Try with Simpler — An Evaluation of Improved Principal Component Analysis in Log-based Anomaly Detection

要約

ディープラーニング (DL) の急速な成長により、ログベースの異常検出の強化に対する関心が高まっています。
このアプローチの目的は、ログ イベント (ログ メッセージ テンプレート) から意味を抽出し、異常検出のための高度な DL モデルを開発することです。
ただし、これらの DL 手法は、モデルの複雑さにより、トレーニング データ、ラベル、計算リソースに大きく依存するなどの課題に直面しています。
対照的に、従来の機械学習およびデータ マイニング技術は、データへの依存度が低く効率的ですが、DL ほど効果的ではありません。
ログベースの異常検出をより実用的なものにするために、目標は、DL の有効性に匹敵するように従来の技術を強化することです。
別の分野での以前の研究 (スタック オーバーフローに関する質問へのリンク) では、最適化された従来の手法が最先端の DL 手法に匹敵する可能性があることが示唆されています。
このコンセプトからインスピレーションを得て、私たちは実証研究を実施しました。
従来の手法である教師なし PCA (主成分分析) を、軽量のセマンティックベースのログ表現を組み込むことで最適化しました。
これにより、トレーニング データ内の目に見えないログ イベントの問題が解決され、ログ表現が強化されます。
私たちの調査では、公共データセットと産業用データセットを使用して、DL ベースの 4 つ、従来の 2 つ、および最適化された PCA 技術を含む 7 つのログベースの異常検出方法を比較しました。
結果は、最適化された教師なし PCA 手法が、高度な教師あり/半教師あり DL 手法と同様の有効性を達成しながら、限られたトレーニング データでより安定し、リソース効率が高いことを示しています。
これは、小さいながらも影響力のある適応を通じた伝統的な技術の適応性と強みを示しています。

要約(オリジナル)

The rapid growth of deep learning (DL) has spurred interest in enhancing log-based anomaly detection. This approach aims to extract meaning from log events (log message templates) and develop advanced DL models for anomaly detection. However, these DL methods face challenges like heavy reliance on training data, labels, and computational resources due to model complexity. In contrast, traditional machine learning and data mining techniques are less data-dependent and more efficient but less effective than DL. To make log-based anomaly detection more practical, the goal is to enhance traditional techniques to match DL’s effectiveness. Previous research in a different domain (linking questions on Stack Overflow) suggests that optimized traditional techniques can rival state-of-the-art DL methods. Drawing inspiration from this concept, we conducted an empirical study. We optimized the unsupervised PCA (Principal Component Analysis), a traditional technique, by incorporating lightweight semantic-based log representation. This addresses the issue of unseen log events in training data, enhancing log representation. Our study compared seven log-based anomaly detection methods, including four DL-based, two traditional, and the optimized PCA technique, using public and industrial datasets. Results indicate that the optimized unsupervised PCA technique achieves similar effectiveness to advanced supervised/semi-supervised DL methods while being more stable with limited training data and resource-efficient. This demonstrates the adaptability and strength of traditional techniques through small yet impactful adaptations.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google