Life 版 (精华区)

发信人: Muller (胖胖熊~~雨巷, 林中路和山), 信区: other
标  题: KDD在通信网络警报处理中的应用
发信站: 听涛站 (Fri Feb  2 21:47:26 2001), 转信


数据挖掘系统在通信网络警报处理中的应用
　
一个通信网络可以看成是由互相连接的部件组成：交换器，传输设备等。每个部件又包
含一些子部件。分析的层次不同，部件的数目也不相同。一般来说，一个局域电话网包
含10-1000个部件。
在通信网络的运行过程中，网络中的每个（子）部件和软件模块都可能产生警报，这些
警报描述了某些异常情况的发生。它们所指示的问题对用户来讲不一定是可见的。一个
网络所发出的警报数目是相当可观的，甚至在一个小的局部通信网络中，也可能存在成
千上万个不同类型的警报。警报数目可能因网络的不同、时间条件的变化而有很大差别
，但通常情况下，对一个一般的通信网络，每天可能产生200-10000个警报。
通信网络管理系统的操作维护中心接收网络中各节点发来的警报，它将这些警报信息存
储在一个警报数据库中。对这些警报的处理有多种形式，可以简单地将它们忽略，但更
重要的是将这些警报提示给网络管理员，由管理员来决定怎么处理。
不同时间发生的警报组成一个警报流，处理警报流是一项十分困难的工作，主要有以下
原因：
1 对于一个大型的通信网络，每天产生的警报类型和数量都是相当可观的，这表明在网
络中所发生的异常情况也是种类繁多，数量巨大。
2 警报具有突发性。也就是说，在很短的时间内可能产生很多警报信息，网络管理员很
难在这么短的时间内处理如此多的警报，然而，警报的突发又说明可能发生了重大的故
障，网络管理员必须进行处理。
3 通信网络中的软硬件更新换代很快，当新的节点加入或旧的节点更新时，警报序列的
特点也随之发生改变，网络管理员要跟上这些改变是相当困难的。
人们为了解决处理警报信息的问题，采用警报过滤和关联技术，提高提交信息的抽象级
别，从而减少提交给网络管理员的警报信息的数量。警报过滤是指在分层网络中的每一
层都对下层节点发来的警报进行过滤：一个节点只发送从子节点收到的部分警报；警报
关联是指对警报进行合并和转化，将多个警报合并成一条具有更多信息量的警报，这样
，可以通过发送一条警报来代替多条警报。警报过滤和相关需要存储关于警报序列的知
识，这些知识从原则上讲可以取自设计单个部件的工程师或有广泛操作经验的工程师。
然而，这一过程相当烦琐。警报的过滤和相关可以用来减少提交给网络管理员的警报数
量，然而，它们却不能对网络的行为作出有效的预测，从而避免重大故障的发生。网络
中的故障通常出现在网络中部件间的连接上，它们的预测是一件相当困难的事，而这种
预测却可带来相当可观的经济效益。
TASA（Telecommunication Network Alarm Sequence Analyzer）是芬兰赫尔辛基大学计
算机科学系的K. H? t? nen、M. Klemettinen、H. Mannila、P. Ronkainen、H. Toivo
nen等人开发的一个基于通信网络中警报数据库的知识发现系统。TASA系统是与一个通信
设备生产厂商及三个电话经营商（两个固定城市电话网和一个国家范围的移动通信网）
合作开发的。该系统的目的是寻找有助于处理警报序列的规则；这些规则用来过滤、转
换警报，并用来预测故障。
TASA系统将一个警报表示成三元组（c, a, t），其中c表示发送这一警报的部件，a是警
报类型，t是警报的发生时间。而后利用统计的方法，从一个警报序列中寻找某一情节发
生的概率。一段情节是指警报间的一个偏序关系，如某一段情节.
TASA系统在警报流中计算那些经常发生的情节，根据这些情节，最后提取有用规律。从
一个警报序列中，可以发现不同类型的知识，如神经网络、风险模型、或是基于规则的
知识。
如果最终的目的是获得好的预测性能，神经网络是很好的选择，许多证据表明神经网络
在预测方面有很好的适用性。神经网络将知识以连接权的形式来表示，不易理解，然而
，在通信网络警报处理中，一个重要的目的是发现可理解的知识：通信厂商不想在他们
的系统中安装任何“黑盒子”之类的东西，这就排除了应用神经网络这种简单想法。
TASA系统知识发现中所采用的是基于规则的形式，一个一般的规则形式如下：“如果某
一警报组合在一段时间内发生，那么在给定的时间间隔内，某一类型的警报可能发生”
。之所以选取这种类型的知识，考虑到如下的几条原因：
1 可理解性：这类知识易于被人们理解，当前处理警报序列的操作员喜欢用这种类型来
表达他们关于警报的知识。
2 应用领域的特点：这类规则是这一领域中简单因果关系的表达，可以证明这类知识适
用于通信网络。
3 存在有效算法：这种类型的规则当前有比较有效的算法来获取。
几个TASA系统中发现的规则类型例子如下：
1 如果A类型警报发生，那么在30秒钟内B类型警报发生的概率为80%。
2 如果A类型和B类型警报在5秒钟内发生，那么在60秒内C类型警报发生的概率为70%。
3 如果A类型警报在一B类型警告之前发生，C类型发生于D类型之前，而且都在15秒的
范围内，那么E类警报在接下来的4分钟内发生的概率为60%。
    对于发现的规则，TASA系统还提供了一些比较好的工具来对规则进行后处理，其中
有规则的剪辑、规则的定制、规则的组合等，使得这些规则更便于应用。TASA系统的第
一个版本已经通过实际的警报数据的测试，结果比较好，一些通过TASA发现的规则正在
被一些网络开发商用于产品开发中。
  

--
          法学院BBS: bbs.law.tsinghua.edu.cn
          FTP站: 166.111.104.5
          水木摄影板的根据地: ftp://166.111.104.5/incoming
          Welcome.

※ 来源:．听涛站 cces.net．[FROM: 匿名天使的家]