一种用于事件关联性分析的分层管理信息模型

http://www.paper.edu.cn

一种用于事件关联性分析的分层管理信息模型1

曾林青，成璐，芮兰兰

北京邮电大学网络与交换技术国家重点实验室，北京（100876）

E-mail：bornin1980s@163.com

摘 要： 在分析网络管理和事件关联性分析建模需求的基础上，提出了一种管理信息模型。它采用分层的视角，包含了进行事件关联性分析所需要的关联关系，从而减少了关联关系的种类和数量，有助于改善事件关联性分析系统的运行效率。最后依照一定的评价标准，通过对比该模型和一般模型在实际中的应用情况，对该模型作出了评价。 关键词： 网络管理，管理信息模型，事件关联 中图分类号：TP393.07

1. 引言

随着人们对通信业务服务质量要求的提高，业务提供商为了尽量避免业务质量下降，保证业务可用，必须迅速定位并解决网络故障。而通信网规模和复杂度的日益增大和提高，使得网络资源和业务之间的关系也日益复杂，承载业务的资源中任何一个单点故障都有可能在传播的过程中引发大量伴随告警，加上故障在传播过程中语义的改变，使得网管人员无法从接收到的大量告警中定位出表示故障的根告警，从而导致故障的解决时间大大延长。在人工进行故障定位的方法几乎不可行的情况下，事件关联性分析[1]可以从大量告警中定位出根告警，成为保障业务质量的重要手段。

事件关联性分析过程的基本思想是，由分析算法根据专家经验或系统模型等知识，对网管系统接收到的告警事件进行推理，找出反映故障的根告警，从而帮助解决故障。由此可见，事件关联性分析模型包括2个基本要素：知识和算法，分析算法需要知识才能进行推理。因此，事件关联性分析方法按照其知识来源的不同分为两类：一类是基于规则和案例的方法[2]，其知识来源于运维人员和专家的知识和经验。该方法中知识规则的抽象和维护比较困难，且求解效率较低，通用性较差，故而在实际系统中较少被采用；另一类是基于模型和图论等概念的方法[2]（下文中若无特别说明，均指该种情况），其知识来源于网络、业务的内部结构和行为规律，其主要实现形式是通过程序为实际网络中的实体建立一套映像，反映出每一个被管实体的配置信息和状态变化。其中被管实体配置信息体现了网络的结构，而其状态变化又是网络中事件和行为的结果。所以，设计一种能够描述业务和资源的内部结构和行为的管理信息模型，成为了实现事件关联性分析系统的关键。

在事件关联性分析中，代表分析知识的关联关系反映了被管对象之间的依赖关系，分析算法将会频繁地对关联关系进行生成、查找、匹配、存储等操作。因此，关联关系的种类、数量过多往往增加了事件关联性分析系统的复杂度，而这些关系的存储一般依赖数据库，这又使得系统运行中频繁的I/O操作大大降低了程序的执行效率。从上述分析不难发现，造成这一问题的原因是事件关联性分析中频繁使用的关联关系并不包含在现有的管理信息模型中，关系和模型在运行时的分离导致了大量不必要的I/O操作，降低了系统运行效率。

本文首先给出了管理信息模型的研究方法，再依照这一方法分析了网络管理一般领域和事件关联性分析领域的建模需求，接着提出了一种旨在解决事件关联性分析中建模问题的分层管理信息模型，最后结合该模型在事件关联性分析中的应用情况，按照一定的管理信息模 1

本课题得到教育部高等学校博士点专项科研基金（20040013002）的资助。

- 1 -

型评价标准[3]对该模型进行了评价。

http://www.paper.edu.cn

2. 管理信息模型研究方法

设计一种可行的、符合事件关联性分析需要的网络管理信息模型应当遵循以下三个流程，如图1所示。首先，分析管理信息模型需要解决的、来自实际业务需求的问题，本文将提出的管理信息模型在满足网络管理系统一般需求的基础上，还应满足事件关联性分析的一些特殊需求；而后，根据明确的业务需求将网络中各种被管对象的情况进行归纳、分类、抽象，提出具体的管理信息模型设计方案；最后，依照一定的评价标准对设计方案进行评价和验证，以保证管理信息模型有效可用。在实际的研究工作中，往往要按照需求分析和评价标准对模型设计进行反复的调整和修订，对该流程进行多次迭代，才能得到最终设计结果。

