一种告警聚合方法、装置、设备及存储介质与流程

1.本技术实施例涉及告警处理技术领域，具体涉及一种告警聚合方法、装置、设备及存储介质。


背景技术：

2.随着互联网技术的快速发展，各种业务系统的规模和复杂度也逐渐增高，使得对于业务系统内告警事件的检测要求也越来越高。为了全面检测检测业务系统内的告警事件，通常会定义多种告警检测条件，以从多个维度下检测是否存在告警事件。然而，业务系统内的一个异常点可能会触发生成多个维度下的告警事件，进而产生告警风暴，导致告警事件出现事实失效的问题。因此，为了避免业务系统内产生告警风暴，需要对由一个异常点引起的多个告警事件进行聚合告警，以减少业务系统内的告警次数。
3.目前，通常会采用各种基于概率的因果推理模型或者模式识别算法来分析业务系统每两个告警事件之间的关联关系，然后基于每两个告警事件的二元关联关系，统一分析全局告警事件之间的多元关联关系，进而按照全局的多元关联关系对告警事件进行聚合告警。
4.但是，对于业务系统内多个告警事件之间实际存在的多元关联关系，并不能全是由多个二元关联关系构建得到，以告警事件e表示“主服务不可用”、告警事件c表示“副本服务不可用”和告警事件d表示“业务服务掉线”为例可知，e和c能够共同推导出d，说明e、c、d之间存在三元关联关系，然而单独由e或者c并不能推导出d，说明e和d或者c和d之间均不存在二元关联关系，那么采用现有方式无法构建出e、c、d之间的三元关联关系。而且，业务系统中告警事件之间实际存在的多元关联关系无法由相应的二元关联关系构建得到的现象是普遍存在的，因此现有的聚合告警无法实现业务系统内告警事件的全面聚合，仍然存在告警次数过多的问题。


技术实现要素：

5.本技术提供一种告警聚合方法、装置、设备及存储介质，从全局伴随告警的角度分析每一告警事件下的告警关联关系，确保告警关联关系的全面性，实现告警事件的全面聚合，进而极大减少业务系统内的告警次数，避免产生告警风暴。
6.第一方面，本技术实施例提供了一种告警聚合方法，该方法包括：
7.针对每一告警事件，从已形成的告警时序图景中，截取该告警事件所处的每一告警伴随时段内的告警时序子图，所述告警时序图景由各所述告警事件按时序分布而形成；
8.针对每一告警事件，根据该告警事件所处的各所述告警伴随时段内告警时序子图叠加后的伴随告警热点，确定该告警事件下的告警关联关系；
9.按照每一告警事件下的告警关联关系，对各所述告警事件进行告警聚合。
10.进一步的，所述针对每一告警事件，根据该告警事件所处的各所述告警伴随时段内告警时序子图叠加后的伴随告警热点，确定该告警事件下的告警关联关系，包括：
11.针对每一告警事件，叠加该告警事件所处的各所述告警伴随时段内的告警时序子图，以确定每一告警事件伴随该告警事件出现的伴随告警频次；
12.按照每一告警事件伴随该告警事件出现的伴随告警频次，计算每一告警事件与该告警事件间的告警关联度，以确定该告警事件下的伴随告警热点；
13.在所述伴随告警热点的指向告警事件之间，生成该告警事件下的告警关联关系。
14.进一步的，所述叠加该告警事件所处的各所述告警伴随时段内的告警时序子图，以确定每一告警事件伴随该告警事件出现的伴随告警频次，包括：
15.根据每一告警事件在各所述告警时序子图叠加后的累计出现次数，确定每一告警事件伴随该告警事件出现的伴随告警频次。
16.进一步的，所述按照每一告警事件伴随该告警事件出现的伴随告警频次，计算每一告警事件与该告警事件间的告警关联度，包括：
17.根据每一告警事件在各所述告警时序子图内与该告警事件间的时序分布距离，计算每一告警事件伴随该告警事件出现的时序集中度；
18.基于每一告警事件伴随该告警事件出现的伴随告警频次和时序集中度，计算每一告警事件与该告警事件间的告警关联度。
19.进一步的，所述确定该告警事件下的伴随告警热点，包括：
20.按照每一告警事件与该告警事件间的告警关联度，筛选出对应的离群告警事件；
21.组合除所述离群告警事件外的其余告警事件，得到该告警事件下的伴随告警热点。
22.进一步的，所述针对每一告警事件，从已形成的告警时序图景中，截取该告警事件所处的每一告警伴随时段内的告警时序子图，包括：
23.针对每一告警事件，以该告警事件在所述告警时序图景中所处的每一告警时间点为起点，按照预设的告警伴随时长分别对所述告警时序图景进行截取，得到该告警事件所处的每一告警伴随时段内的告警时序子图。
