基于序列模式挖掘的告警相关性分析算法

告警相关性分析在通信网络管理中有着重要的应用.提出了一种基于序列模式挖掘提取告警相关性规则的方法.针对引入时间约束的序列模式挖掘问题提出了较为完备的数学模型,定义了求解问题的规则,并构造了引入时间约束的序列模式挖掘算法(FSPTM算法).算法采用特定的数据结构记录序列的时间信息,提高了支持度的计算效率.对某省移动网络连续4个月告警数据的分析结果验证了算法的有效性.     

一种有效的通信网络告警分析方法

以往大多告警分析研究都是假设通信网络中所有告警是平等的,考虑此假设的不合理性,提出了一种加权告警分析方法。首先,根据告警对网络的影响程度,采用熵值法为不同的告警分配不同的权值,并将其转换成适合于数据挖掘的序列数据集;然后,设计了一种加权告警序列模式挖掘算法,并采用了一种新颖的剪枝策略来缩减需要挖掘的数据集大小以提高算法的效率;最后,利用该算法挖掘告警数据中的时序关系。实验结果表明,这种加权告警分析方法在剪枝效果、挖掘重要告警序列模式和执行效率方面具有很好的性能。     

入侵检测中基于序列模式的告警关联分析

提出一种基于序列模式的告警关联分析模型,实现对攻击告警的分析。该模型预处理部分利用网络拓扑信息和告警属性相似度隶属函数对原始告警进行过滤和融合;在WINEPI算法的基础上,考虑告警数据库增长的情况,提出一种告警的增量式序列模式挖掘算法,用于关联规则发现;在线关联模块匹配规则库形成攻击场景图,并预测未知攻击事件。使用2000 DARPA攻击数据集测试表明,该模型能够明显改善入侵检测系统的性能,验证了模型和算法的有效性。     

挖掘电信告警关联模式方法

关联模式挖掘算法通常受到最小支持度的限制,仅能得到频繁告警序列间的关联模式,针对这一问题,基于图论思想提出了一种挖掘电信网络告警间关联模式的方法.首先在单遍扫描数据库的条件下挖掘网络中的二项关联模式,然后直接发现其最大关联模式,从而避免大量中间项集的产生. 基于实际网络告警数据的实验结果表明,该方法不仅具有较高的效率,而且有效.     

基于PrefixSpan的网络流量识别特征自动提取算法

基于深度报文检测的网络流量识别方法因其识别准确率高在现有网络流量识别设备中应用广泛,但其识别特征的自动提取存在困难.提出了基于PrefixSpan算法的连续序列模式挖掘算法,在连续序列和偏移属性约束下,引入跨度策略,在网络流量中自动提取同一网络协议或应用的应用层签名特征.实验结果表明,该算法减小了投影数据库的规模,具有良好的时间性能,挖掘的应用层签名特征规模小,可有效地应用于网络流量识别.     

一种基于相关度统计的告警关联规则挖掘算法

挖掘告警序列间关联规则的算法都受到最小支持度的限制，仅能够得到频繁告警序列间的关联规则. 对此，提出了一种以高相关度、高置信度为条件，通过聚类找到特征相同的网元告警群，然后基于相关度统计的挖掘算法. 实验结果表明，该算法可以高效、准确地挖掘出电信网络告警数据库中频繁和非频繁告警序列间的关联规则.     

面向5G海量网管数据的故障溯源技术

针对第5代移动通信系统（5G）环境下海量网管数据溯源难、关联挖掘冗余度大的问题,结合时间约束、滑动时间窗和分类层次技术,提出了一种基于网络拓扑的时序告警关联挖掘算法.该算法可以有效缩减候选集,实现对海量网管数据高效压缩和快速溯源.仿真结果表明,改进后的故障溯源候选集在拓扑上具有实际关联性,对比其他关联算法更有效.     

通信网告警加权关联规则挖掘算法的研究

关联规则挖掘算法是通信网告警相关性分析中的重要方法。在处理数量庞大的告警数据库时,算法的效率显得至关重要,而经典的FP-growth算法会产生大量的条件模式树,加权算法MINWAL (O)则需要多次扫描数据库,使得在通信网环境下挖掘关联规则的难度非常大。该文提出了一种高效的基于加权频繁模式树的通信网告警关联规则挖掘算法,算法性能测试表明,该算法与已有的加权关联规则挖掘算法相比较,节约了大量的存储空间,提高了算法的挖掘速度,对通信网的故障诊断和故障定位有着积极的意义。     

TESP:带时间特征的序列模式挖掘算法

引入序列模式时间特征的概念,提出一个带时间约束的序列模式挖掘算法,称做TESP(Time-Enriched Sequential Pattern mining),算法在找出模式的同时,也给出序列模式的时间特征,并且允许用户在挖掘之前对模式的这些时间特征进行限制,提高了序列模式挖掘的灵活性和有用性。     

交换机告警报告中的知识发现

根据交换机告警数据,描述了时间序列数据的关联关系挖掘算法,并提出了精确度更高的二次挖掘方法,提供了一种对挖掘知识的处理手段.     

