第6告警相关性,7章网络安全.pptVIP

本课程教学内容 第6章 相关性分析技术 6.1 告警相关性分析的概念 6.2 相关性分析方法和算法 参考资料： 《新一代网络管理技术》夏海涛等 第11章 相关性分析 6 相关性分析技术 6.1 告警相关性分析的概念 6.2 相关性分析方法和算法 6.1 告警相关性分析概念 告警 在网络管理中，故障是产生功能异常的原因，是产生告警事件的原因 告警是在特定事件发生时被管对象发出的通报构成的一种事件报告，只是对系统当前发生异常的响应。 告警只是表示可能有故障发生，但不一定有故障发生。 告警仅仅是反映网络状况发生改变的征兆。通常是故障产生了告警，一个故障可能是另一个故障的根源，但一个告警绝对不会产生出其他告警。 告警相关性 什么是告警相关性？ 两个或多个告警之间的关联关系。 为什么要进行相关性分析？ 便于从海量告警中找到根源告警，快速定位故障。 对于派生的对故障影响较小的告警经过特定的告警操作不再实时地呈现给运维人员，使维护人员能集中关注处理故障的根源告警。 关联关系种类 依赖：如果B告警发生的前提是A告警，则称B依赖于A。 派生：如果A告警发生后，将引发B告警，则称A派生B。 同源：如果A和B告警的发生，都是源于C（C可能为某故障），则称A和B为同源。 推测：其他，随着研究的深入，可对推测关系再进行细分。 告警相关性分析 指对告警进行合并和转化，将多个告警合并成为一条具有更多信息量的告警，确定能反应故障根本原因的告警，从而准确定位故障。 告警相关性分析用途 网络故障的定位 告警过滤 把非故障性告警过滤掉，保留主要的、根本性 原因告警。 告警相关性分析的基本机制 对来自一个或多个源的告警的过滤、计数、压缩、泛化、分类、模式匹配等。 告警压缩：将发生的多个告警压缩到一个告警中 告警过滤：如果告警A的P值不属于合法集合H，则过滤掉告警A 告警抑制：在前提A告警（如高优先级告警）发生的情况下，抑制告警C（低优先级的告警） 告警计数：对重复到达的告警进行统计和设置门限值。如，用一个告警B代替n次出现的告警A 告警泛化：用告警的超类代替该告警 告警特化：用特定的告警子集代替告警 告警时序关系：相关的告警依赖于告警发生时间顺序，告警A、告警B顺序发生时，则会发生告警C 告警分析困难的原因 由于一个故障，导致设备产生了多个告警 故障本身间歇性发作，这意味着每当故障发生时便发送告警事件 当设备中某个部件发生故障时，每次由该部件提供的服务被激活，都可能发出告警事件 单独一个告警可能被多个网络部件监测到，每一个部件都发送告警事件 已知部件的故障可能影响到其他几个部件，产生故障扩散。 多个故障同时发生，则此时的告警事件有许多潜在重叠 产生告警的问题并总是可以观察到。许多产生故障的根本原因可能无法直接观察到。 告警事件中包含了许多无意义信息、冗余信息 隐含的依靠性。在告警相关性分析之前，要建立被管网络的模型。可能由于网络模型过于精简，许多网络构件没有被包含在网络模型中，这样发生在未知网络构件上的故障很可能被认为发生在其他已知的网络构件上。 复杂的依靠性。被采纳的依靠服务有一个前提，当关键的前提不成立时，所有依赖这个前提的元素都不成立 不完整的数据。通常假设可以获得网络的全部告警信息。但当传输中断时，就无法获得告警信息。 在大型、异构通信网络中没有统一的网络时间，这为告警事件的比较和分析带来困难 可能存在多个反应故障的告警事件同时发生。 动态发展、变化的通信网络。网络的变化，都会引起告警相关性规则的变化 6.2 相关性分析方法和算法 基于因果关系的相关性分析 基于编码相关性分析 是基于因果关系模型的分析方法的变种，它通过对事件知识模型的预处理，减少了实时告警相关性分析的复杂性，加快根源故障的分析速度。 预处理：将可以监测到的告警事件进行编码，并将每个告警与相应的故障关联起来，生成告警---故障矩阵（也叫编码手册），并被保存得尽可能的小。 相关性分析器：通过与编码手册比较告警事件，并且识别故障。 基于模型推理的相关性分析 基于模型的系统是一个基于知识的系统，从对其结构和功能行为的显示表示来对系统进行推理。 在网络的故障管理中，网络结构（网元类型、拓扑和包含关系限制）和行为（告警的动态相关性分析）都被建模。 选择合适的模型抽象级别很重要，这个模型应该包括响应的功能、因果关系、组合关系以及设备的结构语义信息 基于事例推理的相关性分析 基于事例的推理时，通过直接利用过去的经验和方法，来解决给定网络的问题。事例是以前遇到并已经解决的特定问题。 如果碰到了一个新问题，基于事例的推理首先检查已存储的事例，查找到相似的事例，然后将该事例的解决方案应用到新问题，最后将该问题加到存储的事例集（知识库）