一种告警关联分析的方法及相关设备与流程

本技术涉及安全，特别是涉及一种告警关联分析的方法及相关设备。

背景技术：

1、随着网络技术的迅速发展，网络的规模日益庞大，网络的结构也越来越复杂，使得网络的运营维护变得复杂。网络的运维工作人员需要对各类告警信息进行分析，以感知到网络中发生的故障并查找到故障原因。

2、通常，网络运行过程中产生的告警信息，往往具备一定的相关性，目前对告警信息进行关联分析的方式，存在泛化性差、准确性差或成本高等问题，不能满足在网络复杂化的场景下网络安全的需求。

技术实现思路

1、基于此，本技术提供了一种告警关联分析的方法及相关设备，基于业务的特点对网络进行社群划分，并基于社群对告警信息进行分析，实现泛化性强、准确度高、分析成本低的告警关联分析，从而满足日益复杂的网络对网络安全的需求。

2、第一方面，本技术提供了一种告警关联分析的方法，该方法中考虑业务的属性与故障情况具有强相关性，基于业务的特点对网络进行社群(community)划分，被划分到同一社群内的网络设备之间的业务的相关性高于属于不同社群的网络设备之间的业务的相关性；而且，配置用于界定社群内的告警信息与社群的关联程度的预设条件，以社群为单位判断社群内的告警信息是否满足预设条件，满足预设条件则可以认为这些告警信息与社群的关联程度较大，将满足预设条件的各社群内的告警信息单独形成告警序列，不满足预设条件则可以认为这些告警信息与社群的关联程度较小，将不满足预设条件的所有社群的告警信息统一形成一个告警序列；从而，对所获得的多个告警序列进行告警关联分析，生成若干告警关联规则。以划分社群中的第一社群和第二社群为例，本技术提供的方法例如可以包括：首先，根据业务信息确定第一社群和第二社群，所述第一社群包括第一网络设备，所述第二社群包括第二网络设备，所述第一网络设备之间的业务的相关性高于所述第一网络设备与所述第二网络设备的业务的相关性，所述第二网络设备之间的业务的相关性高于所述第一网络设备与所述第二网络设备的业务的相关性；接着，根据所述第一社群中的所述第一网络设备产生的第一告警信息、所述第二社群中的所述第二网络设备产生的第二告警信息和预设条件，获得第一告警序列，所述预设条件用于指示所述第一告警序列与所述第一社群或所述第二社群中具有关联关系；然后，基于所述第一告警序列，生成告警关联规则。可见，本技术提供的方法中，充分考虑业务的属性与故障情况的相关性以及社群划分后社群内产生的告警信息与社群的关联程度，基于业务的特点对网络进行社群划分，并以社群维度对告警信息进行归类，实现泛化性强、准确度高、分析成本低的告警关联分析，克服目前的各种告警关联分析方式存在的泛化性差、准确性差或成本高等问题，使得满足日益复杂的网络对网络安全的需求成为可能。

3、其中，所述业务信息可以包括但不限于下述信息中的至少一个：网络设备之间有链路连接、网络设备属于相同的内部网关协议(interior gateway protocol，igp)域、网络设备属于相同的边界网关协议(border gateway protocol，bgp)域、网络设备之间有基于流量工程的段路由传送子集(segment routing transport profile-trafficengineering，sr-tp)隧道或网络设备之间为三层虚拟专用网(layer 3 virtual privatenetwork，l3vpn)。

4、在一些实现方式中，所述根据所述第一社群中的所述第一网络设备产生的第一告警信息、所述第二社群中的所述第二网络设备产生的第二告警信息和预设条件，获得第一告警序列，例如可以包括：若所述第一社群中的所述第一网络设备产生的第一告警信息满足所述预设条件，则，对所述第一告警信息按照告警流水号进行排序，获得所述第一社群对应的所述第一告警序列。如此，第一社群中产生的第一告警信息满足预设条件则可以认为这些第一告警信息与第一社群的关联程度较大，将第一社群内的第一告警信息单独形成第一告警序列，使得后续对告警序列的关联分析更加简单和高效。

