Die Nadel im Heuhaufen sehen: Ein Ansatz zur schwach überwachten Log-Instanz-Anomalielokalisierung mittels kontrafaktischer Störung
Seeing the Needle in the Haystack: Towards Weakly-Supervised Log Instance Anomaly Localization via Counterfactual Perturbation
May 9, 2026
Autoren: Yutszyuk Wong, Wentai Wu, Yuen-Ying Yeung, Weiwei Lin
cs.AI
Zusammenfassung
Die Erkennung von Log-Anomalien ist eine entscheidende Aufgabe für den Systembetrieb und die Sicherheitsgewährleistung. In großskalierten vernetzten Systemen fallen jedoch riesige Mengen an Logdaten an, während Annotationen auf Instanzebene unerschwinglich teuer sind, was eine feinkörnige Anomalielokalisierung erheblich erschwert. Um diese Herausforderung zu bewältigen, schlagen wir LogMILP (Log-Anomalielokalisierung basierend auf Multi-Instance Learning, verbessert durch Prototypen und Perturbation) vor – ein schwach überwachtes Framework, das sowohl eine Anomalieerkennung auf Bündelebene als auch eine Anomalielokalisierung auf Instanzebene allein unter Verwendung von Bündellabeln ermöglicht. Unsere Methode führt das Modell mittels prototypengeführter struktureller Modellierung in Kombination mit einer Regularisierung der Konsistenz kontrafaktischer Perturbationen dazu, die entscheidenden Logeinträge zu identifizieren, und verbessert so die Zuverlässigkeit und Interpretierbarkeit der Lokalisierung unter grobkörniger Überwachung. Experimentelle Ergebnisse auf drei öffentlichen Datensätzen zeigen, dass LogMILP eine wettbewerbsfähige Erkennungsleistung erzielt und gleichzeitig eine deutlich zuverlässigere Lokalisierung auf Instanzebene liefert. Unser Code ist unter https://github.com/YUK1207/LogMILP als Open Source verfügbar.
English
Log anomaly detection is a critical task for system operations and security assurance. However, in networked systems at scale, log data are generated at massive scale while instance-level annotations are prohibitively expensive, posing great difficulties to fine-grained anomaly localization. To address this challenge, we propose LogMILP (Log anomaly localization based on Multi-Instance Learning enhanced by prototypes and Perturbation), a weakly supervised framework that enables both bag-level anomaly detection and instance-level anomaly localization using only bag-level labels. Our method guides the model to pinpoint the critical log entries using prototype-guided structural modeling with counterfactual perturbation consistency regularization, thereby improving localization reliability and interpretability under coarse-grained supervision. Experimental results on three public datasets demonstrate that LogMILP achieves competitive detection performance while yielding significantly more reliable instance-level localization. Our code is open-sourced at https://github.com/YUK1207/LogMILP.