案例分享 | 某券商利用AI技术进行告警关联分析(下)

news2024/12/28 19:49:57

本内容来自公众号“布博士”------(擎创科技资深产品专家)

在上期内容中,我们了解到跨行业数据挖掘标准流程包括6大过程,分别为业务理解(Business Understanding)、数据理解(Data Understanding)、数据准备(DataPreparation)、模型搭建(Modeling)、模型评估(Evaluation)和模型发布(Deployment)。这6大过程的顺序不是固定不变的,在不同的项目中,可有不同的流转过程。其次,6大过程是循环的,每次针对不同业务目标的深入理解会不断地进行优化和调整,后续的循环过程可以不断从上一次的6大过程中得到借鉴和启发。

前面已经说完了前三个过程,上期内容回顾,戳→案例分享 | 某券商利用AI技术进行告警关联分析(上)

今天要跟大家分享的内容主要分为下面这几点:

●告警关联分析模型建立过程介绍(模型搭建、模型评估、模型发布)

● 下一步:产品化

一、告警关联分析模型建立过程介绍

1.模型搭建(Modeling)

该环节是6大过程中最核心的环节,也是数据科学家发挥的主战场,在该环节,主要完成:

模型选择:在模型选择阶段,数据科学家需要针对业务的理解、数据特征、期望的结果来选择适当的算法,在本例中我们选择FP-Growth算法加create Association Rules算子来生成最终的关联模式。

创建模型:创建模型是一个整体的流程,包括选择数据、对数据的预处理、空值的过滤、选择数据集中的特征字段、处理后结果输入算法、算法结果输出到数据库或外部文件,如下图是我们用rapidminer设计的完整流程。

评估模型:通常用于评价模型产生的结果好坏程度,在该场景下也用于对模型产生的结果进行筛选,关联分析算法FP-Growth产生的结果有三个非常重要的评价指标:

支持度:用于统计某一个关联分析结果在所有历史事件中出现的比例。如:在本例中我们的历史事件一共1万左右,而某个关联分析结果在历史上可能一共出现30次,则该关联分析结果的支持度=30/10000。通常情况下,我们会在出现的结果中会选择一些比较频繁出现的关联分析结果。分值越高,代表该关联分析结果发生越频繁。

置信度:用于衡量关联分析结果中前导出现且同时出现后继的比例,反映的是该分析结果的可靠程度。假设x历史上发生100次,(x,y)历史上同时发生的次数为30次,则(x,y)的置信度为30/100=0.3,分值越高代表该关联分析结果的可信度越高。在本次的项目中我们筛选出来的置信度在0.8以上的才会推荐出来。

提升度:是为了避免某一种告警在历史上发生太频繁了,以至于“碰巧”会跟其它告警经常一起发生的情况,导致支持度和置信度都非常高,这种情况在该项目中就发生了,如该券商对关键的密码策略会进行检测以发现到期后没有进行密码修改的主机,并产生告警,通常这种只是提醒,在该券商的大多系统管理员不会处理,这样就导致这种告警每天都会发生,也产生了很多的关联分析结果,通过提升度我们可以将这些结果有效排除。通常提升度的取值需要>1,且越大越好。

2.模型评估(Evaluation)

模型评估,一方面是在建模型阶段数据科学家对产生结果的初次评估,另外针对产生的结果在模型评估阶段数据科学家需要对模型产生的结果整理模型评估报告由客户方运维专家来验证模型所产生的结果是否符合预期。

上图即为本次模型挖掘所产生之关联分析结果,经过客户的评审确认,客户认为这些挖掘出来的关联分析结果非常有意义,各列代表的意义详述如下:

