Voir l'aiguille dans la botte de foin : Vers une localisation faiblement supervisée d'anomalies d'instances de logs par perturbation contrefactuelle
Seeing the Needle in the Haystack: Towards Weakly-Supervised Log Instance Anomaly Localization via Counterfactual Perturbation
May 9, 2026
Auteurs: Yutszyuk Wong, Wentai Wu, Yuen-Ying Yeung, Weiwei Lin
cs.AI
Résumé
La détection d'anomalies dans les journaux (logs) est une tâche cruciale pour l'exploitation des systèmes et la garantie de la sécurité. Cependant, dans les systèmes en réseau à grande échelle, les données de logs sont générées en masse tandis que les annotations au niveau des instances sont d'un coût prohibitif, ce qui pose de grandes difficultés pour une localisation fine des anomalies. Pour relever ce défi, nous proposons LogMILP (localisation d'anomalies dans les logs basée sur l'Apprentissage Multi-Instances enrichi par des prototypes et la perturbation), un cadre faiblement supervisé qui permet à la fois la détection d'anomalies au niveau des sacs et la localisation d'anomalies au niveau des instances en utilisant uniquement des étiquettes de niveau sac. Notre méthode guide le modèle pour identifier les entrées de logs critiques grâce à une modélisation structurelle guidée par prototypes couplée à une régularisation de cohérence par perturbation contrefactuelle, améliorant ainsi la fiabilité de la localisation et l'interprétabilité sous une supervision à granularité grossière. Les résultats expérimentaux sur trois ensembles de données publics montrent que LogMILP atteint des performances de détection compétitives tout en fournissant une localisation au niveau des instances nettement plus fiable. Notre code est disponible en open source à l'adresse https://github.com/YUK1207/LogMILP.
English
Log anomaly detection is a critical task for system operations and security assurance. However, in networked systems at scale, log data are generated at massive scale while instance-level annotations are prohibitively expensive, posing great difficulties to fine-grained anomaly localization. To address this challenge, we propose LogMILP (Log anomaly localization based on Multi-Instance Learning enhanced by prototypes and Perturbation), a weakly supervised framework that enables both bag-level anomaly detection and instance-level anomaly localization using only bag-level labels. Our method guides the model to pinpoint the critical log entries using prototype-guided structural modeling with counterfactual perturbation consistency regularization, thereby improving localization reliability and interpretability under coarse-grained supervision. Experimental results on three public datasets demonstrate that LogMILP achieves competitive detection performance while yielding significantly more reliable instance-level localization. Our code is open-sourced at https://github.com/YUK1207/LogMILP.