5、作为一个示例，若所述第二社群中的所述第二网络设备产生的第二告警信息满足所述预设条件，则，所述方法可以还包括：对所述第二告警信息按照告警流水号进行排序，获得所述第二社群对应的第二告警序列。如此，第二社群中产生的第二告警信息满足预设条件则可以认为这些第二告警信息与第二社群的关联程度较大，将第二社群内的第二告警信息单独形成第二告警序列，使得后续对告警序列的关联分析更加简单和高效。

6、作为另一个示例，若所述第二社群中的所述第二网络设备产生的第二告警信息不满足所述预设条件，则，所述方法还可以包括：将所述第二告警信息与不满足所述预设条件的其他社群中的网络设备所产生的告警信息一起，按照告警流水号进行排序，获得第二告警序列。如此，第二社群中产生的第二告警信息不满足预设条件则可以认为这些第二告警信息与第二社群的关联程度较小，将第二社群内的第二告警信息与其他所有不满足预设条件的社群中的告警信息一起，按照告警流水号进行排序形成一个告警序列——第二告警序列，使得后续对所有与社群关联较小的告警的分析集中于对该第二告警序列的关联分析，告警关联分析的流程更加合理和高效。

7、本技术中，是任何用于界定社群内的告警信息与社群的关联关系的条件。所述第一告警信息满足所述预设条件，例如可以包括：所述第一告警信息发生在所述第一社群内的比例大于第一阈值。其中，所述第一告警信息发生在所述第一社群内的比例大于第一阈值，可以包括：预设时间接收到的告警信息中，所述第一社群内产生第一告警信息的网络设备数量与所述第一社群内所有网络设备的数量之比，大于所述第一阈值；或者，所述第一社群内产生第一告警信息的网络设备的数量与预设时间内发生告警的网络设备的数量之比，大于所述第一阈值。

8、在一些实现方式中，所述根据业务信息确定第一社群和第二社群，可以包括：根据所述业务信息和社群确定模型，确定所述第一社群和所述第二社群。其中，社群确定模型可以包括但不限于下述模型中的任意一个：社群划分算法或聚类算法。

9、作为一个示例，若所述社群确定模型包括社群划分算法，则，所述根据业务信息确定第一社群和第二社群，可以包括：基于网络中的各网络设备的业务信息，获得网络拓扑图，所述网络拓扑图的顶点为所述网络中的各网络设备，所述网络拓扑图的边为所述网络中的各网络设备之间的连接，所述网络拓扑图的边的权重指示相应边连接的两个网络设备之间的业务联系紧密程度；基于所述社群划分算法，对所述网络拓扑图中的网络设备进行社群划分，获得所述第一社群和所述第二社群。

10、该示例中，一种情况下，所述基于网络中的各网络设备的业务信息，获得网络拓扑图，可以包括：获得所述网络的拓扑信息，所述拓扑信息用于指示所述网络中的网络设备之间的链路信息；解析所述网络中的各网络设备的配置信息，获得所述网络中的各网络设备的业务信息；根据所述业务信息和所述拓扑信息，获得所述网络拓扑图。

11、该示例中，另一种情况下，所述基于网络中的各网络设备的业务信息，获得网络拓扑图，可以包括：基于历史告警信息，生成历史告警数据样本贡献和故障频繁项统计图，所述历史告警数据样本贡献用于体现业务之间的关联程度；基于所述历史告警数据样本贡献和所述故障频繁项统计图，获得所述网络拓扑图。

