Published April 12, 2024
| Version v1
Publication
Open
MetaLog: Generalizable Cross-System Anomaly Detection from Logs with Meta-Learning
- 1. Tsinghua University
- 2. Beijing Academy of Artificial Intelligence
- 3. Peking University
- 4. LinkedTech Solutions (China)
Description
Log-based anomaly detection plays a crucial role in ensuring the stability of software. However, current approaches for log-based anomaly detection heavily depend on a vast amount of labeled historical data, which is often unavailable in many real-world systems. To mitigate this problem, we leverage the features of the abundant historical labeled logs of mature systems to help construct anomaly detection models of new systems with very few labels, that is, to generalize the model ability trained from labeled logs of mature systems to achieve anomaly detection on new systems with insufficient data labels. Specifically, we propose MetaLog, a generalizable cross-system anomaly detection approach. MetaLog first incorporates a globally consistent semantic embedding module to obtain log event semantic embedding vectors in a shared global space. Then it leverages the meta-learning paradigm to improve the model's generalization ability. We evaluate MetaLog's performance on four public log datasets (HDFS, BGL, OpenStack, and Thunderbird) from four different systems. Results show that MetaLog reaches over 80% F1-score when using only 1% labeled logs of the target system, showing similar performance with state-of-the-art supervised anomaly detection models trained with 100% labeled data. Besides, it outperforms state-of-art transfer-learning-based cross-system anomaly detection models by 20% in the same settings of 1% labeled training logs of the target system.
Translated Descriptions
⚠️
This is an automatic machine translation with an accuracy of 90-95%
Translated Description (Arabic)
يلعب الكشف عن الشذوذ القائم على السجل دورًا حاسمًا في ضمان استقرار البرمجيات. ومع ذلك، تعتمد الأساليب الحالية للكشف عن الشذوذ القائم على السجل بشكل كبير على كمية هائلة من البيانات التاريخية المسماة، والتي غالبًا ما تكون غير متوفرة في العديد من أنظمة العالم الحقيقي. للتخفيف من هذه المشكلة، نستفيد من ميزات السجلات التاريخية الوفيرة للأنظمة الناضجة للمساعدة في بناء نماذج اكتشاف الشذوذ للأنظمة الجديدة ذات التسميات القليلة جدًا، أي لتعميم قدرة النموذج المدربة من السجلات المصنفة للأنظمة الناضجة لتحقيق اكتشاف الشذوذ على الأنظمة الجديدة ذات تسميات البيانات غير الكافية. على وجه التحديد، نقترح MetaLog، وهو نهج قابل للتعميم لاكتشاف الشذوذ عبر النظام. تتضمن MetaLog أولاً وحدة تضمين دلالي متسقة عالميًا للحصول على متجهات تضمين دلالي لحدث السجل في مساحة عالمية مشتركة. ثم يستفيد من نموذج التعلم الفوقي لتحسين قدرة النموذج على التعميم. نقوم بتقييم أداء MetaLog على أربع مجموعات بيانات للسجل العام (HDFS و BGL و OpenStack و Thunderbird) من أربعة أنظمة مختلفة. تظهر النتائج أن MetaLog تصل إلى أكثر من 80 ٪ من نقاط F1 عند استخدام 1 ٪ فقط من السجلات المصنفة للنظام المستهدف، مما يدل على أداء مماثل مع أحدث نماذج الكشف عن الشذوذ الخاضعة للإشراف المدربة على بيانات مصنفة بنسبة 100 ٪. إلى جانب ذلك، يتفوق على أحدث نماذج الكشف عن الشذوذ عبر النظام القائمة على التعلم القائم على النقل بنسبة 20 ٪ في نفس الإعدادات من سجلات التدريب المسمى بنسبة 1 ٪ للنظام المستهدف.Translated Description (French)
La détection des anomalies basée sur les journaux joue un rôle crucial pour assurer la stabilité des logiciels. Cependant, les approches actuelles de détection des anomalies basées sur les journaux dépendent fortement d'une grande quantité de données historiques étiquetées, qui sont souvent indisponibles dans de nombreux systèmes du monde réel. Pour atténuer ce problème, nous tirons parti des caractéristiques des nombreux journaux historiques étiquetés des systèmes matures pour aider à construire des modèles de détection d'anomalies de nouveaux systèmes avec très peu d'étiquettes, c'est-à-dire pour généraliser la capacité du modèle formé à partir des journaux étiquetés des systèmes matures pour réaliser la détection d'anomalies sur les nouveaux systèmes avec des étiquettes de données insuffisantes. Plus précisément, nous proposons MetaLog, une approche généralisable de détection d'anomalies inter-systèmes. MetaLog intègre d'abord un module d'intégration sémantique cohérent à l'échelle mondiale pour obtenir des vecteurs d'intégration sémantique d'événements de journal dans un espace global partagé. Ensuite, il exploite le paradigme du méta-apprentissage pour améliorer la capacité de généralisation du