基于關聯分析算法的檢察機關智能監測研究

肖飛　龍清

摘 要：目前檢察機關的信息化建設進入快車道，各級檢察機關基本上都已經完成了基礎網絡的建設，并在其之上建立了大量的應用系統。隨著檢察機關統一業務運營系統的上線，所有的辦案流程都在網上流轉，應用系統的穩定性越來越重要，對檢察機關的網絡與應用的實時監控和故障排查成為研究的重點。本文提出檢察機關建立省級集中信息網絡及應用智能動態監測平臺的總體思路，并詳述其中的技術難點關聯分析算法如何實現。

關鍵詞：智能監測；數據建模；關聯分析；預警式服務

中圖分類號：TP312 文獻標識碼：A

1 引 言

21世紀以來，信息化技術的飛速革新為科技發展提供了巨大的助推力，尤其是在最近一個十年，web2.0和互聯網思維深入人心，計算機和網絡不但成為了人們不可缺少的手段，更加深刻的改變了人類生產生活的方式[1]。如何在劇烈的社會變革中保持先進的生產力，利用信息化的手段提升戰斗力，是檢察機關面臨的巨大挑戰。最近五年來，檢察機關的信息化建設進入快車道，網絡建設和系統建設相較于上一個十年取得了巨大的成就，尤其是檢察機關的統一業務應用系統在全國檢察機關全面鋪開上線后[2]，該系統成為檢察機關最核心的業務應用系統，承載了檢察機關所有的辦案業務。該系統上線之后，實現了信息跨區域共享，提高了辦案效率、規范了執法行為、強化了內部監督制約，為檢察權的依法正確行使提供了有效的信息化支撐和機制保障。但是由于全國檢察機關信息化建設工作建設晚、底子薄、資金有限，對應用系統的監控、保障、維護具有相當大的難度。本文提出了檢察機關建立省級集中信息網絡及應用智能動態監測平臺的總體思路，并詳述了其中的技術難點——關聯分析算法如何實現。

1.1 基本情況

目前，各級檢察機關已建成覆蓋從最高檢到全部基層檢察院的檢察系統專線網絡，各級檢察院都將本院的局域網接入專線網上，并建立了大量多種多樣的應用系統，如電子郵件、內網網站、網上辦公、網上辦案等。由于檢察院信息化平臺架構比較早，業務系統比較分散、數據和管理應用較復雜，對檢察業務的連續性存在潛在威脅、管理復雜、相應速度滯后等問題。2014年，檢察系統統一業務軟件正式運行后，大部分的檢察業務均需網上辦理，這就對網絡的穩定性提出了很高的要求。因此，對網絡實施不間斷的智能監控，實時監測網絡上各類設備的運行狀態，對可能影響網絡穩定的隱患提早發現、提早解決變得尤為重要。

隨著檢察機關各類應用軟件不斷增加，也迫切的需要對正在運行的業務系統進行實時監管，一旦發現問題，主動報警，方便管理人員在第一時間發現問題和解決問題。

1.2 相關系統研究現狀

信息網絡智能監測系統是進行網絡監測和管理最有效的手段，該類系統主要有兩大類別，一是設備廠商針對各自設備開發的智能監測管理系統，如Cisco、3Com、華為、銳捷等；二是第三方開發的IT運維智能管理系統，如HP、ENOC、東華網智、ServiceWise IT服務管理軟件等。這兩類系統在一定程度上解決了網絡上各類設備監測和管理問題，但不足之處也很明顯的，設備廠商的智能監測管理系統只支持單一公司產品，不支持其他公司的產品，擴展性不夠，功能性也比較單一。第三方運維的檢測系統雖然對第三方產品進行支持，但一般是著重于解決某一方面的問題，如有的注重于對客戶端軟件的管理，有的注重于對各類服務器性能的監測，有的則著重對網絡帶寬及網絡設備的監測。以上這些系統在運營商或企業平臺中有一定程度的應用，但由于檢察專網屬于保密網絡，同時還應符合國家保密局對于保密網絡的網絡智能監測系統的要求。因此這些系統不能滿足檢察機關全方位監控解決方案的需要。

要實現對檢察機關的信息網絡進行全方位的智能監控、做到統一管理、調度，就必須對檢察專線網的現狀進行全面分析，嘗試將各類產品進行整合，互相開放接口程序，使之形成統一、有效的監管平臺。

