De naald in de hooiberg zien: Naar zwakgesuperviseerde log-instantie-anomalielokalisatie via tegenfeitelijke perturbatie
Seeing the Needle in the Haystack: Towards Weakly-Supervised Log Instance Anomaly Localization via Counterfactual Perturbation
May 9, 2026
Auteurs: Yutszyuk Wong, Wentai Wu, Yuen-Ying Yeung, Weiwei Lin
cs.AI
Samenvatting
Log-anomaliedetectie is een kritieke taak voor systeembewerking en beveiligingsborging. In grootschalige genetwerkte systemen worden loggegevens echter op enorme schaal gegenereerd, terwijl annotaties op instantieniveau prohibitief duur zijn, wat grote problemen oplevert voor fijnmazige anomalielokalisatie. Om deze uitdaging aan te pakken, stellen wij LogMILP (Log anomaly localization based on Multi-Instance Learning enhanced by prototypes and Perturbation) voor, een zwak begeleid raamwerk dat zowel anomaliedetectie op zakniveau als anomalielokalisatie op instantieniveau mogelijk maakt met alleen labels op zakniveau. Onze methode leidt het model naar het aanwijzen van de kritieke logitems met behulp van prototype-gestuurde structuurmodellering in combinatie met regularisatie van counterfactuele perturbatieconsistentie, waardoor de betrouwbaarheid van lokalisatie en interpreteerbaarheid onder grofkorrelige supervisie wordt verbeterd. Experimentele resultaten op drie openbare datasets tonen aan dat LogMILP concurrerende detectieprestaties levert en tegelijkertijd aanzienlijk betrouwbaardere lokalisatie op instantieniveau oplevert. Onze code is open source beschikbaar op https://github.com/YUK1207/LogMILP.
English
Log anomaly detection is a critical task for system operations and security assurance. However, in networked systems at scale, log data are generated at massive scale while instance-level annotations are prohibitively expensive, posing great difficulties to fine-grained anomaly localization. To address this challenge, we propose LogMILP (Log anomaly localization based on Multi-Instance Learning enhanced by prototypes and Perturbation), a weakly supervised framework that enables both bag-level anomaly detection and instance-level anomaly localization using only bag-level labels. Our method guides the model to pinpoint the critical log entries using prototype-guided structural modeling with counterfactual perturbation consistency regularization, thereby improving localization reliability and interpretability under coarse-grained supervision. Experimental results on three public datasets demonstrate that LogMILP achieves competitive detection performance while yielding significantly more reliable instance-level localization. Our code is open-sourced at https://github.com/YUK1207/LogMILP.