24.进一步的，所述按照每一告警事件下的告警关联关系，对各所述告警事件进行告警聚合，包括：
25.对每一告警事件下的告警关联关系进行合并去重，得到告警关联集合；
26.对符合所述告警关联集合内任一告警关联关系的告警事件进行告警聚合。
27.进一步的，在针对每一告警事件，从已形成的告警时序图景中，截取该告警事件所处的每一告警伴随时段内的告警时序子图之前，还包括：
28.按照每一告警事件随时间变化的告警分布，形成所述告警时序图景。
29.第二方面，本技术实施例提供了一种告警聚合装置，该装置包括：
30.告警子图截取模块，用于针对每一告警事件，从已形成的告警时序图景中，截取该告警事件所处的每一告警伴随时段内的告警时序子图，所述告警时序图景由各所述告警事件按时序分布而形成；
31.关联关系确定模块，用于针对每一告警事件，根据该告警事件所处的各所述告警伴随时段内告警时序子图叠加后的伴随告警热点，确定该告警事件下的告警关联关系；
32.告警聚合模块，用于按照每一告警事件下的告警关联关系，对各所述告警事件进行告警聚合。
33.第三方面，本技术实施例提供了一种电子设备，该电子设备包括：
34.处理器和存储器，所述存储器用于存储计算机程序，所述处理器用于调用并运行所述存储器中存储的计算机程序，以执行本技术第一方面中提供的告警聚合方法。
35.第四方面，本技术实施例提供了一种计算机可读存储介质，用于存储计算机程序，所述计算机程序使得计算机执行如本技术第一方面中提供的告警聚合方法。
36.第五方面，本技术实施例提供了一种计算机程序产品，包括计算机程序/指令，其特征在于，该计算机程序/指令被处理器执行时实现如本技术第一方面中提供的告警聚合方法。
37.本技术实施例提供的一种告警聚合方法、装置、设备及存储介质，预先由各告警事件按时序分布形成一个告警时序图景，然后针对每一告警事件，从该告警时序图景中分别截取该告警事件所处的每一告警伴随时段内的告警时序子图，然后分析各个告警时序子图叠加后的伴随告警热点，以此从全局伴随告警的角度确定该告警事件下的告警关联关系，通过上述方式即可得到每一告警事件下的告警关联关系，从而实现告警关联关系的全面检测，保证告警事件聚合的全面性，进一步减少业务系统内的告警次数，避免产生告警风暴。
附图说明
38.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
39.图1为本技术实施例示出的一种告警聚合方法的流程图；
40.图2为本技术实施例示出的告警时序图景的示意图；
41.图3为本技术实施例示出的告警时序子图截取和叠加的原理示意图；
42.图4为本技术实施例示出的另一种告警聚合方法的流程图；
43.图5为本技术实施例示出的一种告警聚合装置的原理框图；
44.图6是本技术实施例提供的电子设备的示意性框图。
具体实施方式
45.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
46.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
47.考虑到通过分析业务系统内每两个告警事件间的二元关联关系，无法全面构建业务系统内各告警事件间实际存在的多元关联关系，而导致无法实现告警事件全面聚合的问题，本技术实施例设计了一种从全局伴随告警的角度出发，来挖掘业务系统内各告警事件间实际存在的各种告警关联关系的方法，通过每一告警事件所处的各个告警伴随时段内告警时序子图叠加后的伴随告警热点，从整体性分析每一告警事件下的告警关联关系，从而实现业务系统内各告警事件间的多元关联关系的全面检测，确保告警事件聚合的全面性，避免业务系统内产生告警风暴。
48.图1为本技术实施例示出的一种告警聚合方法的流程图。参照图1，该方法具体可以包括如下步骤：
49.s110，针对每一告警事件，从已形成的告警时序图景中，截取该告警事件所处的每一告警伴随时段内的告警时序子图。
50.具体的，对于业务系统内的任一告警事件而言，均可能会在不同的时间点发起多次告警。因此，为了全面分析业务系统内各个告警事件之间实际存在的多元关联关系，首先需要分析每一告警事件在业务系统内每次发起告警的时间点，以此确定各个告警事件的时序分布情况，进而判断各个告警事件在时序分布上是否存在关联关系。