modèle. Nous évaluons les performances de MetaLog sur quatre ensembles de données de journal public (HDFS, BGL, OpenStack et Thunderbird) provenant de quatre systèmes différents. Les résultats montrent que MetaLog atteint un score F1 de plus de 80 % lorsqu'il n'utilise que 1 % de journaux étiquetés du système cible, montrant des performances similaires avec des modèles de détection d'anomalies supervisés de pointe formés avec des données étiquetées à 100 %. En outre, il surpasse de 20 % les modèles de détection d'anomalies inter-systèmes basés sur l'apprentissage par transfert de pointe dans les mêmes paramètres de 1 % des journaux de formation étiquetés du système cible.Translated Description (Spanish)
La detección de anomalías basada en registros desempeña un papel crucial para garantizar la estabilidad del software. Sin embargo, los enfoques actuales para la detección de anomalías basadas en registros dependen en gran medida de una gran cantidad de datos históricos etiquetados, que a menudo no están disponibles en muchos sistemas del mundo real. Para mitigar este problema, aprovechamos las características de los abundantes registros históricos etiquetados de sistemas maduros para ayudar a construir modelos de detección de anomalías de nuevos sistemas con muy pocas etiquetas, es decir, para generalizar la capacidad del modelo entrenado a partir de registros etiquetados de sistemas maduros para lograr la detección de anomalías en nuevos sistemas con etiquetas de datos insuficientes. Específicamente, proponemos MetaLog, un enfoque generalizable de detección de anomalías entre sistemas. MetaLog primero incorpora un módulo de incrustación semántica globalmente consistente para obtener vectores de incrustación semántica de eventos de registro en un espacio global compartido. Luego aprovecha el paradigma del metaaprendizaje para mejorar la capacidad de generalización del modelo. Evaluamos el rendimiento de MetaLog en cuatro conjuntos de datos de registros públicos (HDFS, BGL, OpenStack y Thunderbird) de cuatro sistemas diferentes. Los resultados muestran que MetaLog alcanza más del 80% de la puntuación F1 cuando utiliza solo el 1% de registros etiquetados del sistema objetivo, mostrando un rendimiento similar con modelos de detección de anomalías supervisados de última generación entrenados con datos 100% etiquetados. Además, supera los modelos de detección de anomalías entre sistemas basados en el aprendizaje por transferencia de última generación en un 20% en la misma configuración del 1% de registros de capacitación etiquetados del sistema objetivo.Files
3597503.3639205.pdf
Files
(623.6 kB)
| Name | Size | Download all |
|---|---|---|
|
md5:f189d5fc9cfeb8236e7add62459a6ae5
|
623.6 kB | Preview Download |
Additional details
Additional titles
- Translated title (Arabic)
- MetaLog: الكشف عن الشذوذ عبر النظام القابل للتعميم من السجلات مع Meta - Learning
- Translated title (French)
- MetaLog : Détection généralisable d'anomalies intersystèmes à partir de journaux avec méta-apprentissage
- Translated title (Spanish)
- MetaLog: Detección generalizable de anomalías entre sistemas a partir de registros con Meta-Learning
Identifiers
- Other
- https://openalex.org/W4394745427
- DOI
- 10.1145/3597503.3639205
References
- https://openalex.org/W2039157918
- https://openalex.org/W2115403315
- https://openalex.org/W2147296306
- https://openalex.org/W2172012155
- https://openalex.org/W2250539671
- https://openalex.org/W2287252915
- https://openalex.org/W2508465325
- https://openalex.org/W2754665629
- https://openalex.org/W2755791218
- https://openalex.org/W2756452435
- https://openalex.org/W2767094836
- https://openalex.org/W2947815220
- https://openalex.org/W2962799101
- https://openalex.org/W2963043696
- https://openalex.org/W2963943197
- https://openalex.org/W2965838158
- https://openalex.org/W2979166895
- https://openalex.org/W2984323660
- https://openalex.org/W2990520147
- https://openalex.org/W2993285063
- https://openalex.org/W3034373371
- https://openalex.org/W3035054804
- https://openalex.org/W3089589468
- https://openalex.org/W3095270930
- https://openalex.org/W3097861059
- https://openalex.org/W3112169080
- https://openalex.org/W3174337559
- https://openalex.org/W3205249428
- https://openalex.org/W3217147624
- https://openalex.org/W4205965165
- https://openalex.org/W4211008139
- https://openalex.org/W4245744969
- https://openalex.org/W4255845613
- https://openalex.org/W4287815740
- https://openalex.org/W4290877962