1.3 檢察機關運維存在的弊端

從自身角度來說，檢察機關的網絡運維存在以下弊端：

1.運維力量偏弱，尤其是在基層院，往往一人身兼數職；

2.應用系統多且雜，沒有有效的監控手段；

3.運維人員比較雜，響應慢，運維機制不完善；

4.人員、設備調度不及時，工作保障不及時。

為解決以上問題，有必要以省級為單位調研檢察機關專線網的現狀，全面、系統地對檢察機關專線網管理與維護遇到的難題提出解決方案。

1.4 研究目標

本論文研究的總體目標是建立檢察機關的信息網絡智能監測系統，可在大屏幕界面和終端上實時觀測服務器運行狀態、應用程序運行狀態和數據保障情況，實現網絡上的各類設備及其應用集中監測、報警、應急處置和遠程處理，保障人員統一調度，提高網絡、應用和數據運行的穩定性，變被動響應式的管理為主動預警式的管理。

依托該系統，集中監控和發現故障，同時整合該省各級檢察院的IT運維人員，對所有的運維人員進行統一管理、統一調度，建立健全統一的運維、應急處理機制，為下級院的IT運維人員提供堅實的技術支撐，解決目前各級院運維力量薄弱、相應速度慢、排除故障不及時的頑癥。

2 總體架構

2.1 總體模塊架構

我們設計的檢察機關智能動態監測系統總體架構圖如圖1所示。圖中，信息系統智能動態監測平臺分為監控中心、運維中心、應急中心、和指揮調度中心四個大的功能模塊。各類服務器、網絡設備、應用系統、視頻設備通過南向接口總線監控中心接入告警數據和性能數據，在監控中心進行匯總，根據預先設置的IT資源信息進行關聯分析。分析后產生的故障數據通過運維中心觸發綜合作業計劃或單項作業計劃，產生作業計劃調度數據。在應急中心中依據業務影響的級別程度觸發各類應急響應預案，產生應急調度數據。各類調度數據通過指揮調度中心生成任務工單，下發給IT運維人員進行調度操作，并進行自動短信通知或郵件通知。當調度需要其他業務系統流程配合時，通過北向接口總線上傳到其他業務系統接口中，在相關業務系統中完成調度并回饋閉環數據給指揮調度中心。該平臺應當有完善的檢察機關IT運維人員管理機制和運維保障機制作為支撐，并建立系統自身的安全策略，將相關的故障處理流程存入知識庫中，提供給IT運維人員查閱使用。endprint

2.2 數據流圖架構

從監控系統的數據流的角度來看，如圖2所示，該系統通過標準接口方式綜合采集設備層的各類告警、性能和網絡參數數據，通過統一的接口層進行數據清洗和數據轉換，在數據模型層轉化為標準的資源模型數據和動態告警、性能數據，并在關聯分析層自動進行數據挖掘和數據關聯，講動態數據與資源數據進行關聯，確定告警、性能數據可能影響到的業務資源，最后將分析結果提交給調度處理層進行業務影響判斷、故障處理和工單調度處理。

3 關鍵技術點

3.1 多種數據采集

目前，架設在檢察專線網上的設備有網絡設備、安全設備、服務器、存儲設備、視頻設備等，設備類型多種多樣、設備品牌型號均不一致。智能動態監測系統應該能監測到各類設備的以下信息，以保證基本全面地獲取系統管理所需的數據。

1.網絡設備：設備告警信息、性能狀態信息（如CPU狀態信息、內存狀態信息）、網絡拓撲信息、設備運行日志信息、設備所有者信息、路由信息、配置文件信息、鏈路管理信息、IP地址、接口狀態等；

2.服務器、存儲設備：設備告警信息、性能狀態信息（如CPU狀態信息、內存狀態信息）、網絡拓撲信息、硬盤Smart信息、設備運行日志信息、IP地址、設備所有者信息等；

3.安全設備：設備告警信息、性能狀態信息（如CPU狀態信息、內存狀態信息）、網絡拓撲信息、設備運行日志信息、設備所有者信息、配置文件信息、安全防護日志信息、IP地址、接口狀態等；