51.作为本技术实施例中的一种可选实现方案，为了直观完整的描述业务系统内各个告警事件的时序分布情况，本技术中可以由各个告警事件按时序分布而形成一个告警时序图景。
52.示例性的，对于该告警时序图景的形成过程，主要可以为按照每一告警事件随时间变化的告警分布，形成告警时序图景。也就是说，针对每一告警事件，首先该告警事件在业务系统中每次发起告警的时间点，然后分析该告警事件随时间变化的告警分布情况，按照上述步骤即可确定每一告警事件随时间变化的告警分布情况。进而如图2所示，以时序变化为横坐标，以各个告警事件为纵坐标，在不同时间点上分别绘制对应分布的告警事件，从而得到该告警时序图景。
53.应当理解的是，当前形成的告警时序图景内各个告警事件随时间变化独立分布，无法直观描述各个告警事件间的关联关系。然而，对于与某一告警事件存在某种关联关系的其他告警事件而言，在该告警事件每次发起告警时，其他告警事件在大多情况下也会伴随该告警事件发起相应告警，而与该告警事件不存在任何关联关系的其他告警事件则不会伴随该告警事件而发起告警。由此可知，在任一告警事件每次发起告警时，通过分析各个其他告警事件是否每次伴随该告警事件也发起相应告警，即可确定各个其他告警事件伴随该告警事件出现的告警频率，从而得到与该告警事件存在关联关系的其他告警事件。
54.在本技术中，为了直观分析任一告警事件每次发起告警时，各个其他告警事件是否每一伴随该告警事件也发起相应告警，首先会针对每一告警事件，在该告警事件每次发起告警时设定当前所处的告警伴随时段。然后，可以从已形成的告警时序图景中分别截取出该告警事件所处的每一告警伴随时段内的图景片段，即可得到该告警事件所处的每一告警伴随时段内的告警时序子图。其中，每个告警时序子图均能够直观描述出该告警事件在本次发起告警后，在当前所处的告警伴随时段内也发起相应告警的其他告警事件，后续通过叠加该告警事件的各个告警时序子图，分析各个告警伴随时段内也发起相应告警的其他告警事件伴随该告警事件出现的告警频率，即可判断各个其他告警事件是伴随该告警事件
发起相应告警，还是随机发起告警。
55.作为本技术实施例中的一种可选实现方案，由于告警事件所处的每一告警伴随时段内的告警时序子图主要用于分析该告警事件每次发起告警之后，各个其他告警事件伴随该告警事件出现的告警频率，因此针对每一告警事件，在该告警事件每次发起告警时所设定的告警伴随时段，可以是以该告警事件在告警时序图景中所处的每一告警时间点为起点，经过预设的告警伴随时长时所处的时间段，其中该告警伴随时长是通过分析业务系统内各个告警事件的告警频率而设定的经验值。
56.此时，针对每一告警事件，对于该告警事件所处的每一告警伴随时段内的告警时序子图的截取，主要可以为以该告警事件在告警时序图景中所处的每一告警时间点为起点，按照预设的告警伴随时长分别对告警时序图景进行截取，得到该告警事件所处的每一告警伴随时段内的告警时序子图。也就是说，如图3所示，以该告警事件在告警时序图景中所处的每一告警时间点为起点，按照预设的告警伴随时长确定该告警事件所处的各个告警伴随时段，然后从告警时序图景中分别截取出该告警事件在每一告警伴随时段内的图景片段，得到该告警事件所处的每一告警伴随时段内的告警时序子图。
57.s120，针对每一告警事件，根据该告警事件所处的各告警伴随时段内告警时序子图叠加后的伴随告警热点，确定该告警事件下的告警关联关系。
58.具体的，针对每一告警事件，在截取出该告警事件所处的每一告警伴随时段内的告警时序子图后，由于每一告警时序子图中均存在该告警事件在本次发起告警后，在当前所处的告警伴随时段内的不同时间点上也发起相应告警的其他告警事件，但无法判断其他告警事件是伴随该告警事件而发起的告警，还是随机发起的告警。
59.因此，为了准确判断每一告警时序子图中存在的各个其他告警事件是伴随该告警事件发起的告警，还是随机发起的告警，本技术针对每一告警事件，会将该告警事件所处的各个告警伴随时段内的告警时序子图进行叠加，如图3所示，以将各个告警时序子图内处于同一相对告警时间点上的告警事件进行次数累计，从而分析各个告警时序子图内存在的各个告警事件伴随该告警事件出现的告警频率，即可得到各个告警时序子图叠加后的伴随告警热点，该伴随告警热点由该告警事件和告警频率较高的各个其他告警事件组成。此时，该伴随告警热点表示的其他告警事件即可作为伴随该告警事件发起相应告警的告警事件，与该告警事件之间存在一定的告警关联关系，从而确定该告警事件下的告警关联关系。
