哋它亢:Real World Implementation of LLM-based Log Anomaly Detection

原创 已于 2024-11-18 13:39:17 修改 · 885 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全威胁分析 #nginx #自动化

于 2024-11-18 13:38:55 首次发布

哋它亢:Real World Implementation of LLM-based Log Anomaly Detection

Exploring the feasibility of training-free approaches

小编哋它亢最近读了一篇关于日志分析的论文,今天与大家分享

Abstract

哋它亢看来,在这篇文章中,作者利用RAPID method [6],or “Training-free Retrieval-based Log Anomaly Detection with PLM (Pre-Trained Language Models) considering Token-level information”

Main research

  • Adapting the RAPID method to a log dataset provided by Ericsson.
  • Implementing a baseline method.
  • Exploring the value of model fine-tuning.
  • Developing and comparing multiple approaches.

Background

Challenges in Log Anomaly Detection

哋它亢总结:在日志分析中,存在着种种挑战,作者总结如下:

  • **Data Representation: **Logs often contain a mixture of diverse event types, unstructured messages, and parameters. This
    complexity makes pre-processing logs quite complicated. Traditional methods rely heavily on manual feature extraction, which is not scalable
  • **Class Imbalance: **Anomalous events in log data occur far less frequently than normal ones.This imbalance can lead neural networks to prioritize learning the more frequent class, remaining unable to detect the rarer anomalies
  • **Label Availability: **In real-world applications, it is extremely rare to find labeled datasets, especially large enough to successfully train a supervised machine learning model. For this reason, many approaches fall into the semisupervised
    or unsupervised categories, which rely on the assumption that anomalies are rare and different from normal data.
  • ~~**Stream processing: **~~Logs are normally produced in a continuous stream, requiring anomaly detection models to have quick inference times and necessitating single-pass data processing. Models need to balance accuracy with computational efficiency to be practical in real-time environments.
  • **Evolution of Logging Statements: **Since developers are constantly modifying the codebase, logging statements can change frequently, forcing anomaly detection techniques to be adaptable. This requires models that can generalize well from past data and quickly adapt to new patterns

相关技术

  • Log Anomaly Detection

  • Machine Learning

    • 基本处理方式:Feature extracting -> Learning Algorithms
    • 架构:Transformer-based Architectures
    • 类型:Transfer Learning

  • Knowledge Distillation

  • Evaluation Metrics:用于效果评估

Method

RAPID framework

  1. Database construction
  2. RAPID processing
  3. CoreSet creation
  4. Similarity Measures
  5. Threshold Function
  6. Final Prediction

Adaptation to the Ericsson Dataset

  1. Pre-processing
  2. MLM Fine-tuning
  3. Other Fine-tuning Approaches

Experiment and Result

Baseline

  • classic Naive Bayes classification model:利用朴素贝叶斯方法处理数据区分异常与正常
  • BoW(词袋):将日志转换为稀疏矩阵的形式储存

Experiment Setup

  • **数据集:**the publicly available BGL dataset, and proprietary log data from Ericsson
  • 实验平台:
    • Nvidia A2
    • BERT, DistilBERT模型
    • CUDA 12.2
    • 15GB 内存
    • 参数:<略>
  • 实验方法:
    • PLM (Pre-Trained Language Models)
    • MLM(Masked Language Modeling)
    • Baseline

实验结果

  • BERT vs DistilBERT

BERT VS DistilBERT

  • Different apporachs

    Different apporachs

  • Human vs ML

Human vs ML

Related work

介绍了基于 LSTM 的方法(如 DeepLOG 和 LogRobust)以及基于 Transformer 和 BERT 的方法(如 LogSy、LogBERT 和 LAnoBERT)

