子样本库对应的图网络；
[0096]
s404、基于图卷积神经网络，建立初始的告警分类模型；
[0097]
s405、分别基于多个子样本库对应的图网络，对初始的告警分类模型进行训练，直至获得告警分类模型；
[0098]
s406、获取待分类告警信息的特征数据，并基于特征数据构建待分类告警信息对应的图网络；
[0099]
s407、将待分类告警信息对应的图网络输入至告警分类模型，获得告警分类模型输出的待分类告警信息的分类结果。
[0100]
本实施例提供的告警分类方法中，根据历史告警信息生成样本库；依照样本库中历史告警信息的参考分类结果，将样本库分为多个子样本库；对于每个子样本库分别构建子样本库对应的图网络；基于图卷积神经网络，建立初始的告警分类模型；分别基于多个子样本库对应的图网络，对初始的告警分类模型进行训练，直至获得告警分类模型。获取待分类告警信息的特征数据，并基于特征数据构建待分类告警信息对应的图网络；将待分类告警信息对应的图网络输入至告警分类模型，获得告警分类模型输出的待分类告警信息的分类结果。本实施例中，基于图卷积神经网络，建立初始的告警分类模型，并基于多个子样本库对应图网络，对初始的告警分类模型进行训练，获得告警分类模型，应用训练得到的告警分类模型，能够得到准确的告警分类结果。
[0101]
实施例四
[0102]
图5为本技术实施例四提供的告警分类装置的结构示意图，如图5所示，该装置包括：
[0103]
获取模块51，用于获取待分类告警信息的特征数据；
[0104]
构建模块52，用于基于特征数据构建待分类告警信息对应的图网络。
[0105]
其中，待分类告警信息的特征数据为表征待分类告警信息产生原因和产生来源的特征对应的特征值。待分类告警信息的特征至少包括：系统名称、模块名称、实例名称、端口号、异常指标、当前阈值、设定阈值、首次异常时间、末次异常时间、异常判断频率。
[0106]
本实施例中，图网络(graph network,简称gn)是指在拓扑空间(topological space)内按图(graph)结构组织以进行关系推理(relational reasoning)的函数集合。图网络由相互连接的图网络块(graph network block)组成，在神经网络实现中图网络块也被称为节点(node)。节点间的连接称为边(edge)，表示了节点间的依赖关系。图网络的每个节点的内部状态和系统状态称为属性(attribute)。
[0107]
具体的，基于特征数据构建待分类告警信息对应的图网络。示例性的，将系统作为图网络的节点，每条告警信息作为一条边，方向代表告警影响因果关系，结合待分类告警信息的特征，构建待分类告警信息对应的图网络。
[0108]
处理模块53，用于将待分类告警信息对应的图网络输入至告警分类模型，获得告警分类模型输出的待分类告警信息的分类结果。
[0109]
其中，告警分类模型为预先训练得到的图卷积神经网络。图卷积网络是指可以直接作用于图并且利用其结构信息的卷积神经网络。
[0110]
本实施例中，待分类告警信息的分类结果可以分为：严重告警、一般告警、正常告警。示例性的，严重告警是指会造成业务中断，需要立即进行故障检修的告警；一般告警是指影响业务，需要立即进行故障检修的告警；正常告警是指不影响现有业务，但有影响业务
的可能，需要进行检修以避免影响业务。
[0111]
实际应用中，待分类告警信息对应的图网络表征待分类告警信息的特征数据。告警分类模型可以根据输入的待分类告警信息对应的图网络，获得待分类告警信息的分类结果。可以理解，对于相同分类结果对应的待分类告警信息的特征数据具有相似性，根据待分类的告警结果，能够及时判断告警的产生原因和产生来源，便于运维人员及时有效的处理告警。
[0112]
本实施例提供的告警分类装置中，获取模块获取待分类告警信息的特征数据，构建模块基于特征数据构建待分类告警信息对应的图网络；处理模块将待分类告警信息对应的图网络输入至告警分类模型，获得告警分类模型输出的待分类告警信息的分类结果。本实施例中，基于特征数据构建图网络并基于图卷积网络得到分类结果，其中图网络能够真实深入地反映告警信息之间的关系属性，故能够得到更准确的分类结果，能够很好地适用于告警信息关系属性复杂的场景，有效提高告警的处理效率。
[0113]
实施例五
[0114]
图6为本技术实施例五提供的告警分类装置的结构示意图，如图6所示，该装置还包括：
[0115]
样本生成模块61，用于根据历史告警信息生成样本库。
[0116]
