Meta-Learning steigert Log-Anomalie-Erkennung über Domänen hinweg

Die zuverlässige Erkennung von Log-Anomalien ist entscheidend für die Stabilität moderner IT-Systeme, stellt jedoch ein erhebliches Problem dar, da die Daten stark unausgewogen sind und Modelle, die in einer Domäne trainiert wurden, häufig nicht auf andere Domänen übertragbar sind. Traditionelle Ansätze scheitern oft an Datenverschiebungen und dem Fehlen gelabelter Anomalien in neuen Zieldomänen.

Um diese Herausforderungen zu überwinden, wurde ein neues End‑to‑End‑Framework entwickelt, das auf Meta‑Learning basiert. Zunächst werden Log-Daten mit dem Drain3‑Parser vorbereitet und anschließend durch eine dynamische Drift‑basierte Kennzeichnungsmethode, die semantische und fuzzy‑Matching‑Techniken nutzt, Anomalie‑Kenntnisse von einer Quelle auf eine andere übertragen. BERT‑basierte semantische Einbettungen werden generiert und anschließend durch Feature‑Selection auf eine geringere Dimensionalität reduziert.

Im nächsten Schritt werden Model‑Agnostic Meta‑Learning (MAML) und Prototypische Netzwerke trainiert, um sich schnell und effektiv an neue Domänen anzupassen. Zur Bewältigung von Klassenungleichgewichten kommt die SMOTE‑Oversampling‑Methode zum Einsatz. Die Leistung des Ansatzes wurde mit der Leave‑One‑Out‑Source‑Methode evaluiert, wobei die durchschnittlichen F1‑Scores als Leistungsmaßstab dienten.

Die experimentellen Ergebnisse zeigen, dass das Meta‑Learning‑gestützte Verfahren die höchste durchschnittliche F1‑Score erzielt und damit die effektivste Lösung für die Übertragung von Log‑Anomalie-Erkennung zwischen unterschiedlichen Domänen darstellt.