{premise,Conclusion}两列的组合代表一条完整的告警关联分析结果

Premise:代表关联分析结果的前驱节点

Conclusion:代表关联分析结果的后继节点

Support:代表支持度,代表前驱及后续节点同时发生的情况下的事件总数,占统计时段(本项目为近6个月的历史数据)所有事件总数的比例,上一节做了详细的介绍

Confidence:代表置信度,上一节做了详细的介绍,本例中我们只关注算法结果中置信度超过80%的结果,以第一行为例,当前驱节点6000000116(告警模板ID)告警发生时,后续节点600000906有81.8%的可能性会发生,而最后一条记录前驱节点{600000116,6000001494}发生时,后续节点600000906是百分之百会发生的,这些挖掘出来的模式都是强模式结果。

Lift:代表提升度,从本例中可以看到所有的取值都大于1,代表这些算法给出的结果都是可用的。

{600000116,6000001494,600000906}是告警辨析产品对告警内容进行归纳之后,生成的告警模型ID,在评审阶段需要转换为如下的模板信息,才能够有效协助运维专家对告警关联分析结果进行评审,如下图所示

通过对这些结果的数据科学家评审和客户的评审之后,我们就可以将这些结果应用于告警关联场景中,每次捕获这种关联场景时即生成关联告警。

3.模型发布(Deployment)

本次项目,我们使用该券商核心业务系统过去6个月,约33万条告警数据,经过5轮的学习过程、两次结果的评审过程,生成了22笔有意义的关联分析结果,针对这些有意义的结果如何在生产环境进行使用,如何进行模型发布,是我们本章要讨论的主要内容。

一般模型在进行评审和运维专家审核完成认为合格之后,就涉及到模型要发布到生产环境使用,通常会包括三种方式:

生成模型文件:会生成一个针对该项目的解决特定问题的模型文件,由该模型文件来对实时接入的告警数据进行识别,并打上结果标签。

在线学习模式:比较适用于有监督的学习方法,生成模型之后会对实时接入的告警数据进行判别,并打上结果标签,后续人工在复核的过程中如果发现结果有问题,可以进行人工修改,而后台算法会根据人为的反馈结果进行模型的优化。

规则化:针对算法生成的结果,人工来进行审核并总结特征,然后通过配置规则的方式来完成对实时接入告警的识别。

考虑到模型未来的快速部署、对结果准确性、模型可解析性等的综合要求,我们建议采用第三种方案,针对由数据科学家和运维专家确认之后的关联分析结果进行总结、归纳生成专家规则,这样后续告警再接入时通过专家规则进行匹配,命中之后生成关联场景。

二、下一步:产品化

整个告警辨析中心产品我们划分成了两个主要的部分:

标准版:对标竞争对手的统一告警管理平台,定位在解决告警信息的集成接入、标准化、过滤、维护期管理、告警压缩降噪、告警通知等能力。

高级版:定位为告警的智能分析及处置平台,主要完成分析模型构建、告警的智能分析、处置、对处置结果的优化总结和回顾,而告警的关联分析我们定位为高级版中的一部分。在未来的版本规划中,我们将实现对整个过程的在线化和产品化,如下图所示:

接入告警:完成对不同监控源告警的接入。

数据转换处理:按算法的要求,由产品自身完成对告警数据的在线转换处理,并生成算法所需要的输入数据。

算法进行关联分析:算法在线接收转换处理后的告警数据,定期对告警数据进行关联分析。

生成关联分析结果:算法生成关联分析结果。

在线评审:针对生成的结果,数据科学家和运维专家可以在线对产生的结果进行审核。

评审结果规则化:针对评审后的结果,进行总结和归纳,生成关联场景的专家规则。

生成关联场景:在线接收告警之后,通过关联场景的专家规则进行匹配,最终生成关联场景,运维工程师可以在告警工作台看到关联之后的告警并进行处置。

关于《某券商利用AI技术进行告警关联分析》的分享到这里就告一段落了,有什么问题或疑惑,欢迎大家评论区留言一起讨论~


擎创科技,Gartner连续推荐的AIOps领域标杆供应商。公司致力于协助企业客户提升对运维数据的洞见能力,优化运维效率,充分体现科技运维对业务运营的影响力。

行业龙头客户的共同选择

更多运维思路与案例持续更新中,敬请期待

随手点关注,更新不迷路~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/350487.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

JavaWeb3-线程的3种创建方式7种写法

目录 1.方式一:继承Thread(2种写法) 写法①(常规): a.使用jconsole观察线程 b.启动线程——start方法 PS:(常见面试题)start 方法与 run 方法的区别: 写…

免费CRM客户管理系统真的存在吗?不仅有,还有5个!

