# SCWarn [[Tsinghua University]] の [[Dan Pei]] グループと [[BizSeer]]・[[China Guangfa Bank]] の共同研究による不正ソフトウェア変更検知システム。ビジネス KPI・マシン KPI・ログの 3 種類の異種多ソースデータをマルチモーダル LSTM で統合し、デプロイ後の不正変更を教師なしで検知してアラートと解釈可能なレポートを生成する。 ## 設計 4 ステップのパイプラインで構成される。 1. **データ準備**: ビジネス/マシン KPI を時系列として保持。ログを Drain でテンプレート化し出現頻度の時系列に変換(n+2 系列) 2. **マルチモーダル異常検知**: LSTM が各モダリティの時系列の正常パターンを学習し、中間融合(intermediate fusion)でソース間の相関を捕捉する。損失は各モダリティ MSE の合計 3. **アラート生成と分析レポート**: k-σ 閾値を設定し連続 α ポイント超過でアラートを発火。変更チケット情報・リアルタイムのヘルススコア・上位異常データソースをレポート表示 4. **アクション決定**: ナレッジベースを照合して「異常だが想定内」の変動を除外し、不正変更に対しロールバック等の保護アクションを実施 ## 性能 2 データセット(Train-Ticket / E-commerce)、10 種類の障害タイプで評価。 - 平均 F1 スコア: 0.95(Gandalf 0.83、Funnel 0.77、Lumos 0.80 と比較) - 平均 MTTD: 3.7 分(Funnel 比 63.7% 短縮) - 訓練時間: 数分、オンライン検知時間: 1 秒未満 ## 関連 - ソース: [[@2021__ESEC-FSE__Identifying Bad Software Changes via Multimodal Anomaly Detection]] - 概念: [[ソフトウェア変更管理]] / [[マルチモーダル障害診断]] / [[異常検知]] / [[ログパース]] - エンティティ: [[Dan Pei]] / [[Nengwen Zhao]] / [[BizSeer]] / [[China Guangfa Bank]] / [[Tsinghua University]] / [[Train-Ticket]]