12、如此，基于带权重的网络拓扑图和社群划分算法，可以将网络按照业务的特点划分为多个不同的社群，为本技术中的告警关联分析做好了准备工作。

13、作为另一个示例，若所述社群确定模型包括聚类算法，所述根据业务信息确定第一社群和第二社群，可以包括：对网络中的各网络设备的业务信息进行编码，获得所述网络中的各网络设备的编码向量；基于所述聚类算法，对所述网络中的各网络设备的编码向量进行聚类，获得聚类结果，所述聚类结果包括第一类和第二类，所述第一类对应所述第一社群，所述第二类对应所述第二社群。

14、如此，基于网络设备的编码向量和聚类算法，可以将网络按照业务的特点划分为多个不同的社群，为本技术中的告警关联分析做好了准备工作。

15、在一些实现方式中，所述基于所述第一告警序列，生成告警关联规则，可以包括：对所述第一告警序列使用频繁项挖掘算法进行处理，获得所述第一告警序列对应的告警关联规则。

16、其中，所述第一告警信息、所述第二告警信息和所述告警关联规则可以属于训练告警关联分析模型的样本，所述告警关联分析模型用于确定输入的告警信息的告警关联规则。如此，该方法还可以包括：获得实时告警信息；基于所述告警关联分析模型对所述实时告警信息进行分析，获得所述实时告警信息的告警关联规则。如此，通过训练好的告警关联分析模型，能够方便、快速和准确的完成对实时告警信息的关联分析，保障网络安全。

17、第二方面，本技术还提供了一种告警关联分析的装置，该装置例如可以包括：确定单元、第一获得单元和生成单元。其中，确定单元，用于根据业务信息确定第一社群和第二社群，所述第一社群包括第一网络设备，所述第二社群包括第二网络设备，所述第一网络设备之间的业务的相关性高于所述第一网络设备与所述第二网络设备的业务的相关性，所述第二网络设备之间的业务的相关性高于所述第一网络设备与所述第二网络设备的业务的相关性；第一获得单元，用于根据所述第一社群中的所述第一网络设备产生的第一告警信息、所述第二社群中的所述第二网络设备产生的第二告警信息和预设条件，获得第一告警序列，所述预设条件用于指示所述第一告警序列与所述第一社群或所述第二社群中具有关联关系；生成单元，用于基于所述第一告警序列，生成告警关联规则。

18、在一些实现方式中，所述第一获得单元，具体用于：若所述第一社群中的所述第一网络设备产生的第一告警信息满足所述预设条件，则，对所述第一告警信息按照告警流水号进行排序，获得所述第一社群对应的所述第一告警序列。

19、作为一个示例，所述装置还可以包括：第二获得单元。所述第二获得单元，用于若所述第二社群中的所述第二网络设备产生的第二告警信息满足所述预设条件，则，对所述第二告警信息按照告警流水号进行排序，获得所述第二社群对应的第二告警序列。

20、作为另一个示例，所述装置还可以包括：第三获得单元。所述第三获得单元，用于若所述第二社群中的所述第二网络设备产生的第二告警信息不满足所述预设条件，则，将所述第二告警信息与不满足所述预设条件的其他社群中的网络设备所产生的告警信息一起，按照告警流水号进行排序，获得第二告警序列。

21、其中，所述第一告警信息满足所述预设条件，可以包括：所述第一告警信息发生在所述第一社群内的比例大于第一阈值。一种情况下，所述第一告警信息发生在所述第一社群内的比例大于第一阈值，具体为：预设时间接收到的告警信息中，所述第一社群内产生第一告警信息的网络设备数量与所述第一社群内所有网络设备的数量之比，大于所述第一阈值；或者，所述第一告警信息发生在所述第一社群内的比例大于第一阈值，具体为：所述第一社群内产生第一告警信息的网络设备的数量与预设时间内发生告警的网络设备的数量之比，大于所述第一阈值。

