(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211146239.0 (22)申请日 2022.09.20 (71)申请人 建信金融科技有限责任公司 地址 200120 上海市浦东 新区自由贸易试 验区银城路9 9号12层、 15层 (72)发明人 刘东阳　 (74)专利代理 机构 北京润平知识产权代理有限 公司 11283 专利代理师 李红 (51)Int.Cl. H04L 41/0631(2022.01) H04L 41/069(2022.01) G06N 20/00(2019.01) (54)发明名称 告警收敛 方法及系统 (57)摘要 本申请实施例提供一种告警收敛方法及系 统。 方法包括： 响应于告警发生信号， 获取当前告 警信息， 并基于所述告警信息确定当前告警事件 的当前调用链； 在预设告警事件库中， 判断当前 调用链是否存在既往相同告警事件， 并基于判断 结果确定当前告警事件的执行规则； 基于当前告 警事件的执行规则执行当前告警事件处理， 并基 于处理结果进行预设告警事件库更新。 本发明方 案将告警信息的判断依据多样化， 提高告警事件 准确性。 权利要求书3页 说明书11页 附图4页 CN 115514619 A 2022.12.23 CN 115514619 A 1.一种告警收敛 方法， 其特 征在于， 所述方法包括： 响应于告警发生信号， 获取当前告警信息， 并基于所述告警信息确定当前告警事件的 当前调用链； 在预设告警事件库中， 判断当前调用链是否存在既往相同告警事件， 并基于判断结果 确定当前告警事 件的执行规则； 基于当前告警事件的执行规则执行当前告警事件处理， 并基于处理结果进行预设告警 事件库更新。 2.根据权利要求1所述的方法， 其特征在于， 所述基于判断结果确定当前告警事件的执 行规则， 包括： 若当前调用链存在既往相同告警事 件， 则执行收敛规则； 若当前调用链不存在既往相同告警事 件， 则执行冷启动规则。 3.根据权利要求2所述的方法， 其特征在于， 若当前告警事件的执行规则为冷启动规 则， 所述基于当前告警事 件的执行规则执 行当前告警事 件处理， 包括： 获取当前调用链 的历史日志数据， 并从所述历史日志数据中提取历史告警事件的真/ 假标注信息； 在预设时间窗口内， 搜寻所有异常信号下的相关指标， 获得相关指标集； 从所述相关指标集中筛 选出与当前调用链相关程度最大的相关指标作为高相关指标； 确定所述高相关指标对应的历史告警事件的标注类型， 以及确定所述高相关指标在对 应历史日志数据中的分布规 律； 基于所述标注类型和所述分布规律对比当前告警事件， 以判断当前告警事件的真/假 性质， 并基于判断结果执 行对应的处 理流程。 4.根据权利要求3所述的方法， 其特征在于， 所述从所述相关指标集中筛选出与当前调 用链相关程度最大的相关指标作为高相关指标， 包括： 分别计算所述历史日志数据中历史告警事件与相关指标集中各相关指标的皮尔逊相 关系数； 对比各相关指标的皮尔逊相关系系数数值， 筛选出数值最大的皮尔逊相关系数对应的 相关指标作为高相关指标。 5.根据权利要求3所述的方法， 其特征在于， 所述确定所述高相关指标在对应历史日志 数据中的分布规 律， 包括： 记录历史告警事件对应的高相关指标在对应预设时间窗口下的异常次数作为所述高 相关指标在对应历史日志数据中的分布规 律。 6.根据权利要求3所述的方法， 其特征在于， 所述基于所述标注类型和所述分布规律对 比当前告警事 件， 以判断当前告警事 件的真/假 性质， 包括： 获取当前告警事件在相同大小时间窗口下的异常次数， 并计算与所述高相关指标在对 应历史日志数据中的分布规 律之间的相似度； 其中， 相似度计算规则为皮尔逊相关系数算法、 Cosine相似度算法、 Spearman秩相关系数算 法、 Tanimoto系数算法和对数似然相似度算法中的任一种； 若确定识别到与当前告警事件之间的相似度 大于预设相似度阈值的历史告警事件， 识 别该历史告警事件的真/假标注信息， 基于该真/假标注信息确定当前告警事件的真/假性权　利　要　求　书 1/3 页 2 CN 115514619 A 2质， 当前告警事 件与相似度大于预设相似度阈值的历史告警事 件的真/假 性质相同。 7.根据权利要求3所述的方法， 其特征在于， 所述基于判断结果执行对应的处理流程， 包括： 若当前告警事 件的性质为真告警事 件， 则进行当前告警事 件推送； 若当前告警事 件的性质为 假告警事 件， 则舍弃当前告警事 件。 8.根据权利要求2所述的方法， 其特征在于， 若当前告警事件的执行规则为收敛规则， 所述基于当前告警事 件的执行规则执 行当前告警事 件处理， 包括： 基于既往相同告警事 件处理信息， 抽取当前调用链的高相关指标； 基于所述高相关指标在预设时间窗口内进行异常检测， 统计异常次数； 基于所述异常次数计算当前告警事 件与既往相同告警事 件之间的相似度； 对比所述相似度与预设相似度阈值， 基于对比结果确定当前告警事件的真/假性质， 并 基于判断结果执 行对应的处 理流程。 9.根据权利要求8所述的方法， 其特征在于， 所述异常检测的方法为3σ 原则法或箱线图 法。 10.根据权利要求8所述的方法， 其特征在于， 所述对比所述相似度与 预设相似度阈值， 基于对比结果确定当前告警事 件的真/假 性质， 包括： 若当前告警事件与既往相同告警事件之间的相似度大于预设相似度阈值且既往相同 告警事件为真告警事 件， 判定当前告警事 件为真告警事 件； 若当前告警事件与既往相同告警事件之间的相似度大于预设相似度阈值且既往相同 告警事件为假告警事 件， 判定当前告警事 件为假告警事 件； 若当前告警事件与既往相同告警事件之间的相似度小于预设相似度阈值， 判定当前告 警事件为新发告警事 件。 11.根据权利要求10所述的方法， 其特征在于， 所述基于判断结果执行对应的处理流 程， 包括： 若当前告警事 件为真告警事 件， 则进行当前告警事 件推送； 若当前告警事 件为假告警事 件， 则舍弃当前告警事 件； 若当前告警事件为新发告警事件， 则进行当前告警事件推送， 并在当前告警事件处理 完成后， 将当前告警事 件的处理信息记录 到预设告警事 件库中。 12.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 进行真告警事件推送时， 基于真告警事件对应的历史告警事件的处理流程或既往相同 告警事件留存的处 理流程， 进行真告警事 件的对应处 理流程推送。 13.根据权利要求1所述的方法， 其特征在于， 所述基于处理结果进行预设告警事件库 更新， 包括： 更新当前告警事件的事件信息和对应的处理流程到预设告警事件库中； 其中， 所述事 件信息包括： 真/假性质、 高关联指标、 高关联指标在预设时间窗口内的异常次数和根因信息 。 14.一种告警收敛系统， 其特 征在于， 所述系统包括： 采集单元， 用于响应于告警发生信号， 获取当前告警信 息， 并基于所述告警信 息确定当 前告警的当前调用链；权　利　要　求　书 2/3 页 3 CN 115514619 A 3