60.需要说明的是，针对每一告警事件，通过执行上述s110和s120相同的步骤，即可得到每一告警事件下的告警关联关系，从而从全局伴随告警的角度整体分析业务系统内各个告警事件之间的告警关联关系，实现告警事件间的全面关联检测。
61.s130，按照每一告警事件下的告警关联关系，对各告警事件进行告警聚合。
62.在得到每一告警事件下的告警关联关系时，会统一合并各个告警事件下的告警关联关系，以构建业务系统内各个告警事件间代表全局整体的多元关联关系，从而采用该代表全局整体的多元关联关系，对业务系统内的各个告警事件进行告警聚合，使得多各告警事件聚合后仅执行一次告警操作，从而确保告警事件聚合的全面性，进一步减少业务系统内的告警次数，避免产生告警风暴。
63.示例性的，考虑到各个告警事件之间存在告警关联时，会使每一告警事件下的告警关联关系存在重复，因此对于告警事件的告警聚合，主要可以为对每一告警事件下的告
警关联关系进行合并去重，得到告警关联集合；对符合告警关联集合内任一告警关联关系的告警事件进行告警聚合。也就是说，将合并去重后的告警关联集合作为业务系统内代表全局整体的多元关联关系，通过分析业务系统内的各个告警事件间的执行时序是否符合该告警关联集合内的任一告警关联关系，若是则对该多个告警事件进行聚合，并执行一次告警操作。
64.本技术实施例提供的技术方案，预先由各告警事件按时序分布形成一个告警时序图景，然后针对每一告警事件，从该告警时序图景中分别截取该告警事件所处的每一告警伴随时段内的告警时序子图，然后分析各个告警时序子图叠加后的伴随告警热点，以此从全局伴随告警的角度确定该告警事件下的告警关联关系，通过上述方式即可得到每一告警事件下的告警关联关系，从而实现告警关联关系的全面检测，保证告警事件聚合的全面性，进一步减少业务系统内的告警次数，避免产生告警风暴。
65.作为本技术实施例中的一种可选实现方案，本技术会以业务系统内各告警事件中的某一告警事件为例，来示例性的详细说明确定每一告警事件下的告警关联关系的具体步骤。
66.图4为本技术实施例示出的另一种告警聚合方法的流程图。如图4所示，该方法具体可以包括如下步骤：
67.s410，针对每一告警事件，从已形成的告警时序图景中，截取该告警事件所处的每一告警伴随时段内的告警时序子图，该告警时序图景由各告警事件按时序分布而形成。
68.s420，针对每一告警事件，叠加该告警事件所处的各告警伴随时段内的告警时序子图，以确定每一告警事件伴随该告警事件出现的伴随告警频次。
69.可选的，针对业务系统中的每一告警事件，考虑到在该告警事件所处的每一告警伴随时段内的告警时序子图中均会存在该告警伴随时段内发起告警的各个其他告警事件，因此需要通过判断每一告警伴随时段内的其他告警事件是伴随该告警事件发起的告警，还是随机发起的告警，来分析各个其他告警事件与该告警事件之间的关联性。
70.具体的，考虑到对于与该告警事件关联性越高的其他告警事件而言，在该告警事件发起告警时，该其他告警事件在多种情况下也会伴随该告警事件发起告警，而该告警事件在所处的每一告警伴随时段内的告警时序子图均会可以表示该告警事件发起一次告警后，各个其他告警事件的告警情况。因此，本技术通过叠加该告警事件所处的各个告警伴随时段内的告警时序子图，可以分析出在该告警事件发起告警后的各个告警时间间隔下，各个其他告警事件出现的告警情况，从而得到每一告警事件伴随该告警事件出现的伴随告警频次。
71.应当理解的是，在叠加该告警事件所处的各告警伴随时段内的告警时序子图时，会对各个告警时序子图内在该告警事件发起告警后的每一告警间隔时间点下存在的告警事件进行告警次数叠加，即可计算出每一告警事件在各个告警时序子图叠加后的累计出现次数。进而，根据每一告警事件在各告警时序子图叠加后的累计出现次数，确定每一告警事件伴随该告警事件出现的伴随告警频次。
72.其中，由于各个告警时序子图是以该告警事件每次发起告警时的告警时间点为起点开始截取，因此该告警事件的累计出现次数为该告警事件所处的各个告警时序子图的总个数。
73.示例性的，采用{x1，x2，
…
，xn}表示业务系统中的各个告警事件时，针对每一告警事件xi，可以将该告警事件xi所处的每一告警伴随时段内的告警时序子图表示为wj＝[x