本章将在3、4、5章分别给出网络管理领域和事件关联性分析领域的建模需求、管理信息模型具体设计方案，以及对管理信息模型的评价。

需求分析 网络管理系统的一般需求 事件关联性分析的特殊需求 提出设计 管理信息模型评价标准 管理信息模型设计方案 实际领域应用效果评定 评价验证

图1 管理信息模型研究方法

Fig.1 Research method of management information model

3. 管理信息模型建模需求

3.1 网络管理系统建模需求

网络管理是控制一个复杂的计算机网络使得它具有最高的效率和生产力的过程，其核心任务就是对网络中的被管网络资源进行全面深入的管理。由于网络资源种类繁多，而且结构各异，使得被管网络资源具有多样性和复杂性，这给网络管理系统的通用性和可扩展性带来了技术上的挑战，因此如何构建被管网络信息模型成为网络管理系统实现的关键。

一个适合网络管理并有良好扩展性的管理信息模型应该具有以下特性[4]：在此模型上开发的网络管理产品，不但在现阶段能够实现对尽可能多的网络资源的统一管理，而且还能够在出现新的网络资源后，以最小的改动代价将其纳入网络管理范围之中。该管理信息模型应遵循以下原则：（1）用尽可能少的对象模型来描述多种网元对象。（2）通过该模型能方便地得到网络管理的5大功能模块所需的管理数据。（3）具备足够的扩展空间，使得出现新的被管资源对象时，该模型同样也能适用。（4）易于代码实现和维护。

3.2 事件关联性分析建模需求

3.2.1 事件关联性分析原理

（1）事件关联概念

实体：在网络中客观存在，可以抽象为被管对象的事物、逻辑概念等，都可以定义为实体。

- 2 -

http://www.paper.edu.cn

实体状态：每种类型的实体都拥有一个有限状态集合，集合中的元素用来标识该种实体所有可能的状态。实体在一个时刻只能处于一种状态。实体状态之间是相互影响的，即当一个实体处于某种状态时，与之存在某种联系的实体会受其影响而也处于某种状态，这种实体状态间的内在规律性联系称为实体状态关联关系。

事件：实体状态发生变化的外在表征，随着实体状态的变化而发生或消失，通常为可被人员感知的现象等。

图2中表明了实体A处于S1状态时导致了实体B处于S2状态，且A、B上分别有E1、E2事件发生。

（2）事件关联性分析过程

如图2所示，利用实体状态关联关系对实体状态进行推导，就可以建立实体状态关联树，与此同时对实体上发生的事件进行记录，就可以相应地生成事件关联树，从而在看似彼此间没有联系的“事件的海洋”中建立起事件关系层次。它反映了实体状态之间影响与被影响的因果关系，通常可用于网络故障诊断中的告警根源分析和故障影响范围分析等。

E2 E3 E5A_S1 B_S2 E2C_S3 E4 D_S4 E_S5E5 E3 E4 E1 E1

图2 事件关联性分析原理

Fig.2 The principle of event correlation analysis

3.2.2 建模需求分析

通过第1章的介绍和事件关联性分析原理可以看出，事件关联性分析模型要解决两方面的问题：网络实体的结构和行为，如图3所示。其中对于结构一般的网络管理建模都可以满足需要，而行为主要由实体件的关联关系来反映。进而可以得出，事件关联性分析建模的一个中心问题是如何有效的定义、组织和利用关联关系。

事件关联性分析 知识算法基于规则基于模型 结构图3 建模分析

行为

Fig.3 The analysis of modeling

- 3 -

http://www.paper.edu.cn

在关联关系的组织和存储方面，现有的管理信息模型中仅能反映被管实体的配置和状态信息，无法包含实体间的依赖和联系的关联关系，从而使得关联性分析程序所需要的实体状态关联关系的储存在数据库中进行，这样数据库存取I/O操作就造成了程序运行时很大的一部分性能开销。所以管理信息模型的设计需要将关联关系用有效的方式整合到模型中，将规则的查找、匹配等操作从外部数据库操作过程转移到程序内部中，以减少不必要的I/O操作。

在关联关系的种类和数量方面，运行在不同网络层面上的实体之间通常有着确定的依赖关系，而如果管理对象模型中不包含分层的概念，势必在每一对处在相邻层的实体之间都要重复地描述层与层之间通用的依赖关系，增加了关联关系的描述、解析、存储的负担。所以管理信息模型的设计需要抽象出反映网络层面及其之间关系的类，以减少关联关系实质上的重复定义。

为了使事件关联性分析程序有更好性能并更好地反映网络实体的实际运转情况，需要在模型上解决不包含关联关系以及不区分网络层面这两个问题。

4. 管理信息模型设计方案

本文所要介绍的管理信息模型的设计方案可用UML图的形式加以描述[5]，如图4所示，其组件可分为枚举（Enumeration）、抽象类（Abstract class）、具体类（Concrete class）、接口（Interface）四个类型，具体说明如下。