免费CRM客户管理系统真的存在吗?当然有! 说到CRM客户管理系统,相信很多企业并不陌生,是因为CRM客户管理系统已经成为大多数企业最不可或缺的工具。但是对于很多小微企业和个人用户来说,购买和实施CRM的成本仍然难以承…

上海亚商投顾:沪指午后放量跳水两市上涨个股不足500只

上海亚商投顾前言:无惧大盘涨跌,解密龙虎榜资金,跟踪一线游资和机构资金动向,识别短期热点和强势个股。市场情绪指数早间震荡走高,沪指盘中收复3300点,午后集体跳水,创业板指一度跌超2%。ChatGP…

Spring 系列之 MVC

Spring 系列文章目录 文章目录Spring 系列文章目录前言一、介绍二、项目搭建1.创建空项目2.设置maven和lombok3.创建maven web module4. 配置Tomcat启动运行项目(选择local本地)5. 导入jar依赖包6.在web.xml中配置DispatcherServlet7. 加入SpringMVC的配…

第六章——抽样分布

文章目录1、统计量的定义2、常用的统计量3、经验分布函数4、正态总体常用统计量的分布4.1、卡方分布4.1.1、卡方分布的定义4.1.2、卡方分布的性质4.2、t分布4.2.1、t分布的定义4.2.2、t分布的性质4.3、F分布4.3.1、F分布的定义4.3.2、F分布的性质5、正态总体的样本均值与样本方…

Hexo搭建个人博客流程全记录

建站缘由 有些东西过不了审,不方便给他人查看,于是就利用Hexo框架搭建了一个个人博客,部署在Github上,取名为“zstar的安全屋”。 链接:http://xdxsb.top 安装Git Bash 无需多言,下载链接:ht…

全网招募P图高手!阿里巴巴持续训练鉴假AI

P过的证件如何鉴定为真?三千万网友都晒出了与梅西的合影?图像编辑技术的普及让人人都能P图,但也带来“假图”识别难题,甚至是欺诈问题。 为此,阿里安全联合华中科技大学国家防伪工程中心、国际文档分析识别方向的唯一顶…

【集合】JAVA基础篇(二)

【集合】JAVA基础篇(二)一、java常用集合1、Java集合接口的作用2、Java集合常用实现类的作用二、Collection 常用的方法三、List 集合接口1、ArrayList类的常用方法2、LinkList类中的方法3、Vector4、ArrayList 类和 LinkedList 类的区别四、Set 集合1、…

图解LeetCode——剑指 Offer 27. 二叉树的镜像

一、题目 请完成一个函数&#xff0c;输入一个二叉树&#xff0c;该函数输出它的镜像&#xff0c;返回镜像后的根节点TreeNode。 二、示例 2.1> 示例 1&#xff1a; 【输入】root [4,2,7,1,3,6,9] 【输出】[4,7,2,9,6,3,1] 限制&#xff1a; 0 < 节点个数 < 1000 …

Hadoop核心组成和生态系统简介

一、Hadoop的概念 Hadoop是一个由Apache基金会所开发的分布式系统基础架构。用户可以在不了解分布式底层细节的情况下&#xff0c;开发分布式程序。充分利用集群的威力进行高速运算和存储。Hadoop实现了一个分布式文件系统&#xff08; Distributed File System&#xff09;&am…