更多内容欢迎访问我的博客:哋它亢:人工智能与物联网融合的新兴技术

LLM-based Multi-Agent System
AI天才研究院
06-20 1883
随着人工智能技术的不断发展,基于大语言模型(LLM, Large Language Model)的多智能体系统(Multi-Agent System, MAS)成为研究的热点。多智能体系统通过多个智能体的协同工作,可以解决单一智能体难以应对的复杂问题。然而,传统的多智能体系统在处理自然语言理解、生成和交互方面存在一定的局限性。大语言模型的引入为多智能体系统带来了新的可能性,使其在自然语言处理(NLP)任务中的表现得到了显著提升。
The Journey of a Large Language Model Algorithm Engineer: From Principles to Best Practices
高效匠人
05-22 1247
本文讲述了大型语言模型(LLM)算法工程师Alex的成长历程,从初识LLM到成为多上下文处理(MCP)专家的过程。Alex在2020年首次接触LLM,通过Transformer架构和自注意力机制的学习,逐渐深入理解LLM的核心原理。他通过在线课程和开源框架(如Hugging Face)进行实践,掌握了预训练模型的微调技巧。2021年,Alex加入一家初创公司,专注于LLM架构的深入研究,特别是MCP技术,用于处理企业协作中的多模态任务。他学习了上下文聚合、跨模态注意力机制和长上下文处理等关键技术,并通过代码
学习之路指南:GitHub 教程与指南精选手册一
milan-xiao-tiejiang的博客
11-17 3254
tutorials
论文阅读:Next-Generation Database Interfaces:A Survey of LLM-based Text-to-SQL
m0_53605808的博客
05-21 1682
由于用户问题理解、数据库模式解析和 SQL 生成的复杂性,从用户自然语言问题生成准确 SQL(Text-to-SQL)仍是一项长期挑战。传统的 Text-to-SQL 系统结合人工设计和深度神经网络已取得显著进展,随后预训练语言模型(PLM)在该任务上也实现了有前景的结果。然而,随着现代数据库和用户问题日益复杂,参数规模有限的 PLM 常生成错误 SQL,这需要更精细的定制化优化方法,从而限制了基于 PLM 系统的应用。
论文阅读-DELL: Generating Reactions and Explanations for LLM-Based Misinformation Detection
qq_40671063的博客
06-13 1886
大型语言模型受到事实性和幻觉方面的挑战的限制,无法直接使用现成的方法来判断新闻文章的真实性,而事实准确性是至关重要的。在这项工作中,作者提出DELL,它确定了错误信息检测的三个关键阶段,其中LLM可以作为管道的一部分纳入其中:1)LLM可以生成新闻反应来代表不同的观点并模拟用户新闻交互网络;2)LLM可以为代理任务(例如情绪、立场)生成解释,以丰富新闻文章的上下文,并培养专门从事新闻理解各个方面的专家;3)LLM可以合并特定任务的专家,并通过合并不同专家的预测和置信度得分来提供总体预测。
LLM+错误信息检测】DELL: Generating Reactions and Explanations for LLM-Based Misinformation Detection
Arachis_X的博客
03-12 955
大型语言模型受限于事实性和幻觉方面的挑战,无法直接用于判断新闻文章的真实性,而事实准确性是最重要的。在这项工作中,我们提出了DELLLLM 可以生成新闻反应,以代表不同的观点,并模拟用户与新闻的交互网络;LLM 可以生成代理任务(如情感、立场)的解释,以丰富新闻文章的上下文,并产生专门从事新闻理解各个方面的专家;LLM 可以合并特定任务的专家,并通过合并不同专家的预测和置信度分数来提供整体预测。
LLM-based Agent评估综述!
zenRRan的博客
03-22 1516
但如今的AI智能体(LLM-based agents)已经进阶为“行动派”——它们能规划任务、调用工具(比如订机票)、记住对话历史,甚至自我纠错。比如解决数学题时,先列公式再计算。:参数不明确时(如“找人均200元的餐厅”),AI能否推理出隐含条件?:AI在单任务表现尚可,但跨任务切换(如边写代码边查文献)容易翻车。:当前agent擅长短期规划,但长期战略(如策划一周旅行)仍吃力。:AI在简单任务上表现尚可,但复杂项目(如连续工作一周)漏洞百出。:顶尖AI的通过率仅2%,复杂任务(如跨文件修改)仍是难关。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8833
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
