基于关联分析算法的检察机关智能监测研究

2016-07-20肖飞龙清

计算技术与自动化 2016年2期

肖飞　龙清

摘要：目前检察机关的信息化建设进入快车道，各级检察机关基本上都已经完成了基础网络的建设，并在其之上建立了大量的应用系统。随着检察机关统一业务运营系统的上线，所有的办案流程都在网上流转，应用系统的稳定性越来越重要，对检察机关的网络与应用的实时监控和故障排查成为研究的重点。本文提出检察机关建立省级集中信息网络及应用智能动态监测平台的总体思路，并详述其中的技术难点关联分析算法如何实现。

关键词：智能监测；数据建模；关联分析；预警式服务

中图分类号：TP312 文献标识码：A

1 引言

21世纪以来，信息化技术的飞速革新为科技发展提供了巨大的助推力，尤其是在最近一个十年，web2.0和互联网思维深入人心，计算机和网络不但成为了人们不可缺少的手段，更加深刻的改变了人类生产生活的方式[1]。如何在剧烈的社会变革中保持先进的生产力，利用信息化的手段提升战斗力，是检察机关面临的巨大挑战。最近五年来，检察机关的信息化建设进入快车道，网络建设和系统建设相较于上一个十年取得了巨大的成就，尤其是检察机关的统一业务应用系统在全国检察机关全面铺开上线后[2]，该系统成为检察机关最核心的业务应用系统，承载了检察机关所有的办案业务。该系统上线之后，实现了信息跨区域共享，提高了办案效率、规范了执法行为、强化了内部监督制约，为检察权的依法正确行使提供了有效的信息化支撑和机制保障。但是由于全国检察机关信息化建设工作建设晚、底子薄、资金有限，对应用系统的监控、保障、维护具有相当大的难度。本文提出了检察机关建立省级集中信息网络及应用智能动态监测平台的总体思路，并详述了其中的技术难点——关联分析算法如何实现。

1.1 基本情况

目前，各级检察机关已建成覆盖从最高检到全部基层检察院的检察系统专线网络，各级检察院都将本院的局域网接入专线网上，并建立了大量多种多样的应用系统，如电子邮件、内网网站、网上办公、网上办案等。由于检察院信息化平台架构比较早，业务系统比较分散、数据和管理应用较复杂，对检察业务的连续性存在潜在威胁、管理复杂、相应速度滞后等问题。2014年，检察系统统一业务软件正式运行后，大部分的检察业务均需网上办理，这就对网络的稳定性提出了很高的要求。因此，对网络实施不间断的智能监控，实时监测网络上各类设备的运行状态，对可能影响网络稳定的隐患提早发现、提早解决变得尤为重要。

随着检察机关各类应用软件不断增加，也迫切的需要对正在运行的业务系统进行实时监管，一旦发现问题，主动报警，方便管理人员在第一时间发现问题和解决问题。

1.2 相关系统研究现状

信息网络智能监测系统是进行网络监测和管理最有效的手段，该类系统主要有两大类别，一是设备厂商针对各自设备开发的智能监测管理系统，如Cisco、3Com、华为、锐捷等；二是第三方开发的IT运维智能管理系统，如HP、ENOC、东华网智、ServiceWise IT服务管理软件等。这两类系统在一定程度上解决了网络上各类设备监测和管理问题，但不足之处也很明显的，设备厂商的智能监测管理系统只支持单一公司产品，不支持其他公司的产品，扩展性不够，功能性也比较单一。第三方运维的检测系统虽然对第三方产品进行支持，但一般是着重于解决某一方面的问题，如有的注重于对客户端软件的管理，有的注重于对各类服务器性能的监测，有的则着重对网络带宽及网络设备的监测。以上这些系统在运营商或企业平台中有一定程度的应用，但由于检察专网属于保密网络，同时还应符合国家保密局对于保密网络的网络智能监测系统的要求。因此这些系统不能满足检察机关全方位监控解决方案的需要。

要实现对检察机关的信息网络进行全方位的智能监控、做到统一管理、调度，就必须对检察专线网的现状进行全面分析，尝试将各类产品进行整合，互相开放接口程序，使之形成统一、有效的监管平台。