j1
，x
j2
，x
j3
，
…
，x
jn
]，其中x
j1
，x
j2
，x
j3
，
…
，x
jn
分别表示每一告警事件x1，x2，
…
，xn在告警时序子图wj内所处的告警时间点与该告警事件xi在告警时序子图wj内所处的告警时间点之间的时间间隔。
[0074]
其中，该告警事件xi在告警时序子图wj内所处的告警时间点为告警时序子图wj的起点。而且，考虑到可能会存在某一告警事件在该告警事件xi的告警时序子图wj内未出现的情况，那么在该告警时序子图wj＝[x
j1
，x
j2
，x
j3
，
…
，x
jn
]内可以采用特定的空格或者
“‑
1”来标识在告警时序子图wj内不存在的告警事件与该告警事件xi之间的告警时间间隔。或者，也可能会存在某一告警事件在该告警时序子图wj内的不同时间间隔下出现多次告警的情况，那么在该告警时序子图wj＝[x
j1
，x
j2
，x
j3
，
…
，x
jn
]内可以采用与该告警事件xi的最近告警时间间隔来表示。
[0075]
因此，可以得到该告警事件xi的各个告警时序子图{w1，w2，
…
，wj，
…
}，为了描述每一告警事件与该告警事件xi之间的伴随和时序告警关系，本技术可以将各个告警时序子图{w1，w2，
…
，wj，
…
}进行转置并合并，得到该告警事件xi下的历史事件矩阵该历史事件矩阵m
ji
中的每一行分别表示各个告警事件{x1，x2，
…
，xn}在该告警事件xi的各个告警时序子图内所处的时间间隔。
[0076]
此时，采用counti[j]＝mj[xi]来计算每一行表示的告警事件不为空的元素个数，作为每一告警事件在各个告警时序子图叠加后的累计出现次数，即可分析出各个告警事件伴随该告警事件出现的伴随告警频次。
[0077]
s430，按照每一告警事件伴随该告警事件出现的伴随告警频次，计算每一告警事件与该告警事件间的告警关联度，以确定该告警事件下的伴随告警热点。
[0078]
在计算出各个告警事件伴随该告警事件出现的伴随告警频次后，按照该伴随告警频次即可分析出各个告警事件是伴随该告警事件发起告警后出现，还是随机出现，从而利用各个告警事件伴随该告警事件出现的伴随告警频次在该告警事件的告警时序子图的总个数中所占的比例，计算每一告警事件与该告警事件间的告警关联度。例如某一告警事件伴随该告警事件出现的伴随告警频次越高，表示两者的告警关联度越高。
[0079]
示例性的，考虑到各个告警事件与该告警事件在同一告警时序子图内发起告警的时间间隔也各不相同，其中若某一告警事件与该告警事件关联性越高，那么在同一告警时序子图内告警的时间间隔越近。因此，为了确保各告警事件间的告警关联度的准确性，本技术在按照每一告警事件伴随该告警事件出现的伴随告警频次，计算每一告警事件与该告警事件间的告警关联度时，主要可以分为根据每一告警事件在各告警时序子图内与该告警事件间的时序分布距离，计算每一告警事件伴随该告警事件出现的时序集中度；基于每一告
警事件伴随该告警事件出现的伴随告警频次和时序集中度，计算每一告警事件与该告警事件间的告警关联度。
[0080]
其中，每一告警事件在各个告警时序子图中与该告警事件间的时序分布距离为每一告警事件在各个告警时序子图中所处的告警时间点与该告警事件的告警时间点之间的时间间隔，且同一告警事件在不同告警时序子图中与该告警事件间的时序分布距离各不相同。因此，为了准确分析每一告警事件对该告警事件的关联影响情况，首先需要根据每一告警事件在各告警时序子图内与该告警事件间的时序分布距离，判断每一告警事件与该告警事件间的时序平均分布距离，作为每一告警事件伴随该告警事件出现的时序集中度。
[0081]
示例性的，本技术中可以采用标准四分位距的方式，来计算每一告警事件伴随该告警事件出现的时序集中度。针对每一其他告警事件，通过对该其他告警事件在各个告警时序子图中的时序分布距离进行排序，然后分别确定出该其他告警事件在第一四分位和第三四分位下的时序分布距离，从而计算出该其他告警事件的四分位距，作为该其他告警事件伴随该告警事件出现的时序集中度。其中，所采用的标准四分位距的公示如下所示：
[0082]
norm-iori[j]＝(mj[xi].getpercentile(75)-mj[xi].getpercentile(25))*0.7413。
[0083]
