随着信息技术在电力系统中应用的不断发展，电力系统数据网络的规模也在不断扩大，同时网络中所承载的业务也越来越复杂多样，电力通信数据网管理及维护工作面临着极大的挑战。而这也对数据网络的运维管理提出了更高的要求，即需要对数据网络进行精细化监测管理，更加客观系统地对数据网络的特性与趋势进行描述，“告警关联分析”代表了未来一类综合性的数据网络管理功能，通过综合性的管理分析功能深入发掘管理数据间的联系，并最终为优化和完善电力系统数据网络提供可靠的参考依据。

常见网络监测模型应用现状

当前常见的网络流量监测模型利用简单网络管理协议(simple network management protocol，SNMP)等网络流量探针，获取如带宽、链路利用率等网络特性信息，并仅通过维护人员预先设定监控指标数值固定的上/下限值进行简单比较，当被监控指标越过预设阀值时生成告警信息。

该网络流量监测模型有一定的流量告警功能，但仅从单一方面获取流量情况，不具备多角度、多侧面网络分析能力，无法系统全面描述数据网络特征;另外由于作为流量判断依据的告警阀值为一个固定的经验数值，因此告警效率较低，漏报率和误报率较高，告警结果常常无法为维护人员提供有效网络流量信息，其应用缺点如下。

1)无法系统全面对数据网络特征进行获取和描述;

2)告警阀值需手工设置，缺乏智能化变更;

3)维护人员的经验对阀值设置起关键作用，阀值设定较为主观;

4)监控对象流量特征各不相同，阀值设置难度大。

监测模型建立

模型建立目标

本文拟在电力系统中建立一种科学的数据网络流量监测模型，通过全网流量实时监测，对网络设备性能状态、吞吐量、带宽资源利用率、异常流量监控预警、业务应用流向分布等进行精细化的分析管理,以提供全面的网络流量可视化、量化的运行数据报告，并提供网络异常流量的监控分析，从而减少网络故障诊断、异常侦测分析的难度和时间。同时可较好的为网络优化提供数据支持，减少因网络拥塞或异常而发生的延迟、中断，保障网络的运行效率，整体提高数据网络的可靠性和可用性。

通过使用数据网络流量监测模型可实现以下目的：掌握网络流量特性、了解用户网络行为、监视网络流量状态、检测分析异常流量、分析用户行为和量化网络承载能力。该模型为网络服务优化提供了辅助决策依据，可以提升网络服务安全性,实现及时检测和解决网络存在的隐患问题，并最终达到指导数据网络规划、建设和改造的目的。

关键技术

(1)SNMP技术

SNMP是目前应用最为广泛的网络管理协议，其管理信息库(management information base，MIB)含有网络流量数据的变量。

(2)Netflow/netstream技术

网络流量(Netflow/netstream)是一套网络流量监测技术，它运行在路由器中动态地收集经过路由器的流的信息，并向指定的目的端吐出这些数据。目前在流量分析模型中有广泛应用。

(3)DPI探针技术

DPI(Deep packet inspection)探针技术是一种就应用层的流量检测，当IP数据包、TCP或UDP数据流通过基于DPI技术的分析时，通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得出整个应用程序的内容，实现不同应用层的有效识别。

建模思路

监测模型从区域、时间、业务、链路四个维度，利用SNMP、netflow/netstream、DPI探针网络流量监测工具，形成不同维度下的流量特征,从而可根据实际需求，制定精细化的网络流量分析方案。四维度流量检测模型如图1所示。

建立步骤

采集单元部署：根据实际运行需求，本模型将采集单元部署数据网络特定的链路上，从而通过网络探针对流量信息进行收集。

流量特征分析：本模型基于动态基线的制定理念，将一天分成多个时段，结合数据网络中每天相同时段的正常流量，计算其平均值，并利用这些连续不同时段的流量平均值制定出流量基线特征，从而可以客观地反映正常行为下网络流量所呈现的变化趋势。

特征库建立

本模型根据时间、地域、业务以及链路区间4个维度的参数变化，可以获取数据网络的若干网络行为特征，可以根据实际运行特点以各个侧面描述网络特性，从而更全面细致地对系统数据网络进行精细化分析。通过综合各项网络特征，可以建立一套完整的网络特征库，包括链路流量特征、不同区域流量占比特征、不同业务类型流量特征、不同业务类型流量占比特征等。

模型应用

异常行为告警：通过将初定位网络流量异常的节点与动态临界值基线进行比较，只把与流量基线明显偏离的时段列为异常流量，而排除某些尖峰时段网络流量本应高于固定临界值的节点，从而减少了网络监测误判的情况。

设备性能与链路流量的告警关联：设备性能通常是指网络设备的CPU/内存利用情况，现有网管系统只是对该项指标进行监测并触发阀值产生告警。而最终影响到CPU/内存利用率高的具体原因无法发掘。通过经验得出，能影响到CPU/内存利用率的外在主要因素是链路流量或链路异常数据包成分。链路流量过大，网络要转发就需要消耗更多的CPU和内存。链路异常数据包过多，网络设备进行处理也需要消耗更多的CPU/内存。因此，设备性能告警与链路流量/数据包成分告警的关联是密不可分的。

当路由器E的CPU/内存触发了预设值的阀值，所有链路未触发流量阀值，但是链路中传输的数据包类型或尺寸占比异常时，所产生的告警级别归为紧急。

网络优化依据：通过模型的建立，可以针对系统正常运行下高峰拥挤时段，提供更全面和细致的流量描述和分析，从而可以更有效地指导随后数据网络的优化和调整。同时可以根据网络流量特征，总结当前系统数据网络运行规律走向，为系统网络远期预测与建设提供有效的数据支持。

小结

本文根据电力系统业务特点与需求，建立一种基于告警关联的电力系统数据网络监测模型。该模型通过监测网络流量状态和设备重要指标状态，以及告警关联技术与故障管理的结合，为现实网络的网管工作提供了指引性的方法和路线，从而可以更全面进行数据网络运行状态分析，并获取和建立网络特征库，最终为提供网络管理依据，更有效地提升数据网络的服务质量。

原标题:基于告警关联的电力系统数据网络监测模型