1.3 检察机关运维存在的弊端

从自身角度来说，检察机关的网络运维存在以下弊端：

1.运维力量偏弱，尤其是在基层院，往往一人身兼数职；

2.应用系统多且杂，没有有效的监控手段；

3.运维人员比较杂，响应慢，运维机制不完善；

4.人员、设备调度不及时，工作保障不及时。

为解决以上问题，有必要以省级为单位调研检察机关专线网的现状，全面、系统地对检察机关专线网管理与维护遇到的难题提出解决方案。

1.4 研究目标

本论文研究的总体目标是建立检察机关的信息网络智能监测系统，可在大屏幕界面和终端上实时观测服务器运行状态、应用程序运行状态和数据保障情况，实现网络上的各类设备及其应用集中监测、报警、应急处置和远程处理，保障人员统一调度，提高网络、应用和数据运行的稳定性，变被动响应式的管理为主动预警式的管理。

依托该系统，集中监控和发现故障，同时整合该省各级检察院的IT运维人员，对所有的运维人员进行统一管理、统一调度，建立健全统一的运维、应急处理机制，为下级院的IT运维人员提供坚实的技术支撑，解决目前各级院运维力量薄弱、相应速度慢、排除故障不及时的顽症。

2 总体架构

2.1 总体模块架构

我们设计的检察机关智能动态监测系统总体架构图如图1所示。图中，信息系统智能动态监测平台分为监控中心、运维中心、应急中心、和指挥调度中心四个大的功能模块。各类服务器、网络设备、应用系统、视频设备通过南向接口总线监控中心接入告警数据和性能数据，在监控中心进行汇总，根据预先设置的IT资源信息进行关联分析。分析后产生的故障数据通过运维中心触发综合作业计划或单项作业计划，产生作业计划调度数据。在应急中心中依据业务影响的级别程度触发各类应急响应预案，产生应急调度数据。各类调度数据通过指挥调度中心生成任务工单，下发给IT运维人员进行调度操作，并进行自动短信通知或邮件通知。当调度需要其他业务系统流程配合时，通过北向接口总线上传到其他业务系统接口中，在相关业务系统中完成调度并回馈闭环数据给指挥调度中心。该平台应当有完善的检察机关IT运维人员管理机制和运维保障机制作为支撑，并建立系统自身的安全策略，将相关的故障处理流程存入知识库中，提供给IT运维人员查阅使用。endprint

2.2 数据流图架构

从监控系统的数据流的角度来看，如图2所示，该系统通过标准接口方式综合采集设备层的各类告警、性能和网络参数数据，通过统一的接口层进行数据清洗和数据转换，在数据模型层转化为标准的资源模型数据和动态告警、性能数据，并在关联分析层自动进行数据挖掘和数据关联，讲动态数据与资源数据进行关联，确定告警、性能数据可能影响到的业务资源，最后将分析结果提交给调度处理层进行业务影响判断、故障处理和工单调度处理。

3 关键技术点

3.1 多种数据采集

目前，架设在检察专线网上的设备有网络设备、安全设备、服务器、存储设备、视频设备等，设备类型多种多样、设备品牌型号均不一致。智能动态监测系统应该能监测到各类设备的以下信息，以保证基本全面地获取系统管理所需的数据。

1.网络设备：设备告警信息、性能状态信息（如CPU状态信息、内存状态信息）、网络拓扑信息、设备运行日志信息、设备所有者信息、路由信息、配置文件信息、链路管理信息、IP地址、接口状态等；

2.服务器、存储设备：设备告警信息、性能状态信息（如CPU状态信息、内存状态信息）、网络拓扑信息、硬盘Smart信息、设备运行日志信息、IP地址、设备所有者信息等；

3.安全设备：设备告警信息、性能状态信息（如CPU状态信息、内存状态信息）、网络拓扑信息、设备运行日志信息、设备所有者信息、配置文件信息、安全防护日志信息、IP地址、接口状态等；

4.视频设备：设备告警信息、性能状态信息（如CPU状态信息、内存状态信息）、网络拓扑信息、设备运行日志信息、IP地址、设备所有者信息、接口状态等。

5.系统应用：系统相关进程的正常运行情况、与外部接口的联通情况、关键数据的存储情况等。

3.2 多接口接入

智能动态监测系统需要支持对以下各类接口方式接入方式。3.3 运维智能知识库建立

知识库就是对信息网络及应用智能监测系统中涉及到的软硬件信息和知识进行收集和整理，按照一定的方法进行分类保存，并提供相应的检索手段，同时通过建立的知识库，将知识库与事件监控中心进行关联，在发生事件时，可以为事件处理人员提供大量的相关信息，例如事件相关的配置信息、关联业务，该事件的最佳处理方式等。这样为事件处理人员提供决策支持信息，同时提供相应事件进行处理的标准流程，大大减少对事件进行处理所需要的事件。减少事件处理的出错概率。通过对普遍性事件的标准流程处理过程可以采用事件预案处理方式实现信息网络及应用智能监测系统自动处理，提高事件处理的效率，减少事件处理人员的工作量和出错概率。