本实施例中，样本库包括历史告警信息和历史告警信息的参考分类结果，其中，告警信息的分类结果表征该告警信息的紧急程度。
[0117]
实际应用中，历史告警信息的参考分类结果用于判断历史告警信息的分类结果是否准确，当历史告警信息的分类结果与历史告警信息的参考分类结果一致时，说明历史告警的分类准确；当历史告警信息的分类结果与历史告警信息的参考分类结果不一致时，说明历史告警的分类不准确。
[0118]
在一种可能的实施方式中，样本生成模块61，包括：
[0119]
确定单元，用于确定历史告警信息在各特征类型下的特征值；
[0120]
第二计算单元，用于根据各类型特征对应的权重，对该历史告警信息在各特征类型下的特征值进行加权求和计算，得到该历史告警信息的告警程度值；
[0121]
匹配单元，用于根据历史告警信息的告警程度值和分类结果对应的告警程度取值范围，将历史告警信息的告警程度值所在的取值范围对应的分类结果，作为该历史告警信息的参考分类结果。
[0122]
示例的，根据各类型特征对告警信息的影响，设置各类型对应的权重。实际应用中，不同的分类结果对应的不同的告警程度取值范围。
[0123]
本实施方式中，通过计算历史告警信息在各特征类型下的特征值的进行加权求和，得到该历史告警信息的告警程度值；根据历史告警信息的告警程度值和分类结果对应的告警程度取值范围，将历史告警信息的告警程度值所在的取值范围对应的分类结果，作为该历史告警信息的参考分类结果。本实施方式，根据告警程度值的取值范围确定参考分类结果，为告警分类模型训练过程中输出的告警分类结果提供参考。
[0124]
实际应用中，为了保证得到更加精准的告警分类模型，可以对历史告警信息进行预处理。示例的，在一种可能的实施方式中，该装置还包括：
[0125]
预处理模块，用于对历史告警信息进行预处理，预处理包括以下至少一种：数据去
重、数据去噪以及数据补全。
[0126]
其中，数据去重是指去除同一系统的相同设备下，由于同一种原因在同一时间产生的重复但无意义的告警信息；数据去噪是指去除缺少特征值的告警信息；数据补全是指对业务交易量大的重要系统，产生频率较高，对业务影响范围较大的告警信息，进行特征值的补全工作，确保对重要告警进行分析时，不会出现信息缺失，保障后期告警信息优化。
[0127]
本实施方式中，在获得历史告警信息后，对告警信息进行预处理，得到了规范、统一、可用性强的历史告警信息，采用预处理后的历史告警信息对初始的告警分类模型进行训练，可以得到准确性更高的告警分类模型，从而得到准确的告警分类结果。
[0128]
划分模块62，用于依照样本库中历史告警信息的参考分类结果，将样本库分为多个子样本库。
[0129]
其中，多个子样本库与不同的紧急程度一一对应。示例性的，将样本库按照历史告警信息的参考分类结果分为正常子样本库、一般子样本库以及严重子样本库。
[0130]
构建模块52，还用于对于每个子样本库分别建立子样本库对应的图网络。
[0131]
可以理解，子样本库中包括多个历史告警信息，基于子样本库中的所有历史告警信息的特征数据构建待分类告警信息对应的图网络。
[0132]
建立模块63，用于基于图卷积神经网络，建立初始的告警分类模型；
[0133]
训练模块64，用于分别基于多个子样本库对应的图网络，对初始的告警分类模型进行训练，直至获得告警分类模型。
[0134]
实际应用中，每个子样本库对应的参考分类结果一致，每个子样本库中的告警分类信息之间的具有关联关系。因此，分别基于多个子样本库对应的图网络，对初始的告警分类模型进行训练，可以有效提高告警分类模型的准确性。
[0135]
可选的，循环基于每个子样本库对应的图网络，对初始的告警分类模型进行训练，直至获得告警分类模型。
[0136]
在一种可能的实施方式中，构建模块52，还用于：将每个子样本库划分为多个样本集合，对于每个样本集合分别构建样本集合对应的图网络；训练模块64，具体用于：针对每个子样本库，基于子样本库下的各样本集合对应的图网络，采用小批量迭代训练的方式，对初始的告警分类模型进行训练，直至获得告警分类模型。
[0137]
其中，小批量迭代训练是指将子样本库进一步划分为单体数据量更小的多个样本集合，基于多个样本集合进行多次迭代训练。实际应用中，子样本库中的历史告警信息数量较大且特征属性较多，生成的图网络关系属性更复杂，对关系属性复杂的图网络的训练复杂度更高，需要的训练时间较长。故为了节省训练时间，采用小批量迭代训练的方式。举例来说，针对每个子样本库，将其进一步划分为n个样本集合，根据每个样本集合生成一个对应的图网络，即得到n个图网络。分别基于n个图网络对告警分类模型进行训练。需要说明的是，每次迭代训练的模型为当前的告警分类模型，即经过上一次迭代训练得到的模型。