图4 管理信息模型组件

Fig.4 The modules of management information model

（1）枚举（Enumeration）

实体类型（ObjectClass）：系统内部使用的静态枚举类型，用来标识不同被管实体、实体组合和其他资源的类型。

实体状态（ObjectStatus）：系统内部使用的静态枚举类型，用来标识各种被管实体可能处于的各种状态。

（2）抽象类（Abstract class）

被管对象（ManagedObject）：网络中其他具体类共同的抽象基类，包含网络中被管对象所应该共同具有的属性和操作。

（3）具体类（Concrete class）

- 4 -

http://www.paper.edu.cn

依赖关系（Dependence）：表示系统中各种被管实体及实体组合之间状态上的相互制约、影响的依存关系，可以用来记录实体状态关联关系。依赖关系用二元组表示，分为两种情况，如图5所示。（1）实体状态间依赖关系：由对外界施加影响的实体状态指向被影响的实体状态。（2）层间依赖关系：由向上层提供服务的层指向依赖下层提供服务的层。

SwitchA_Port1_Link downTransport Layer图5 依赖关系 Fig.5 The dependence

HostB_Port1_Link down Application Layer

层（Layer）：代表网络中明确定义了功能的协议层，向上提供一定的服务，并依赖其下层提供的服务[6,7]。网络中所有的被管元素（Element）总是位于一个特定的层（Layer）上，同一个层中的元素使用相同的协议或协议集合进行通信。例如：TCP/IP五层网络模型中的网络层、应用层。

元素（Element）：网络中位于某一层（Layer）的，不可拆分的最小粒度的被管实体，如：链路、服务器端口、服务器CPU、磁盘、文件系统，也可以是业务节点、应用进程等。

节点（Node）：由若干元素（Element）及其之间的依赖关系组成的集合，在物理上实际存在的被管实体，例如：服务器、交换机等。

组（Group）：按照一定划分依据，由一组物理上彼此连接，或逻辑上彼此联系的节点（Node）及其之间的依赖关系组成的集合。例如：一个包含若干主机、服务器、交换机的子网，一个分布式部署的业务集群等。

区域（Region）：按照一定划分依据，由一组物理上彼此连接，逻辑上彼此联系，或行政上统一管理的组（Group）及其之间的依赖关系组构成的集合。例如：一个集团公司西南片区网络中的子网、集群的集合等。

（4）接口（Interface）

包装（Wrap）：系统中某些类的对象的创建需要组合其他类的对象，这样的类应该实现包装（Wrap）接口，该接口提供了正确组合其他对象的方法名称，但是具体的方法实现由实现该接口的类给出，例如节点（Node）通过对元素（Element）进行组合而得到，组（Group）通过对节点（Node）进行组合而得到（以次类推），两者组合对象时使用了相同性质的方法而方法的具体实现不同，这时两者应分别实现包装（Wrap）接口，以实现各自组合对象所用的方法。

需要说明的是，上述的元素（Element）、节点（Node）、组（Group）、区域（Region）是以不同粒度的管理视角对被管对象进行的划分。在实际使用中可以灵活地划分而不必拘泥于上述文字中的举例，用户也完全可以根据管理粒度创建自己需要的组件。例如，新定义“地区”（Area）具体类，它按照一定划分依据，由相关的区域（Region）及其之间的依赖关系组合而成。为了对被管实体提供不同的管理粒度，一些管理信息模型中采用了自包含的管理对象类MOC（Managed Object Class）的设计[7,8]，理论上可以得到无限大的管理粒度；而本文介绍的管理信息模型采用的方法是定义若干粒度从小到大的MOC。这样做的依据是在实际的网络管理建模需求中，所需要的管理粒度总是有限、可举的，这就使得只定义若干MOC从而满足网络管理建模需求成为可能；并且这样做的好处在于，由于模型的简单、直观性，

- 5 -

http://www.paper.edu.cn

使得建模人员在划分管理粒度的问题上较容易形成共同的认识，达成一致的意见，给网络管理系统的建模和实现带来了便利。

5. 管理信息模型评价

5.1 管理信息模型评价标准

网络管理信息模型质量的评价标准，是模型满足一定功能需求和用户要求的性质与特征的总和，同时又具有与网络管理信息模型相关的具体特性，对管理信息模型质量可从模型作用、管理资源抽象和资源模型分层做出全面的评价。这三个方面的质量特性可以细化成六个质量子特性[3]，分别是：

（1）资源抽象完备性：考查网管信息模型对管理资源的抽象是否完备。 （2）建模粒度合理性：考查信息模型中MOC的粒度是否合适。 （3）类重用度：从面向对象的角度考查MOC的重用程度。

（4）耦合内聚度：从面向对象的角度考查MOC自身内聚程度和MOC之间耦合程度。 （5）对分层的支持：考查信息模型对网络层和业务层信息建模的支持程度。 （6）对分区的支持：考查网络层信息建模中子网划分的合理性。 这些标准和规范将作为对管理信息模型进行评价和验证的依据。

