事件關聯

事件關聯通過整理大量離散事件數據並把其作為一個整體進行分析，找到需要立即引起注意的重要模式和事故，從而簡化威脅檢測方法。雖然早期事件關聯把注意力集中在減少事件數量從而簡化事件管理上，通常通過過濾、壓縮或歸納事件，較新的技術則使用狀態邏輯分析發生的事件流，同時進行模式識別以找到網絡問題、故障、攻擊、入侵等。事件關聯在許多方面都很有用，比如通過多種方式為人工的安全評估提供便利：從各種各樣的源獲取更適合人類理解的大量事件數據，自動檢測已知的威脅模式的明確標誌從而讓檢測網絡攻擊和破壞事件變得容易，以及通過事件標準化簡化對未知威脅模式的人工探測。 ^[1] 

事件關聯技術是重要的故障定位策略，長期以來一直是研究的熱點。其基本思想是，通過關聯多個事件為某一單一概念事件來過濾不必要的及不相關的事件，為網絡管理員提供更精簡的事件信息視圖，以準確、快速地識別故障源。

(1)故障

故障(Fault)也稱故障源，即被管網絡及其部件出現硬件或軟件方面的問題而不能提供正常的服務。

故障按其性質可分為以下兩類。

①硬故障：傳感器失效、連接中斷等故障，一般可通過更換硬件或調試相關軟件以及重新初始化加以解決。

②軟故障：由網絡擁塞、軟件失常、資源耗盡、交換效率下降等問題引起的故障。

(2)事件

事件(Event)也稱告警，是故障的外在表現，即被管對象出現異常後狀態的改變。

事件按其性質可分為以下兩類。

①連通性事件：由Manager到被管對象的連接失敗，以致設備不再具有網絡連通性，無法進行通信的事件。

②性能事件：設備的連接雖然存在，但由於被管對象與故障管理相關的MIB對象的值超過了預設的閾值而觸發的事件。例如，過高的IP數據報出錯率，可能暗示IP層協議實體的故障，可通過設置出錯率的最大閾值來觸發性能事件，產生告警。對於某些應用而言，網絡系統資源性能的降低實質上也是一種故障。

故障與事件相互聯繫，故障是原因，事件是結果。告警是可以觀測和容易獲取的，而故障卻通常被掩蓋在大量告警背後。

事件關聯綜合被管網元在語義上的相關性，通過對告警信息在時間(Temporal)和空間(Spatial)上進行相關處理，減少告警消息的數目，有助於發現引起故障的真正原因。對告警信息而言，其自身攜帶的時間戳是一個十分關鍵的信息。時間關聯過程就是從時間序列的角度來關聯告警序列，以便進行故障定位的。空間信息主要指的是網絡的拓撲結構信息，它顯式地或隱式地包含在故障告警中。空間關聯過程就是從網絡拓撲結構的角度來關聯告警序列，以便進行故障定位的。

典型的告警關聯方法如下。

1、壓縮：將多次發生的相同告警壓縮為一次同一類型的告警。

2、過濾：忽略掉不滿足給定條件的告警。

3、抑制：在特定的上下文中對某些告警進行抑制，如在級別高的告警發生時忽略級別低的告警。

4、計數：置換指定數目相同的重複告警為一個新類型告警。

5、概括：通過它的超類來引用該告警。

6、細化：用更加具體的子類告警來置換某告警。 ^[2]