3.4 运维流程调度

调度中心根据监测中心的数据，对系统的运行情况进行全面分析，在发生故障的情况下，根据故障的严重程度、紧急性要求向运维中心或应急中心发送指令，启动运维流程或应急流程。

运维中心既可以接收调度中心的工作任务，也可以接收系统维护人员自发提起的工作任务。如果是其他机关部门个人进行故障报修，还需要先经过故障等级评定才发起工作任务。对于提起的工单，如果是紧急或严重的故障处理，系统会提交给应急中心。应急中心有一套完整的应急预案，包括：故障通报机制，运维处理权限提升机制，从而有效的整合各种人员、设备、资金、资源，实现故障迅速排除。

对于普通的故障处理，运维中心要综合调度运维人员、备用设备和管理软件，对故障进行处理。故障处理完毕后，判断处理结果是否需要升级上报，升级上报的任务如果不能彻底解决，将向调度中心报告。如果不需升级上报的任务或彻底处理完成的任务，将生成处理方案进行审批，并关闭事件工单。并将处理的信息同步到知识库。

4 核心算法分析

从监测的数据来看，各类网络设备、操作系统、应用系统产生的告警数据、性能数据应当是相互关联的。某个网络节点、某台服务器性能或某个应用系统故障有可能影响到的是同一个检察业务。智能动态监测平台应当能够根据预先建立的网络拓扑结构和各个层级之间的依赖关系建立起关联分析和故障根源性分析的手段，从某个告警或性能数据出发，层层溯源，寻找其影响的检察业务，发出通知信息，提供给IT管理人员主动发现故障和解决故障，将业务中断的影响时间缩短到最短，影响降低到最低。

以下给出了对资源关系进行抽象数据建模和进行关联分析的基本算法思路。

4.1 支持关联分析的全网资源数据建模

检察机关网络错综复杂，多个专业之间存在着承载和转接的关系，各网络设备、硬件设备和应用系统之间类型复杂，告警也相互影响。为支持告警关联分析，必须针对全网进行跨资源数据建模，以模型进行关联分析的支撑[3]。

图3为全网资源数据模型，该模型力求屏蔽资源支撑网络错综复杂的专业性差异，将各专业资源数据以及数据之间的物理、逻缉关联用简洁明了的数据结构进行存储，以之支撑告警和性能数据的关联分析[4]。

从逻缉视角可将上述模型分为4个层次：应用、业务、链路、节点，其中的链路是广义上的和跨软硬件的，泛指所有的能够承载业务的物理或者逻缉连接，节点同样是广义上和跨专业的，泛指所有能够发生告警的端点[5]。

结合以上释义来看图4中关系，T_Customer为第一层的应用数据，记录了所有应用数据；T_Service为第二层的业务数据，记录了承载在检察专线网上的所有业务；T_Path和T_Link为第三层，是支持关联分析核心数据，记录了广义的链路信息，其中T_Path表专用于记录所有的物理连接，例如从交换机到路由器之间的物理连接，网络线路对服务器、存储的承接关系等；T_Link记录了所有的逻缉连接，如某几台存储和服务器支撑起了统一业务软件系统，系统中包涵了检察机关侦查、公诉等相关的业务；T_TermPoints为第四层逻缉数据，记录所有的节点信息，无论该节点是物理链路的端口还是逻辑链路的端口，都记录其中，与之相关的是T_Equipment，用来记录节点所属的网元信息，以及T_TermSubTerm，用于记录各节点之间的父子关系。endprint

建立以上跨专业的模型之后，就可以将复杂的资源数据采用倒入或录入的方式存入该统一模型之中，提供给关联分析作为数据支撑。

4.2 基于资源模型的关联分析算法

基于资源模型进行关联分析算法的过程，目的是发现根源故障，排除衍生故障。该算法运行的过程就是通过资源模型将告警进行分组，并在组内通过时间以及告警位置发现告警之间的关系[6]。

