Regisztráció és bejelentkezés

LSTM alapú anomáliadetekció idősorokon

Napjainkban a hálózati eszközök, rendszerek és szolgáltatások folyamatos felügyelete lényegesebb, mint valaha. Ennek számos haszna lehet, mint például üzemzavar előrejelzése; leállások elkerülése azáltal, hogy előre azonosítjuk azok jeleit; rendszerek teljesítményének monitorozása; továbbá rendszerek biztonságának felügyelete és esetleges támadások észlelése.

Hagyományos módszerekkel azonban ezeket a funkciókat megbízhatóan, hatékonyan, valós időben megvalósítani koránt sem egyszerű feladat. Ennek oka többek között az infokommunikációs hálózatokhoz kapcsolódó eszközök exponenciálisan növekvő száma, ezen hálózatok egyre összetettebb infrastruktúrája, illetve az azokon továbbított adat mennyiségének egyre nagyobb tempóban való növekedése. Ezért elengedhetetlen a rendszerek belső folyamatainak, valamint azok egymásra hatásának megértése, illetve hatékony eljárások kidolgozása. Ezen utóbbit tűzi ki célul a hálózati telemetria paradigmája, mely egy modern eljárás a hálózati eszközökből kinyerhető, idősor alapú telemetria adatok gyors, hatékony és automatikus begyűjtésére.

A begyűjtött adatfolyamokat gépi tanuló algoritmusokkal dolgozhatjuk fel. Ezek képesek megérteni, csoportosítani és értékelni az infrastruktúra elemeinek működését leíró információkat, még számottevő adathalmazok esetén is. Annak ellenére, hogy jelentős előrelépéseket tapasztalhatunk a gépi tanulás tudományterületén, ezen algoritmusok alkalmazása anomáliadetekciós (azaz a normálistól eltérő működést észlelő) feladatokra a hálózati telemetria módszerével gyűjtött adatokon még kevéssé kutatott terület. Ez a dolgozat kifejezetten erre a feladatra összpontosít, és új megvilágításba kívánja helyezni az idősor alapú telemetria adatokon való anomáliadetekciót.

A korszerű, idősorokon végzett anomáliadetekciót megvalósító eljárások irodalomkutatása során az ún. Long-Short Term Memory (LSTM) alapú, ReRe elnevezésű, Ming-Chang Lee és társai által kidolgozott algoritmust azonosítottuk, mint jelenleg az irodalomban elérhető leghatékonyabb eljárás. A ReRe algoritmus a kidolgozói szerint nagy pontossággal képes az abnormális működést detektálni, ám a mi vizsgálataink és teszteredményeink a vártnál gyengébb teljesítményt mutattak. A pontosság növelése érdekében két kiegészítéssel módosítottuk a ReRe algoritmust. Az első az ún. öregítés módszerének implementálása volt, amelynek segítségével a közeljövőben gyűjtött adatokat nagyobb súllyal vesszük figyelembe az adatok mintázatának változásához való alkalmazkodás során, ezáltal gyorsabbá és pontosabbá téve az anomáliadetekciót. A második kiegészítés pedig az adatok csúszóablakban való feldolgozásának implementálása volt az anomáliadetektor erőforrásigényének csökkentése érdekében.

A kiegészítéseinkkel módosított ReRe algoritmus kiértékelésének eddigi eredményei biztatók, így sikerült magasabb detekciós pontosságot elérnünk az eredeti ReRe algoritmushoz képest. Ezen felül a módosított eljárásunk képes volt olyan anomáliákat is detektálni, amelyeket az eredeti nem, növelve az algoritmus érzékenységét a kisebb amplitúdójú kilengések detektálása iránt, elősegítve ezzel a valós időben történő anomáliadetekciót is. Ezeken túl azt is megfigyeltük, hogy ez az LSTM alapú anomáliadetekciós eljárás csak bizonyos típusú adatokon működik csak megfelelően. Tehát feltehetően a normális, ill. abnormális működés jellege függ azon adat típusától, mintázatától, amit éppen vizsgálunk. Ezen hipotézis igazolását azonban még alapos vizsgálatoknak kell alávetnünk, többek között erre is szeretnénk fókuszálni további kutatásaink során. Mindazonáltal úgy véljük, hogy munkánk hatékonyan hasznosítható valós alkalmazási szcenáriókban is.

szerző

  • Vajda Dániel László
    Villamosmérnöki szak, alapképzés
    alapképzés (BA/BSc)

konzulensek

  • Dr. Pekár Adrián
    adjunktus, Hálózati Rendszerek és Szolgáltatások Tanszék
  • Dr. Farkas Károly
    Egyetemi docens, Hálózati Rendszerek és Szolgáltatások Tanszék