AIBR プレミアム
拓海先生、最近部下が『メモリが足りないから異常検知をリアルタイムで回せない』と言っておりまして、何か良い手がありませんか。先日渡された論文の話も聞きましたが、専門用語が多くて要領を得ません。
素晴らしい着眼点ですね!大丈夫です、今の話はまさにその論文が狙っている領域でして、簡単に言うと『データを小さな数のカウント表に圧縮して、高速に異常を見つける』手法なんですよ。
4MBで動くと聞きましたが、本当にそんな少ないメモリで大丈夫なんですか。現場ではセンサーが次々来るので、遅延も気になります。
ポイントは三つです。第一に本手法は計算を距離計算から回避し、ハッシュによるカウント参照だけで判断します。第二に更新も高速でストリーミングに強いです。第三にメモリは固定で小さいため組込みやエッジに向くのです。
ハッシュという言葉は聞いたことがありますが、ここではどう使うのですか。距離を計算しないでどうやって『似ているか』を判断するのですか。
Locality Sensitive Hashing (LSH)(局所感度ハッシュ)を統計的に使うのです。具体的には、似たデータは同じハッシュ位置に衝突しやすい性質を利用して、衝突頻度をそのまま『似ている度合いの統計量』と見なします。イメージは『似たお客さんは同じ番地に届くポストに入る頻度』を数えるようなものです。
これって要するに、小さなカウント表で『普段と違う当たり前でない振る舞い』を見つけるということ?つまり生データを全部保管する代わりに、その頻度だけを取っておくと。
その通りです!素晴らしい着眼点ですね!加えて、この方法はランダムサンプリングより偏りが少なく、少ないメモリで高い識別力を保てることが理論と実験で示されています。つまり『小さな表=粗い情報』という固定観念を壊せるのです。
実運用では誤検知や見逃しも気になるのですが、精度面の裏付けはどの程度あるのでしょうか。既存の手法と比べてどんな場面が得意で、どんな場面が苦手ですか。
論文ではKDD-Cup99のような大規模ベンチマークで、11の代表的手法と比較して優位性が示されています。得意なのは大量データかつ低遅延が求められる場面で、苦手なのは異常のパターンが極めて複雑でハッシュ設計が合わない場合です。運用ではハッシュ設定や配列サイズの調整が鍵になります。
なるほど。では導入の順序としては、まず小さなログセットでパラメータをチューニングしてから、エッジやプロキシで本番運用に回す、と考えれば良いですか。投資対効果も気にしています。
その流れで正解です。要点を三つにまとめると、1) 小規模パイロットでハッシュと配列サイズを確かめる、2) 本番はエッジや組込みに置いて遅延を最小化する、3) 誤検知のコストを見積もって閾値運用を設計する。これでROIを計算できますよ。
分かりました。自分で整理しますと、少ないメモリでカウント表にデータを圧縮し、ハッシュの衝突頻度を使って異常を見つけ、まずは小さく試してから本格導入を判断する、という理解で合っていますか。
その理解で完璧ですよ。大丈夫、一緒にやれば必ずできますよ。次回は現場で使えそうなログを持ってきてください、実際のハッシュ配置を一緒に決めましょう。