4.視頻設備：設備告警信息、性能狀態信息（如CPU狀態信息、內存狀態信息）、網絡拓撲信息、設備運行日志信息、IP地址、設備所有者信息、接口狀態等。

5.系統應用：系統相關進程的正常運行情況、與外部接口的聯通情況、關鍵數據的存儲情況等。

3.2 多接口接入

智能動態監測系統需要支持對以下各類接口方式接入方式。3.3 運維智能知識庫建立

知識庫就是對信息網絡及應用智能監測系統中涉及到的軟硬件信息和知識進行收集和整理，按照一定的方法進行分類保存，并提供相應的檢索手段，同時通過建立的知識庫，將知識庫與事件監控中心進行關聯，在發生事件時，可以為事件處理人員提供大量的相關信息，例如事件相關的配置信息、關聯業務，該事件的最佳處理方式等。這樣為事件處理人員提供決策支持信息，同時提供相應事件進行處理的標準流程，大大減少對事件進行處理所需要的事件。減少事件處理的出錯概率。通過對普遍性事件的標準流程處理過程可以采用事件預案處理方式實現信息網絡及應用智能監測系統自動處理，提高事件處理的效率，減少事件處理人員的工作量和出錯概率。

3.4 運維流程調度

調度中心根據監測中心的數據，對系統的運行情況進行全面分析，在發生故障的情況下，根據故障的嚴重程度、緊急性要求向運維中心或應急中心發送指令，啟動運維流程或應急流程。

運維中心既可以接收調度中心的工作任務，也可以接收系統維護人員自發提起的工作任務。如果是其他機關部門個人進行故障報修，還需要先經過故障等級評定才發起工作任務。對于提起的工單，如果是緊急或嚴重的故障處理，系統會提交給應急中心。應急中心有一套完整的應急預案，包括：故障通報機制，運維處理權限提升機制，從而有效的整合各種人員、設備、資金、資源，實現故障迅速排除。

對于普通的故障處理，運維中心要綜合調度運維人員、備用設備和管理軟件，對故障進行處理。故障處理完畢后，判斷處理結果是否需要升級上報，升級上報的任務如果不能徹底解決，將向調度中心報告。如果不需升級上報的任務或徹底處理完成的任務，將生成處理方案進行審批，并關閉事件工單。并將處理的信息同步到知識庫。

4 核心算法分析

從監測的數據來看，各類網絡設備、操作系統、應用系統產生的告警數據、性能數據應當是相互關聯的。某個網絡節點、某臺服務器性能或某個應用系統故障有可能影響到的是同一個檢察業務。智能動態監測平臺應當能夠根據預先建立的網絡拓撲結構和各個層級之間的依賴關系建立起關聯分析和故障根源性分析的手段，從某個告警或性能數據出發，層層溯源，尋找其影響的檢察業務，發出通知信息，提供給IT管理人員主動發現故障和解決故障，將業務中斷的影響時間縮短到最短，影響降低到最低。

以下給出了對資源關系進行抽象數據建模和進行關聯分析的基本算法思路。

4.1 支持關聯分析的全網資源數據建模

檢察機關網絡錯綜復雜，多個專業之間存在著承載和轉接的關系，各網絡設備、硬件設備和應用系統之間類型復雜，告警也相互影響。為支持告警關聯分析，必須針對全網進行跨資源數據建模，以模型進行關聯分析的支撐[3]。

圖3為全網資源數據模型，該模型力求屏蔽資源支撐網絡錯綜復雜的專業性差異，將各專業資源數據以及數據之間的物理、邏緝關聯用簡潔明了的數據結構進行存儲，以之支撐告警和性能數據的關聯分析[4]。

從邏緝視角可將上述模型分為4個層次：應用、業務、鏈路、節點，其中的鏈路是廣義上的和跨軟硬件的，泛指所有的能夠承載業務的物理或者邏緝連接，節點同樣是廣義上和跨專業的，泛指所有能夠發生告警的端點[5]。

結合以上釋義來看圖4中關系，T_Customer為第一層的應用數據，記錄了所有應用數據；T_Service為第二層的業務數據，記錄了承載在檢察專線網上的所有業務；T_Path和T_Link為第三層，是支持關聯分析核心數據，記錄了廣義的鏈路信息，其中T_Path表專用于記錄所有的物理連接，例如從交換機到路由器之間的物理連接，網絡線路對服務器、存儲的承接關系等；T_Link記錄了所有的邏緝連接，如某幾臺存儲和服務器支撐起了統一業務軟件系統，系統中包涵了檢察機關偵查、公訴等相關的業務；T_TermPoints為第四層邏緝數據，記錄所有的節點信息，無論該節點是物理鏈路的端口還是邏輯鏈路的端口，都記錄其中，與之相關的是T_Equipment，用來記錄節點所屬的網元信息，以及T_TermSubTerm，用于記錄各節點之間的父子關系。endprint

建立以上跨專業的模型之后，就可以將復雜的資源數據采用倒入或錄入的方式存入該統一模型之中，提供給關聯分析作為數據支撐。

4.2 基于資源模型的關聯分析算法

基于資源模型進行關聯分析算法的過程，目的是發現根源故障，排除衍生故障。該算法運行的過程就是通過資源模型將告警進行分組，并在組內通過時間以及告警位置發現告警之間的關系[6]。

