AIBR プレミアム
拓海さん、最近部下から『ログの異常検出にAIを入れよう』と言われて困っているんですよ。要点を教えていただけますか。
素晴らしい着眼点ですね!まず結論を三つでお伝えしますよ。FastLogADは『正常ログだけで速く高精度に異常を検出できる』という点で大きく変えます。二つ目は疑似異常を作って識別器を鍛える手法で現場導入が容易です。三つ目は推論が非常に速く、実運用のリアルタイム要件に適合できますよ。
要するに、現場で取れる普通のログだけで学習して、いきなり実運用で使えるということですか。それは良さそうですが、どうやって異常データを用意するのですか。
素晴らしい着眼点ですね!論文がやっていることは、正常ログの一部をわざと『穴(マスク)』にして、その穴を不自然に埋めることで『疑似異常(pseudo-anomaly)』を自動生成する点です。その疑似異常と正常を識別するモデルを鍛えることで、未知の異常にも強くなれるんです。
なるほど。で、現場への導入で心配なのは費用対効果です。学習や推論は高コストにならないのでしょうか。
大丈夫、一緒にやれば必ずできますよ。ポイントは三つです。学習段階では生成器と識別器を使いますが、運用(推論)時には識別器だけを動かすため計算資源が小さくなります。結果的に既存の生成型アプローチより少なくとも十倍速い性能が出ると論文で報告されていますよ。
でも現場のログはフォーマットがバラバラです。うちの設備ログでも使えるのか不安です。
素晴らしい着眼点ですね!FastLogADはターゲットドメインの正常ログのみを使う『ワン・クラス識別器(one-class discriminative model)』化を目指しているため、事前に異なるドメインの異常データを集める必要がありません。まずは既存のログを正規化する前処理だけ整えれば、すぐに試せますよ。
これって要するに、まず自分の正常ログだけでモデルを作って、そのモデルが『普通と違う挙動』を素早く見つけるということですか。
その通りですよ。短く言えば、『正常の振る舞いを深く学習して、そこから外れるものを識別する』手法です。要点は三つ。疑似異常生成(Mask-Guided Anomaly Generation: MGAG)で多様な異常候補を作ること、識別器(Discriminative Abnormality Separation: DAS)で埋め込みノルムの差を学ぶこと、最後にしきい値を学習時に決めることで検証データに触れず運用できることです。
わかりました。まずは正常ログでモデルを作って、識別器だけを運用に載せる。これなら投資も抑えられそうです。では、私の言葉でまとめると、正常時の『型』を学ばせて、型から外れたものを早く見つける仕組みということですね。