weblogic漏洞——CVE-2020-14882
weixin_57379923的博客
08-13 1923
版 权 声 明:本博客所有文章除特别声明外,均采用。文章版权归作者所有,未经允许请勿转载!靶机:IP:192.168.100.40。在 web 服务器中写入 xml 脚本。作 者:PeiyuJue。
定时任务管理:cron / systemd-timer 自动化任务调度
星哥玩云
11-30 720
摘要:本文对比了Linux系统中两种主流定时任务工具cron和systemd timer。cron语法简单,适合基础任务调度,但日志分散且功能有限;systemd timer整合systemd服务管理,支持失败重试、日志集中查看和任务依赖,更适合生产环境。文章详细介绍了两种工具的配置方法、使用场景和优缺点,建议简单任务使用cron,复杂任务选择systemd timer。最后提供了任务稳定性优化建议,帮助用户构建更可靠的自动化调度系统。
突破协议壁垒:耐达讯自动化Ethernet/IP转CC-Link网关在工业互联中的核心应用
bjnykj的博客
12-03 378
面对日益普及的Ethernet/IP工业以太网与仍广泛部署的CC-Link现场总线之间的通信障碍,耐达讯自动化Ethernet/IP转CC-Link协议转换网关,提供了一套专业、可靠的解决方案。总结:耐达讯自动化Ethernet/IP转CC-Link网关,凭借其专业的协议解析能力、工业级的稳定性能和便捷的配置工具,成为连接新旧工业生态的桥梁。物流仓储系统:连接高位立体库的调度系统(Ethernet/IP)与穿梭车、堆垛机上的本地操作终端(CC-Link触摸屏),确保物流指令的高效执行。
【探索实战】跨云应用分发自动化实战:基于Kurator的统一交付体系深度解析
qq_39757921的博客
11-29 1010
本文深度解析如何利用Kurator构建企业级跨云应用自动化分发体系。文章从分布式应用分发的核心挑战入手,详解Kurator基于Fleet抽象GitOps机制和智能调度的三位一体架构设计。通过完整的实战演示,展示从多云集群纳管、应用定义、策略配置到自动化分发的全流程,并针对网络异构、配置漂移等生产级问题提供解决方案。实测数据表明,该方案可实现5分钟完成多集群环境初始化,应用分发效率提升85%资源利用率提升40%,为企业在多云环境下实现标准化、自动化、可视化的应用交付提供完整参考。定义跨云应用。
Selenium---自动化鼠标控制
最新发布
2301_80773246的博客
12-03 83
Selenium---自动化鼠标控制
扫描电镜选购指南:智能、稳定与自动化的综合考量
扫描电镜
12-03 275
新一代扫描电镜正迈向智能化与自动化,实现从"看清"到"自动判断"的升级。飞纳PhenomXLG3智能扫描电镜具备3000小时长寿命灯丝、AI自动统计、Python脚本控制等创新功能,支持无人值守检测。其专利减震系统适应车间等复杂环境,集成能谱实现形貌与成分同步分析。该设备融合Philips、FEI等技术积淀,兼具科研级性能和工业稳定性,特别适合材料分析、失效检测等场景,可显著提升检测效率5-10倍,是连接实验室与生产线的智能检测解决方案。
n8n实战营Day3:电商订单全流程自动化·需求分析与流程拆解
陈奕昆的博客
11-29 1274
本文详细拆解了电商订单处理全流程自动化方案,针对手动操作存在的三大核心痛点:多平台订单整合效率低、库存同步滞后风险高、物流信息推送不及时。通过n8n工作流设计,将流程划分为6大环节(订单抓取、数据清洗、订单去重、库存处理、物流对接、信息推送),并给出节点选型建议和关键配置要点。重点强调数据标准化的重要性,包括字段映射规范和传递规则,为后续实操提供清晰的"施工蓝图"。下节将进入实操阶段,重点讲解多平台订单抓取和ERP对接的具体实现。
基于Chrome140的Reddit账号自动化——脚本撰写(二)
守城小轩的技术窝棚
12-03 549
本文介绍了基于RPA框架的Reddit自动化浏览系统开发方案。系统采用状态机模式管理页面状态,通过权重化随机动作系统模拟真实用户行为,包括智能滚动、停留和内容交互等功能。核心架构包含页面控制器、动作执行器和状态识别模块,支持灵活的权重配置和异常处理。该系统具有模块化设计、行为自然、易于扩展等特点,为Reddit自动化浏览提供了完整的解决方案。下一阶段将重点介绍系统部署和性能优化。
专为 CTF 设计的自动化 AWD 工具:包含流量监控、Webshell 管理和 Flag 自动提交
LiBai'S BLOG
11-29 345
AWD 攻防竞赛自动化工具箱AWD-H1m 是一款专为 CTF AWD (Attack With Defense) 赛制设计的桌面应用程序,帮助参赛选手在有限的比赛时间内高效完成攻击、防御、流量分析与 Flag 提交等核心任务。
API + RPA混合架构:如何构建高并发、可扩展的企业微信自动化平台
2501_94198205的博客