[0138]
实际应用中，采用小批量迭代训练的方式，训练的次数增加，可以有效提高告警分类模型的准确性。
[0139]
本实施方式中，子样本库中的历史告警信息数量较大且特征属性较多时，通过小批量迭代的方式节省了训练时间，提高了告警分类模型的准确性。
[0140]
在一种可能的实施方式中，构建模块52，还用于：
[0141]
将每个子样本库划分为训练集和测试集，将训练集和测试集分别划分为多个样本集合，对于每个样本集合分别构建样本集合对应的图网络；
[0142]
训练模块64，具体用于：
[0143]
针对每个子样本库，基于子样本库训练集下的各样本集合对应的图网络，采用小批量迭代训练的方式，对初始的告警分类模型进行训练；基于子样本库测试集下的各样本集各对应的图网络，采用小批量迭代测试的方式，对当前的告警分类模型进行测试，直至获得告警分类模型。
[0144]
在一种可能的实施方式中，训练模块64，包括：
[0145]
处理单元，用于针对每个子样本库，将该子样本库下的每个样本集合对应的图网络输入当前的告警分类模型，得到模型输出的第一告警分类结果；
[0146]
第一计算单元，用于计算样本集合所属的子样本库对应的参考分类结果与第一告警分类结果的相似度；
[0147]
模型调整单元，用于根据当前的相似度调整告警分类模型，直至当前的相似度满足预设的要求，则判定训练完成。
[0148]
其中，相似度表征样本集合所属的子样本库对应的参考分类结果与第一告警分类结果的关联程度，相似度越大，关联程度越密切。
[0149]
本实施方式中，通过计算样本集合所属的子样本库对应的参考分类结果与第一告警分类结果的相似度，根据相似度是否满足预设的要求，动态判断训练是否完成。
[0150]
本实施例提供的告警分类装置中，样本生成模块根据历史告警信息生成样本库；划分模块依照样本库中历史告警信息的参考分类结果，将样本库分为多个子样本库；构建模块对于每个子样本库分别构建子样本库对应的图网络；建立模块基于图卷积神经网络，建立初始的告警分类模型；训练模块分别基于多个子样本库对应的图网络，对初始的告警分类模型进行训练，直至获得告警分类模型。本实施例中，基于图卷积神经网络，建立初始的告警分类模型，并基于多个子样本库对应图网络，对初始的告警分类模型进行训练，获得告警分类模型，应用训练得到的告警分类模型，得到准确的告警分类结果。
[0151]
实施例六
[0152]
图7为本技术实施例六中提供的一种电子设备的结构示意图，如图7所示，该电子设备包括：
[0153]
处理器(processor)71，电子设备还包括了存储器(memory)72；还可以包括通信接口(communication interface)73和总线74。其中，处理器71、存储器72、通信接口73、可以通过总线74完成相互间的通信。通信接口73可以用于信息传输。处理器71可以调用存储器72中的逻辑指令，以执行上述实施例的方法。
[0154]
此外，上述的存储器72中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。
[0155]
存储器72作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序，如本技术实施例中的方法对应的程序指令/模块。处理器71通过运行存储在存储器72中的软件程序、指令以及模块，从而执行功能应用以及数据处理，即实现上述方法实施例中的方法。
[0156]
存储器72可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至
少一个功能所需的应用程序；存储数据区可存储根据终端设备的使用所创建的数据等。此外，存储器72可以包括高速随机存取存储器，还可以包括非易失性存储器。
[0157]
本技术实施例提供一种非临时性计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现如前述实施例的方法。
[0158]
本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本技术的真正范围和精神由下面的权利要求书指出。
[0159]
应当理解的是，本技术并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求书来限制。