其中，norm-iori[j]表示每一告警事件{x1，x2，
…
，xn}伴随该告警事件xi出现的时序集中度，mj[xi].getpercentile(75)表示每一告警事件{x1，x2，
…
，xn}在第三四分位下的时序分布距离，mj[xi].getpercentile(25)表示每一告警事件{x1，x2，
…
，xn}在第一四分位下的时序分布距离。
[0084]
然后，在计算出每一告警事件伴随该告警事件出现的时序集中度后，由于每一告警事件与该告警事件的时序分布距离越近，两者的关联性越高，而每一告警事件伴随该告警事件出现的伴随告警频次越高，两者的关联性越高。因此，可以通过采用每一告警事件伴随该告警事件出现的伴随告警频次对告警关联度的正向影响和每一告警事件伴随该告警事件出现的时序集中度对告警关联度的反向影响，来统一计算每一告警事件与该告警事件间的告警关联度，从而额外参照每一告警事件伴随该告警事件出现的时序分布距离，来进一步分析每一告警事件与该告警事件间的告警关联度，确保各个告警事件间的告警关联度的准确性。
[0085]
示例性的，每一告警事件与该告警事件间的告警关联度的计算公式可以为：
[0086]
此外，在计算出每一告警事件与该告警事件间的告警关联度后，为了确定该告警事件下存在的伴随告警热点，可以按照每一告警事件与该告警事件间的告警关联度，筛选出对应的离群告警事件；组合除离群告警事件外的其余告警事件，得到该告警事件下的伴随告警热点。
[0087]
也就是说，按照每一告警事件与该告警事件间的告警关联度，可以对各个告警事件进行排序，然后筛选出告警关联度低于预设阈值的其他告警事件，作为本技术中的离群告警事件。此时，除离群告警事件外的其余告警事件均可以认为与该告警事件之间存在相应的关联关系，通过组合除离群告警事件外的各个其余告警事件，即可得到该告警事件下的伴随告警热点。
[0088]
示例性的，本技术中可以采用基于密度的局部异常因子(local outlier factor，简称为lof)算法，对该告警事件下已计算出的coefficienti[j]进行处理，从而筛选出coefficienti[j]中的离群点，作为本技术中的离群告警事件。
[0089]
s440，在伴随告警热点指向的告警事件之间，生成该告警事件下的告警关联关系。
[0090]
本技术中的伴随告警热点是由除离群告警事件外的各个其余告警事件组合得到，说明伴随告警热点内指向的各个告警事件之间存在相应的关联关系，因此按照伴随告警热点内指向的各个告警事件与该告警事件的告警时序分布关系，可以生成该告警事件下的告警关联关系。
[0091]
s450，按照每一告警事件下的告警关联关系，对各告警事件进行告警聚合。
[0092]
本技术实施例提供的技术方案，预先由各告警事件按时序分布形成一个告警时序图景，然后针对每一告警事件，从该告警时序图景中分别截取该告警事件所处的每一告警伴随时段内的告警时序子图，然后从每一告警事件伴随该告警事件出现的伴随告警频次和时序集中度两方面，综合分析每一告警事件与该告警事件间的告警关联度，确保告警关联度的准确性，从而确定该告警事件下存在的伴随告警热点，以此从全局伴随告警的角度确定该告警事件下的告警关联关系，通过上述方式即可得到每一告警事件下的告警关联关系，从而实现告警关联关系的全面检测，保证告警事件聚合的全面性，进一步减少业务系统内的告警次数，避免产生告警风暴。
[0093]
图5为本技术实施例示出的一种告警聚合装置的原理框图。如图5所示，该装置500可以包括：
[0094]
告警子图截取模块510，用于针对每一告警事件，从已形成的告警时序图景中，截取该告警事件所处的每一告警伴随时段内的告警时序子图，所述告警时序图景由各所述告警事件按时序分布而形成；
[0095]
关联关系确定模块520，用于针对每一告警事件，根据该告警事件所处的各所述告警伴随时段内告警时序子图叠加后的伴随告警热点，确定该告警事件下的告警关联关系；
[0096]
告警聚合模块530，用于按照每一告警事件下的告警关联关系，对各所述告警事件进行告警聚合。
[0097]
进一步的，所述关联关系确定模块520，可以具体包括：
[0098]
告警频次确定单元，用于针对每一告警事件，叠加该告警事件所处的各所述告警伴随时段内的告警时序子图，以确定每一告警事件伴随该告警事件出现的伴随告警频次；
[0099]