以下将各资源之间的物理关系称为Path关系，各资源之间的逻缉关系称为Link关系，所有发生告警的节点称为TP，一组相关的节点称为TPs，各节点之间的父子关系称为SubTerm关系。具体的关联分析算法运行步骤如下：

1.析告警信息，合理抽取关联算法涉及的关键告警信息；

2.从该条告警数据的TP出发，参照SubTerm关系中记录的节点父子关系，拓展出所有的父TP；

3.参照Link关系，拓展出一个Link中所有对应的A端TP和Z端TP；

4.参照Path关系，拓展出指定深度或者指定最大个数的TP。应该确保一个网元内的与当前TP有Path关系的高层TP都能被拓展到。建议拓展深度为3；

5.以上三步拓展获取的TP集合组成一个相关的TPs；

6.获取该TPs在一个特定时间窗口上发生的所有告警Alarms，对TPs组进行裁减；

7.将TPs中每个TP与Service关系进行关联，查看每个TP的告警影响到多少个Service，记为associateNum；

8.统计TPs组内所有的TP的associateNum，选取其中最大的作为该组的根源告警。

以上步骤中，1.为预处理，2～5为抽取组合TPs，6～8为进行根源判断。

算法中，基于资源模型对告警进行了分组，分组中加入了时间窗口的考虑，并对各告警的跨专业关联进行了分析，分组完成后，基于告警影响的程度大小，判定了根源告警，抑制了衍生告警[7]。

4.3 告警处理流程描述

按照以上算法，告警在本系统中的处理基本流程如图5所示。在预处理、数据清洗之后，进行告警分类组合、根源判断、影响性判断，最终形成结论推送给运维人员，帮助定位故障和处理故障[8]。

5 小结

对于省级集中管理的单位来说，如何在网络和应用系统飞速发展、不断膨胀的信息化时代，对全网进行管理，是当前IT管理的重点和难点。本文提出了检察机关建立省级集中信息网络及应用智能动态监测平台的总体思路，并详述了其中的技术难点——关联分析算法如何实现。从经济效益来说，检察机关省级集中的智能动态监测系统实现以后，能够有效的解决检察机关运维力量不足、故障处理响应慢的弊端，集中调度全省IT运维人员，有利于节约运维方面的人力。而且，在预警式的故障监管得以实现后，有利于检察机关及时了解网络设备和硬件设备的运行情况，发现性能瓶颈，有针对性的采购相关软硬件，做到有的放矢，有利于节约IT运维成本。另外，该系统经论证和实现后，具有在全国检察机关及其它有类似的涉密网、非涉密网复杂网络环境的省级单位进行推广的价值。

党的十八届四中全会为我国司法改革制定了宏伟蓝图，检察机关在司法改革的大潮中担负着无比重要的攻坚战任务，信息化的手段无疑将会是未来改革中强有力的助推器，如何利用信息化的手段支持检察业务、保障司法改革，成为检察机关信息化人员面临的重要课题。本文提出的思路，能够为检察机关信息化提供进一步的保障和促进，具有积极意义。当然，对该思路还必要进行深入思考和反复论证，更有待于实务的检验和各级检察机关不断努力尝试。

参考文献

[1] 国家电子政务十二五规划[R].

[2] 最高人民检察院.《“十二五”时期科技强检规划纲要》[R].

[3] 王洋，李国才，徐亚昆. 信息通信网络告警分类、关联性与管理方法研究[J].电信科学，2013，（8）：132-135.

[4] 陆振锋.基于Web服务的集中告警系统建设探讨[J]. 江西通信科技，2008（03）： 42-45.

[5] 丁志平，杨季文，吕强. 网络管理系统中资源模型的设计与应用[J]. 计算机工程，2007，（6）：173-175.

[6] 闫生超，唐云善，张春平，等.基于网络和时间关联关系的告警相关性分析[J]. 电力系统自动化，2011，（9）：78-81.

[7] 刘冬生，曾小荟，唐卫东，等. 一种新的告警关联聚类算法.计算机应用研究，2013，（12）：3786-3789.

[8] 李焕洲，张健，陈麟. 涉密网资源监控体系的研究与实现[J].计算机应用， 2006，5（5）：1090-1092.endprint