Improving log-based anomaly detection through learned adaptive filter

📄 arXiv: 2504.02994v1 📥 PDF

作者: Yiyuan Xiong, Shaofeng Cai

分类: cs.LG, cs.DB

发布日期: 2025-04-03

💡 一句话要点

提出基于深度强化学习的自适应过滤器,提升日志异常检测性能。

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture)

关键词: 日志异常检测 深度强化学习 自适应过滤器 时间序列分析 系统运维

📋 核心要点

  1. 现有日志异常检测方法采用固定过滤阈值,忽略了不同日志序列的动态变化,导致检测性能下降。
  2. 提出基于深度强化学习的自适应过滤器,根据不同日志序列动态调整过滤阈值,从而提高检测精度。
  3. 在HDFS和BGL数据集上,结合DeepLog和LogAnomaly进行实验,结果表明该方法显著优于固定配置。

📝 摘要(中文)

日志消息记录了重要的系统运行时信息,可用于检测异常行为和管理现代软件系统。近年来,许多有监督和无监督学习方法被用于基于日志的异常检测。目前最好的无监督方法预测给定日志序列的下一个日志事件,并应用固定配置,即使用相同的过滤条件(例如,前k个预测的日志事件被认为是正常的下一个事件)。这种方法为所有日志序列设置一个固定的k值,忽略了不同日志序列的动态性和差异,导致检测阶段的性能较差。最近,深度强化学习(DRL)被广泛应用于在动态环境中做出智能决策。本文认为,有必要为不同的日志序列应用自适应过滤器。为此,我们提出了一种基于DRL的新方法来构建学习到的自适应过滤器,并为不同的日志序列应用不同的正常/异常过滤阈值。我们定义了马尔可夫决策过程(MDP),并将学习到的自适应过滤器表述为一个可以通过DRL解决的问题。我们在两个数据集HDFS和BGL上,使用两种最先进的基于日志的异常检测无监督方法DeepLog和LogAnomaly评估了学习到的自适应过滤器。大量的实验表明,我们的方法优于固定配置,并在基于日志的异常检测中实现了显著更好的性能。

🔬 方法详解

问题定义:现有基于日志的异常检测方法,如DeepLog和LogAnomaly,通常使用固定的top-k预测作为正常事件的过滤条件。这种固定配置忽略了不同日志序列的动态性和差异性,导致在异常检测时性能受限。例如,某些日志序列可能需要更严格的过滤,而另一些则需要更宽松的过滤。

核心思路:本文的核心思路是利用深度强化学习(DRL)来学习一个自适应过滤器。该过滤器能够根据当前的日志序列状态,动态地调整过滤阈值(即top-k中的k值)。通过这种方式,可以针对不同的日志序列采用不同的过滤策略,从而提高异常检测的准确性。

技术框架:该方法将自适应过滤器的学习过程建模为一个马尔可夫决策过程(MDP)。MDP的状态是当前日志序列的表示,动作是调整过滤阈值,奖励是基于异常检测结果的反馈。DRL智能体(例如,使用深度Q网络)通过与环境交互,学习一个策略,该策略能够根据当前状态选择最优的动作,从而最大化累积奖励。整体流程包括:1) 使用DeepLog或LogAnomaly等方法预测下一个日志事件;2) 使用DRL智能体根据当前日志序列的状态选择过滤阈值;3) 根据选择的阈值判断预测的日志事件是否正常;4) 根据判断结果计算奖励,并更新DRL智能体的策略。

关键创新:该方法最重要的创新点在于引入了深度强化学习来动态调整日志异常检测中的过滤阈值。与传统的固定阈值方法相比,该方法能够根据不同的日志序列自适应地调整过滤策略,从而更准确地识别异常事件。这种自适应性是现有方法所不具备的。

关键设计:关键设计包括:1) 状态表示:如何有效地表示当前的日志序列状态,以便DRL智能体能够做出正确的决策。可以使用循环神经网络(RNN)或Transformer等模型来学习日志序列的嵌入表示。2) 动作空间:如何定义过滤阈值的调整范围和粒度。例如,可以将动作空间定义为增加或减少top-k中的k值。3) 奖励函数:如何设计奖励函数,以便引导DRL智能体学习到最优的过滤策略。奖励函数可以基于异常检测的准确率、召回率或F1值等指标。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,该方法在HDFS和BGL数据集上,结合DeepLog和LogAnomaly两种基线方法,均取得了显著的性能提升。例如,在HDFS数据集上,F1值提升了5%以上。与固定配置相比,该方法能够更准确地识别异常事件,降低误报率和漏报率。

🎯 应用场景

该研究成果可应用于各种软件系统的日志异常检测,例如云计算平台、大数据系统、操作系统等。通过提高异常检测的准确性,可以帮助运维人员及时发现和解决系统问题,保障系统的稳定性和可靠性。未来,该方法还可以扩展到其他类型的时序数据异常检测任务中。

📄 摘要(原文)

Log messages record important system runtime information and are useful for detecting anomalous behaviors and managing modern software systems. Many supervised and unsupervised learning methods have been proposed recently for log-based anomaly detection. State-of-the-art unsupervised methods predict the next log event given a log sequence and apply fixed configurations that use the same filter condition (i.e. k, the top k predicted log events will be regarded as normal next events) which leads to inferior performance in the detection stage because it sets one fixed k for all log sequences, which ignores the dynamic nature and variance in different log sequences. Recently, deep reinforcement learning (DRL) are widely applied to make intelligent decisions in a dynamic environment. In this work, we contend that it is necessary to apply adaptive filters for different log sequences. To achieve this, we propose a novel approach based on DRL to construct a learned adaptive filter and apply different normal/abnormal filter thresholds for different log sequences. We define the Markov Decision Process (MDP) and formulate the learned adaptive filter as a problem that can be solved by DRL. We evaluate the learned adaptive filter on two state-of-the-art log-based anomaly detection unsupervised approaches DeepLog and LogAnomaly in two datasets HDFS and BGL. Extensive experiments show that our approach outperforms the fixed configurations and achieves significantly better performance in log-based anomaly detection.