5.2 管理信息模型在事件关联性分析中的应用

如图6所示的是一个典型的事件关联性分析应用案例，图中大写字母代表网络中的被管元素（Element），数字标注的箭头代表元素之间的依赖关系（Dependence），其中的实线箭头代表因物理上的连接而产生的依赖，虚线箭头代表因逻辑上或数据上彼此依存而产生的依赖。图6的内容清楚地表明了如何应用本文所介绍的管理信息模型对网络被管实体进行建模。在所示的被管范围内，有A～F共6个被管元素（Element）。从水平的视角看，这6个元素位于3个层面上；从垂直的视角看，这6个元素其实组成了2个物理上的主机类型的节点（Node）。

图6 管理信息模型的应用

Fig.6 The application of management information model

在实际应用中，如果B、E、F出现告警，则需要事件关联性分析系统能够推导出一颗

- 6 -

http://www.paper.edu.cn

以B为根的关系树，由B出发，通过（1-2-3）得到E；通过（4-5）得到F。在这样的分析过程中，本文介绍的管理信息模型和一般模型相比较后体现出的区别和优势如表1所示。

表1 比较结果

Tab.1 The result of comparison

模型

分层管理信息模型

一般模型

算法分析次数

显式关联关系个数

数据库存取次数

0 5 5 1 5 5

两者算法分析过程中都遍历了（1-2-3）和（4-5），故分析次数都是5次。其中分层管理信息模型已经在分层（Layer）的概念中一般地包括了{2,3,4,5}（隐式包含），只在依赖关系（Dependence）中显式地包括了{1}，故其关联关系个数为1，且数据库存取次数为0；而若采用一般模型，分析算法必须从数据库中得到{1,2,3,4,5}，故其显式关联关系个数和数据库存取次数均为5。从比较结果中可以明显看出分层管理信息模型的优势

5.3 管理信息模型评定

通过考察该分层管理信息模型的应用情况，证明其设计较好地符合了建模需求和评价标准，并且特别适用于事件关联性分析。它通过依赖关系的概念将事件关联性分析所需要的关联关系包含进模型中，减少了数据库I/O操作；又通过分层的概念减少了关联关系的种类和数量，从而较好地解决了事件关联性分析中的建模问题，改善了系统的性能。

6. 结论

本文在分析网络管理和事件关联性分析建模需求的基础上，提出了一种分层管理信息模型。通过理论上的分析和验证，证明了该模型不仅满足一般的网络管理建模需求，在特性上还符合事件关联性分析的特殊需求，有助于改善事件关联性分析系统的设计与实现并提高其运行效率。

- 7 -

参考文献

http://www.paper.edu.cn

[1] 杨洪涛，王继龙．网络事件管理系统中关联技术的选择及实现[J]．计算机工程，2006，32（4）：197-213． [2] 窦炳琳，朱有产，商李彪，等．告警关联方法研究[J]．计算机应用与软件，2006，23（1）：74-76． [3] 吴格含，孟洛明，邱雪松．网络管理信息模型质量定义及评价模型[J]．北京邮电大学学报，2003，26（4）：16-20． [4] 崔建群，吴黎兵，肖德宝．基于XML的被管网元对象模型的建立方法[J]．计算机工程，2005，31（14）：132-134． [5] 王 宇，薛，李增智，等．UML建模方法在TMN开发中的应用研究[J]．计算机工程与应用，2001，（4）：40-42．

[6] 李增智，张 劲，张 鹏．网络管理信息模型研究[J]．微电子学与计算机，2000，（3）：21-24．

[7] A. Dupuy, S. Sengupta, O. Wolfson, et al. Design of the Netmate Network Management System [J]. Computer Science Department, Columbia University, 1991, New York, NY 10027.

[8] 杨家海，王继龙，张金祥，等．基于多级抽象的网络管理信息模型[J]．华中科技大学学报，2003，31（增刊）：259-261．

Layered Management Information Model for Event

Correlation Analysis

Zeng Linqing, Cheng Lu, Rui Lanlan

State Key Laboratory of Networking and Switching Technology, Beijing University of Posts and

Telecommunications, Beijing, PRC, (100876)

Abstract

This paper presents a management information model after the analysis of modeling requirements for network management and event correlation analysis. Using layered perspective and including the relationship requires by the process of event correlation analysis, the model helps to reduce the variety and quantity of relationship, and to improve the efficiency of event correlation analysis system. An evaluation of this model was given according to a determinate evaluation criterion and the comparison between the consequences caused by using this model and the average models.

Keywords: network management, management information model, event correlation

- 8 -