告警热点确定单元，用于按照每一告警事件伴随该告警事件出现的伴随告警频次，计算每一告警事件与该告警事件间的告警关联度，以确定该告警事件下的伴随告警热点；
[0100]
关联关系生成单元，用于在所述伴随告警热点指向的告警事件之间，生成该告警事件下的告警关联关系。
[0101]
进一步的，所述告警频次确定单元，可以具体用于：
[0102]
根据每一告警事件在各所述告警时序子图叠加后的累计出现次数，确定每一告警事件伴随该告警事件出现的伴随告警频次。
[0103]
进一步的，所述告警热点确定单元，可以具体用于：
[0104]
根据每一告警事件在各所述告警时序子图内与该告警事件间的时序分布距离，计
算每一告警事件伴随该告警事件出现的时序集中度；
[0105]
基于每一告警事件伴随该告警事件出现的伴随告警频次和时序集中度，计算每一告警事件与该告警事件间的告警关联度。
[0106]
进一步的，所述告警热点确定单元，还可以具体用于：
[0107]
按照每一告警事件与该告警事件间的告警关联度，筛选出对应的离群告警事件；
[0108]
组合除所述离群告警事件外的其余告警事件，得到该告警事件下的伴随告警热点。
[0109]
进一步的，所述告警子图截取模块510，可以具体用于：
[0110]
针对每一告警事件，以该告警事件在所述告警时序图景中所处的每一告警时间点为起点，按照预设的告警伴随时长分别对所述告警时序图景进行截取，得到该告警事件所处的每一告警伴随时段内的告警时序子图。
[0111]
进一步的，所述告警聚合模块530，可以具体用于：
[0112]
对每一告警事件下的告警关联关系进行合并去重，得到告警关联集合；
[0113]
对符合所述告警关联集合内任一告警关联关系的告警事件进行告警聚合。
[0114]
进一步的，所述告警聚合装置500，还可以包括：
[0115]
时序图景形成模块，用于按照每一告警事件随时间变化的告警分布，形成所述告警时序图景。
[0116]
本技术实施例中，预先由各告警事件按时序分布形成一个告警时序图景，然后针对每一告警事件，从该告警时序图景中分别截取该告警事件所处的每一告警伴随时段内的告警时序子图，然后分析各个告警时序子图叠加后的伴随告警热点，以此从全局伴随告警的角度确定该告警事件下的告警关联关系，通过上述方式即可得到每一告警事件下的告警关联关系，从而实现告警关联关系的全面检测，保证告警事件聚合的全面性，进一步减少业务系统内的告警次数，避免产生告警风暴。
[0117]
应理解的是，装置实施例与方法实施例可以相互对应，类似的描述可以参照方法实施例。为避免重复，此处不再赘述。具体地，图5所示的装置500可以执行本技术提供的任一方法实施例，并且装置500中的各个模块的前述和其它操作和/或功能分别为了实现本技术实施例的各个方法中的相应流程，为了简洁，在此不再赘述。
[0118]
上文中结合附图从功能模块的角度描述了本技术实施例的装置500。应理解，该功能模块可以通过硬件形式实现，也可以通过软件形式的指令实现，还可以通过硬件和软件模块组合实现。具体地，本技术实施例中的方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路和/或软件形式的指令完成，结合本技术实施例公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。可选地，软件模块可以位于随机存储器，闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等本领域的成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法实施例中的步骤。
[0119]
图6是本技术实施例提供的电子设备600的示意性框图。
[0120]
如图6所示，该电子设备600可包括：
[0121]
存储器610和处理器620，该存储器610用于存储计算机程序，并将该程序代码传输给该处理器620。换言之，该处理器620可以从存储器610中调用并运行计算机程序，以实现
本技术实施例中的方法。
[0122]
例如，该处理器620可用于根据该计算机程序中的指令执行上述方法实施例。
[0123]
在本技术的一些实施例中，该处理器620可以包括但不限于：
[0124]