基于告警属性聚类的攻击场景关联规则挖掘方法研究

针对现有攻击场景重构方法中存在关联规则挖掘不充分、攻击场景链断裂的问题,以及安全设备的误告警影响攻击场景重构准确性的现状,提出一种基于告警属性聚类的攻击场景关联规则挖掘方法。该方法能够有效挖掘攻击场景关联规则,减少攻击链断裂,还原实际的多步攻击,更好地帮助安全管理员深入理解攻击者入侵行为并掌握攻击全貌。以真实网络中的安全设备的原始告警为数据源,首先,对原始告警数据进行预处理,实现告警数据的归一化。然后,通过构建告警时间序列,利用FFT和Pearson相关系数对误告警周期特性进行分析,生成误告警过滤规则。接着,提出一种基于动态时间阈值的告警属性聚类方法,通过告警属性相似性刻画告警间相似度,并根据告警发生的时间间隔结合动态时间阈值方法更新聚类时间,对属于同一攻击场景的告警进行聚类。最后,利用Apriori频繁项挖掘算法生成攻击场景序列模式,并对具有重复攻击步骤的攻击场景序列模式进行融合生成关联规则。在四川大学校园网真实环境中进行实验,结果表明所提方法可有效缓解攻击链断裂问题和误告警的影响,相较于对比方法可有效提升生成的攻击场景关联规则的完整性。     

网络故障管理系统中告警相关性分析实现技术研究

告警相关性分析是网络故障管理系统中的一个重要研究课题．本文给出了一种基于规则引擎的网络故障管理系统结构,阐述了采用基于Java的开源规则引擎Drools和关联规则挖掘工具Weka,开发基于规则引擎的网络故障管理系统告警相关性分析模块的设计方法与具体实现技术．     

基于ARM的智能监控系统的设计与实现

针对现有的监控系统和报警系统缺乏组合和集成的问题,提出了一种基于ARM（AdvancedRISCMa．chines）的视频监控系统。该系统选用嵌入式WinCE操作系统、ARM的$3C2440处理器和130万像素的CMOS（ComplenmentaryMetal—Oxide—Semiconductor）摄像头组成视频采集装置,将背景减法、帧差法相结合并加入自适应更新背景的方法进行运动目标的检测。最后通过SMTP（SimpleMailTrasportProtoc01）和MIME（MutipurposeInteractMailExtension）协议传输,统一采用通过手机邮箱与手机相连的方式实现报警信息的发送。有人闯入监视场所时会自行报警,把采集视频通过网络及时传送到用户手持端。实验结果表明,该智能监控系统效率高,接口丰富,具有较高的安全可靠性。     

通信网告警相关性分析中有效的关联规则挖掘算法

关联规则挖掘算法是通信网告警相关性分析中的重要方法。在处理数量庞大的告警数据库时,算法的效率显得至关重要,而经典的FP-growth算法会产生大量的条件模式树,使得在通信网环境下挖掘关联规则的难度非常大。针对上述问题,提出了一种基于分层频繁模式树的LFPTDP算法,采用分层模式树的方法产生频繁项集,从而避免了产生大量的条件模式树,并用动态剪枝的方法删除大量的非频繁项。算法分析及仿真表明,LFPTDP算法具有较好的时间和空间效率,是一种适合于通信网告警相关性分析的关联规则挖掘算法。     

A Causal Fusion Inference Method for Industrial Alarm Root Cause Analysis Based on Process Topology and Alarm Event Data

Modern industrial systems are usually in large scale, consisting of massive components and variables that form a complex system topology. Owing to the interconnections among devices, a fault may occur and propagate to exert widespread influences and lead to a variety of alarms. Obtaining the root causes of alarms is beneficial to the decision supports in making corrective alarm responses. Existing data-driven methods for alarm root cause analysis detect causal relations among alarms mainly based on historical alarm event data. To improve the accuracy, this paper proposes a causal fusion inference method for industrial alarm root cause analysis based on process topology and alarm events. A Granger causality inference method considering process topology is exploited to find out the causal relations among alarms. The topological nodes are used as the inputs of the model, and the alarm causal adjacency matrix between alarm variables is obtained by calculating the likelihood of the topological Hawkes process. The root cause is then obtained from the directed acyclic graph (DAG) among alarm variables. The effectiveness of the proposed method is verified by simulations based on both a numerical example and the Tennessee Eastman process (TEP) model.