Word处理控件Aspose.Words功能演示:使用 C++ 将电子邮件消息转换为 PDF

Aspose.Words 是一种高级Word文档处理API&#xff0c;用于执行各种文档管理和操作任务。API支持生成&#xff0c;修改&#xff0c;转换&#xff0c;呈现和打印文档&#xff0c;而无需在跨平台应用程序中直接使用Microsoft Word。此外&#xff0c;API支持所有流行的Word处理文件…

数据结构基础(力扣算法)(数组、字符串、链表、栈、部分树)(1-16天计划)

数据结构基础数组136. 只出现一次的数字169. 多数元素15. 三数之和75. 颜色分类56. 合并区间706. 设计哈希映射119. 杨辉三角 II48. 旋转图像59. 螺旋矩阵 II240. 搜索二维矩阵 II334. 递增的三元子序列238. 除自身以外数组的乘积435. 无重叠区间560. 和为 K 的子数组字符串415…

基于TC377的MACL-ADC General配置解读

目录标题一、MACL-ADC General1.Config Variant与AdcConfigSet2. AdcGeneral3.AdcPublishedInformation二、最终对应达芬奇生成内容一、MACL-ADC General 1.Config Variant与AdcConfigSet Config Variant &#xff1a;变体配置&#xff0c;默认选择VariantPostBuild就好了&…

融云服务推动多款应用「登顶」海外下载榜!

移步【融云全球互联网通信云】&#xff0c;了解更多信息。 2023 开年第一爆&#xff0c;属于中国出海社交软件。 在全球互联网通信云领军品牌“融云”护航下&#xff0c;多款社交黑马一路登顶、持续霸榜。它们是在中东横空出世、一经发布便冲击沙特全品类下载榜首的 Beem&…

对话系统学习概述(仅够参考)

对话系统&#xff08;仅够参考&#xff09; 目录对话系统&#xff08;仅够参考&#xff09;背景类人对话系统的关键特征1、知识运用2、个性体现3、情感识别与表达数据集评价方式评价的一些指标训练模型需要的资源任务型对话系统预训练最新研究进展参考文献背景 对话系统一般包括…

Redis三 高级篇-3. 最佳实践

《Redis三 高级篇-3. 最佳实践》 提示: 本材料只做个人学习参考,不作为系统的学习流程,请注意识别!!! 《Redis三 高级篇-3. 最佳实践》《Redis三 高级篇-3. 最佳实践》1、Redis键值设计1.1、优雅的key结构1.2、拒绝BigKey1.2.1、BigKey的危害1.2.2、如何发现BigKey①redis-cli…

Redis 数据类型

我们知道 Redis 是 Key-Value 类型缓存型数据库&#xff0c;Redis 为了存储不同类型的数据&#xff0c;提供了五种常用数据类型&#xff0c;如下所示&#xff1a; string&#xff08;字符串&#xff09;hash&#xff08;哈希散列&#xff09;list&#xff08;列表&#xff09;…

多线程事务怎么回滚

背景介绍1&#xff0c;最近有一个大数据量插入的操作入库的业务场景&#xff0c;需要先做一些其他修改操作&#xff0c;然后在执行插入操作&#xff0c;由于插入数据可能会很多&#xff0c;用到多线程去拆分数据并行处理来提高响应时间&#xff0c;如果有一个线程执行失败&…

返回数组的上三角和下三角np.triu()和np.tril()

【小白从小学Python、C、Java】 【计算机等级考试500强双证书】 【Python-数据分析】 返回数组的上三角和下三角 np.triu()和np.tril() 选择题 以下说法错误的是? import numpy as np anp.array([[1,2,3],[4,5,6],[7,8,9]]) print("【显示】a&#xff1a;\n",a) pri…

一、Python时间序列小波分析——实例分析

小波分析是在Fourier分析基础上发展起来的一种新的时频局部化分析方法。小波分析的基本思想是用一簇小波函数系来表示或逼近某一信号或函数。 小波分析原理涉及到傅里叶变换&#xff0c;并有多种小波变换&#xff0c;有点点小复杂。但是不会原理没关系&#xff0c;只要会应用并…