12-03 326
虽然RPA提供了突破官方限制的能力,但其本质是单线程、高资源消耗(需要运行客户端)的操作,难以直接应对大规模的并发请求。结合传统API的高并发、轻量化优势与RPA的功能深度,构建一个稳定且可横向扩展的自动化服务。混合架构能平滑吸收高并发请求,将流量高峰转化为队列长度,确保核心RPA执行器稳定运行。将业务逻辑、调度逻辑和操作实现分离,使得RPA脚本的维护(最不稳定部分)不会影响到整个平台的服务质量。在“架构设计与扩展性”方面,您更希望了解任务队列与RPA执行池之间具体是如何协同工作的逻辑,还是想深入探讨。
协议转换新标杆!耐达讯自动化Ethernet IP转CC-Link方案,让编码器‘说话‘更高效“
bjnykj的博客
12-03 228
耐达讯自动化Ethernet/IP转CC-Link协议转换器化身“超级翻译官”,以硬核技术打通协议壁垒,让生产线的“对话”畅通无阻,开启智造新篇章!它以协议的“兼容力”、数据的“穿透力”、部署的“灵活性”,为工业通信构建“无界之桥”——让不同设备“说同一种语言”,让智能制造的协同更丝滑,让生产潜能充分释放!通过CC-Link连接转换器后,电机转速、位置坐标等毫厘级数据可实时反馈至Ethernet/IP系统,为生产调度、质量监控提供“透明化”决策依据,让设备状态“一目了然”。总结:破界融合,智启未来。
Guardian: A Runtime Framework for LLM-Based UI Exploration
03-30
### 关于 Guardian 运行时框架的文档与实现细节 Guardian 是一种运行时框架,旨在支持基于大语言模型 (LLM) 的用户界面探索。其核心目标是利用 LLM 技术来增强用户体验并简化复杂系统的交互过程[^1]。 #### 主要特性 该框架的主要特点包括以下几个方面: - **动态上下文感知**:Guardian 能够实时分析用户的输入以及当前的应用状态,并据此调整响应行为。 - **自适应学习能力**:通过持续收集用户反馈数据,Guardian 不断优化自身的预测能力和推荐策略。 - **模块化设计架构**:整个系统被划分为多个独立组件,便于开发者针对具体需求定制扩展功能。 以下是构建这样一个框架可能涉及的关键技术要点: #### 数据流处理机制 为了有效管理和传递信息,在内部实现了高效的数据管道解决方案。此部分负责接收来自前端的各种事件触发信号,并将其转化为适合传送给后端 AI 模型的形式。 ```python def process_event(event_data): """ 处理接收到的UI事件数据 参数: event_data(dict): 包含事件详情的信息字典 返回值: processed_result(str): 经过初步解析后的字符串表示形式的结果 """ try: # 对原始数据做必要的清理工作 cleaned_info = clean_input(event_data) # 将清洗过的资料转换成可供后续使用的标准格式 formatted_message = format_for_model(cleaned_info) return formatted_message except Exception as e: log_error(e) ``` #### 权限管理集成 如果计划在一个完整的 Web 应用环境中部署,则还需要考虑安全性因素。此时可以借助 `django-rest-framework-guardian` 提供的支持,无缝衔接既有业务逻辑的同时保障敏感操作的安全性[^2]。 例如定义某些特定视图只允许拥有相应对象级别权限的角色访问: ```python from rest_framework import permissions, viewsets import guardian.shortcuts class SpecialResourceViewSet(viewsets.ModelViewSet): permission_classes = [permissions.DjangoObjectPermissions] def get_queryset(self): user = self.request.user queryset = super().get_queryset() accessible_items = guardian.shortcuts.get_objects_for_user( user, 'app_name.view_specialresource', klass=queryset.model ) return queryset.filter(id__in=[item.id for item in accessible_items]) ``` 以上代码片段展示了如何结合 DRF 和 django-guardian 实现更精细的访问控制规则设定方法。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值