22、在一些实现方式中，所述确定单元，具体用于：根据所述业务信息和社群确定模型，确定所述第一社群和所述第二社群。

23、作为一个示例，所述社群确定模型包括社群划分算法，所述确定单元，包括：获得子单元和划分子单元。其中，获得子单元，用于基于网络中的各网络设备的业务信息，获得网络拓扑图，所述网络拓扑图的顶点为所述网络中的各网络设备，所述网络拓扑图的边为所述网络中的各网络设备之间的连接，所述网络拓扑图的边的权重指示相应边连接的两个网络设备之间的业务联系紧密程度；划分子单元，用于基于所述社群划分算法，对所述网络拓扑图中的网络设备进行社群划分，获得所述第一社群和所述第二社群。

24、该示例中，一种情况下，所述获得子单元，具体用于：获得所述网络的拓扑信息，所述拓扑信息用于指示所述网络中的网络设备之间的链路信息；解析所述网络中的各网络设备的配置信息，获得所述网络中的各网络设备的业务信息；根据所述业务信息和所述拓扑信息，获得所述网络拓扑图。

25、该示例中，另一种情况下，所述获得子单元，具体用于：基于历史告警信息，生成历史告警数据样本贡献和故障频繁项统计图，所述历史告警数据样本贡献用于体现业务之间的关联程度；基于所述历史告警数据样本贡献和所述故障频繁项统计图，获得所述网络拓扑图。

26、作为另一个示例，所述社群确定模型包括聚类算法，所述确定单元，包括：编码子单元和聚类子单元。其中，编码子单元，用于对网络中的各网络设备的业务信息进行编码，获得所述网络中的各网络设备的编码向量；聚类子单元，用于基于所述聚类算法，对所述网络中的各网络设备的编码向量进行聚类，获得聚类结果，所述聚类结果包括第一类和第二类，所述第一类对应所述第一社群，所述第二类对应所述第二社群。

27、在一些实现方式中，所述生成单元，具体用于：对所述第一告警序列使用频繁项挖掘算法进行处理，获得所述第一告警序列对应的告警关联规则。

28、在一些实现方式中，所述第一告警信息、所述第二告警信息和所述告警关联规则属于训练告警关联分析模型的样本，所述告警关联分析模型用于确定输入的告警信息的告警关联规则。

29、作为一个示例，所述装置还可以包括：第四获得单元和第五获得单元。其中，第四获得单元，用于获得实时告警信息；第五获得单元，用于基于所述告警关联分析模型对所述实时告警信息进行分析，获得所述实时告警信息的告警关联规则。

30、本技术中，所述业务信息可以包括下述信息中的至少一个：网络设备之间有链路连接、网络设备属于相同的igp域、网络设备属于相同的bgp域、网络设备之间有基于sr-tp隧道或网络设备之间为l3vpn。

31、需要说明的是，该第二方面提供的告警关联分析的装置用于执行上述第一方面提及的相关操作，其具体实现方式以及达到的效果，均可以参见上述第一方面的相关描述，在此不再赘述。

32、第三方面，本技术还提供了一种网络设备，该网络设备包括：处理器和存储器，其中：所述存储器，用于存储指令或计算机程序；所述处理器，用于执行所述存储器中的指令或计算机程序，使得所述网络设备执行以上第一方面的任意一种可能的实现方式中提供的方法。

33、第四方面，本技术还提供了一种计算机可读存储介质，计算机可读存储介质中存储有程序代码或指令，当其在处理器上运行时，使得计算机执行以上第一方面的任意一种可能的实现方式中提供的方法。

34、第五方面，本技术还提供了一种计算机程序产品，当该计算机程序产品在处理器上运行时，使得处理器执行第一方面的任意一种可能的实现方式中提供的方法。

35、第六方面，本技术提供了一种芯片，包括存储器和处理器，存储器用于存储计算机程序，处理器用于从存储器中调用并运行该计算机程序，以执行上述第一方面的任意一种可能的实现方式中提供的方法。

36、可选地，上述芯片仅包括处理器，处理器用于读取并执行存储器中存储的计算机程序，当计算机程序被执行时，处理器执行上述第一方面的任意一种可能的实现方式中提供的方法。