通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等等。
[0125]
在本技术的一些实施例中，该存储器610包括但不限于：
[0126]
易失性存储器和/或非易失性存储器。其中，非易失性存储器可以是只读存储器(read-only memory，rom)、可编程只读存储器(programmable rom，prom)、可擦除可编程只读存储器(erasable prom，eprom)、电可擦除可编程只读存储器(electrically eprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(random access memory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(static ram，sram)、动态随机存取存储器(dynamic ram，dram)、同步动态随机存取存储器(synchronous dram，sdram)、双倍数据速率同步动态随机存取存储器(double data rate sdram，ddr sdram)、增强型同步动态随机存取存储器(enhanced sdram，esdram)、同步连接动态随机存取存储器(synch link dram，sldram)和直接内存总线随机存取存储器(direct rambus ram，dr ram)。
[0127]
在本技术的一些实施例中，该计算机程序可以被分割成一个或多个模块，该一个或者多个模块被存储在该存储器610中，并由该处理器620执行，以完成本技术提供的方法。该一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述该计算机程序在该电子设备中的执行过程。
[0128]
如图6所示，该电子设备还可包括：
[0129]
收发器630，该收发器630可连接至该处理器620或存储器610。
[0130]
其中，处理器620可以控制该收发器630与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。收发器630可以包括发射机和接收机。收发器630还可以进一步包括天线，天线的数量可以为一个或多个。
[0131]
应当理解，该电子设备中的各个组件通过总线系统相连，其中，总线系统除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。
[0132]
本技术实施例还提供了一种计算机存储介质，其上存储有计算机程序，该计算机程序被计算机执行时使得该计算机能够执行上述方法实施例的方法。或者说，本技术实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得计算机执行上述方法实施例的方法。
[0133]
当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本技术实施例该的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户
线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如数字视频光盘(digital video disc，dvd))、或者半导体介质(例如固态硬盘(solid state disk，ssd))等。
[0134]
本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
[0135]
在本技术所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，该模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0136]
作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。例如，在本技术各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。
[0137]
以上，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以该权利要求的保护范围为准。