以下將各資源之間的物理關系稱為Path關系，各資源之間的邏緝關系稱為Link關系，所有發生告警的節點稱為TP，一組相關的節點稱為TPs，各節點之間的父子關系稱為SubTerm關系。具體的關聯分析算法運行步驟如下：

1.析告警信息，合理抽取關聯算法涉及的關鍵告警信息；

2.從該條告警數據的TP出發，參照SubTerm關系中記錄的節點父子關系，拓展出所有的父TP；

3.參照Link關系，拓展出一個Link中所有對應的A端TP和Z端TP；

4.參照Path關系，拓展出指定深度或者指定最大個數的TP。應該確保一個網元內的與當前TP有Path關系的高層TP都能被拓展到。建議拓展深度為3；

5.以上三步拓展獲取的TP集合組成一個相關的TPs；

6.獲取該TPs在一個特定時間窗口上發生的所有告警Alarms，對TPs組進行裁減；

7.將TPs中每個TP與Service關系進行關聯，查看每個TP的告警影響到多少個Service，記為associateNum；

8.統計TPs組內所有的TP的associateNum，選取其中最大的作為該組的根源告警。

以上步驟中，1.為預處理，2～5為抽取組合TPs，6～8為進行根源判斷。

算法中，基于資源模型對告警進行了分組，分組中加入了時間窗口的考慮，并對各告警的跨專業關聯進行了分析，分組完成后，基于告警影響的程度大小，判定了根源告警，抑制了衍生告警[7]。

4.3 告警處理流程描述

按照以上算法，告警在本系統中的處理基本流程如圖5所示。在預處理、數據清洗之后，進行告警分類組合、根源判斷、影響性判斷，最終形成結論推送給運維人員，幫助定位故障和處理故障[8]。

5 小 結

對于省級集中管理的單位來說，如何在網絡和應用系統飛速發展、不斷膨脹的信息化時代，對全網進行管理，是當前IT管理的重點和難點。本文提出了檢察機關建立省級集中信息網絡及應用智能動態監測平臺的總體思路，并詳述了其中的技術難點——關聯分析算法如何實現。從經濟效益來說，檢察機關省級集中的智能動態監測系統實現以后，能夠有效的解決檢察機關運維力量不足、故障處理響應慢的弊端，集中調度全省IT運維人員，有利于節約運維方面的人力。而且，在預警式的故障監管得以實現后，有利于檢察機關及時了解網絡設備和硬件設備的運行情況，發現性能瓶頸，有針對性的采購相關軟硬件，做到有的放矢，有利于節約IT運維成本。另外，該系統經論證和實現后，具有在全國檢察機關及其它有類似的涉密網、非涉密網復雜網絡環境的省級單位進行推廣的價值。

黨的十八屆四中全會為我國司法改革制定了宏偉藍圖，檢察機關在司法改革的大潮中擔負著無比重要的攻堅戰任務，信息化的手段無疑將會是未來改革中強有力的助推器，如何利用信息化的手段支持檢察業務、保障司法改革，成為檢察機關信息化人員面臨的重要課題。本文提出的思路，能夠為檢察機關信息化提供進一步的保障和促進，具有積極意義。當然，對該思路還必要進行深入思考和反復論證，更有待于實務的檢驗和各級檢察機關不斷努力嘗試。

參考文獻

[1] 國家電子政務十二五規劃[R].

[2] 最高人民檢察院.《“十二五”時期科技強檢規劃綱要》[R].

[3] 王洋，李國才，徐亞昆. 信息通信網絡告警分類、關聯性與管理方法研究[J].電信科學，2013，（8）：132-135.

[4] 陸振鋒.基于Web服務的集中告警系統建設探討[J]. 江西通信科技，2008（03）： 42-45.

[5] 丁志平，楊季文，呂強. 網絡管理系統中資源模型的設計與應用[J]. 計算機工程，2007，（6）：173-175.

[6] 閆生超，唐云善，張春平，等.基于網絡和時間關聯關系的告警相關性分析[J]. 電力系統自動化，2011，（9）：78-81.

[7] 劉冬生，曾小薈，唐衛東，等. 一種新的告警關聯聚類算法.計算機應用研究，2013，（12）：3786-3789.

[8] 李煥洲，張健，陳麟. 涉密網資源監控體系的研究與實現[J].計算機應用， 2006，5（5）：1090-1092.endprint