KRONE: 様々なレベルとモジュール的なログ異常検出

ログの異常検出は、システム上の問題やセキュリティリスクを確認するのに不可欠です。ただし、ログは_nested_コンポーネントの実行から来ており、明確な境界がありますが、それらがフラットな序列として保存される場合、その構造は失われます。した結果、最新の手法は真正の依存関係を検出しないまま無的妄動した依存性を学習することになり、また別の不適切なイベント間です。我々はKRONE、最初の階層的な異常検出フレームワークを提案し、フラットなログから自動的に階層構造を抽出することでモジュールで多レベル的な異常評価に対応します。その心臓部であるKRONE ログ分類モデルは、ログラーデータからアプリケーション固有の言語を引き出し、その階層についてはログ文書でそれを示します。これはそれぞれ複数レベルの同調した実行部分へのリクオータリー分解を引き受けることになり、それがKRONE Seqと呼ばれていますがレベル別での異常評価課題としてのセットになったモジュール化されたKRONE Seqレベルでの検討を行ったことを示しますKRONEは、動的ルーティングを用いて最上級独立的なLocal-Context検出機による効率的なレベルフリーのノートインフレクスキントラッカーとネスト対応可能な検出機を取り巻き、LLMに基づいた異常評価と説明に組み込まれたことからこのレベル別での異常評估機へと繰り返しますまた、結果はクローネージャベリッシュで一意化されたことで知られる早期出口戦略が進行されることでそれを最適化します。3つの公開ベンチマークとByteDance Cloudからの1つだけデータセットについての実験はKRONEがその正確さの向上を確認できることを示し、F1得点をよりに10パーセント以上の改善を行い、LLM使用量をテストデータのほんの一部から減少させるのでします。

arXiv:2602.07303v1 Announce Type: cross Abstract: Log anomaly detection is crucial for uncovering system failures and security risks. Although logs originate from nested component executions with clear boundaries, this structure is lost when they are stored as flat sequences. As a result, state-of-the-art methods risk missing true dependencies within executions while learning spurious ones across unrelated events. We propose KRONE, the first hierarchical anomaly detection framework that automatically derives execution hierarchies from flat logs for modular multi-level anomaly detection. At its core, the KRONE Log Abstraction Model captures application-specific semantic hierarchies from log data. This hierarchy is then leveraged to recursively decompose log sequences into multiple levels of coherent execution chunks, referred to as KRONE Seqs, transforming sequence-level anomaly detection into a set of modular KRONE Seq-level detection tasks. For each test KRONE Seq, KRONE employs a hybrid modular detection mechanism that dynamically routes between an efficient level-independent Local-Context detector, which rapidly filters normal sequences, and a Nested-Aware detector that incorporates cross-level semantic dependencies and supports LLM-based anomaly detection and explanation. KRONE further optimizes hierarchical detection through cached result reuse and early-exit strategies. Experiments on three public benchmarks and one industrial dataset from ByteDance Cloud demonstrate that KRONE achieves consistent improvements in detection accuracy, F1-score, data efficiency, resource efficiency, and interpretability. KRONE improves the F1-score by more than 10 percentage points over prior methods while reducing LLM usage to only a small fraction of the test data.