論文の概要: MINES: Explainable Anomaly Detection through Web API Invariant Inference

• arxiv url: http://arxiv.org/abs/2512.06906v1
• Date: Sun, 07 Dec 2025 16:13:35 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-09 22:03:54.582043
• Title: MINES: Explainable Anomaly Detection through Web API Invariant Inference
• Title（参考訳）: MINES: Web API不変推論による説明可能な異常検出
• Authors: Wenjie Zhang, Yun Lin, Chun Fung Amos Kwok, Xiwen Teoh, Xiaofei Xie, Frank Liauw, Hongyu Zhang, Jin Song Dong,
• Abstract要約: MINESは、詳細な生ログインスタンスではなく、スキーマレベルから異常検出のための説明可能なAPI不変量を推論する。 我々は、TrainTicket、NiceFish、Gitea、Mastodon、NextCloudのベンチマークに対するWeb-tamper攻撃に対して、MINESを広範囲に評価した。 その結果、MINESは、ほぼゼロの偽陽性を導入しながら、異常に対する高いリコールを達成し、新たな最先端技術を示すことがわかった。
• 参考スコア（独自算出の注目度）: 34.825329761665124
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Detecting the anomalies of web applications, important infrastructures for running modern companies and governments, is crucial for providing reliable web services. Many modern web applications operate on web APIs (e.g., RESTful, SOAP, and WebSockets), their exposure invites intended attacks or unintended illegal visits, causing abnormal system behaviors. However, such anomalies can share very similar logs with normal logs, missing crucial information (which could be in database) for log discrimination. Further, log instances can be also noisy, which can further mislead the state-of-the-art log learning solutions to learn spurious correlation, resulting superficial models and rules for anomaly detection. In this work, we propose MINES which infers explainable API invariants for anomaly detection from the schema level instead of detailed raw log instances, which can (1) significantly discriminate noise in logs to identify precise normalities and (2) detect abnormal behaviors beyond the instrumented logs. Technically, MINES (1) converts API signatures into table schema to enhance the original database shema; and (2) infers the potential database constraints on the enhanced database schema to capture the potential relationships between APIs and database tables. MINES uses LLM for extracting potential relationship based on two given table structures; and use normal log instances to reject and accept LLM-generated invariants. Finally, MINES translates the inferred constraints into invariants to generate Python code for verifying the runtime logs. We extensively evaluate MINES on web-tamper attacks on the benchmarks of TrainTicket, NiceFish, Gitea, Mastodon, and NextCloud against baselines such as LogRobust, LogFormer, and WebNorm. The results show that MINES achieves high recall for the anomalies while introducing almost zero false positives, indicating a new state-of-the-art.
• Abstract（参考訳）: 最新の企業や政府を運営するための重要なインフラであるWebアプリケーションの異常を検出することは、信頼できるWebサービスを提供することに不可欠である。 多くのモダンなWebアプリケーションは、Web API(例えば、RESTful、SOAP、WebSockets)で動作し、その露出は意図した攻撃や意図しない不正な訪問を招待し、異常なシステム動作を引き起こします。 しかし、そのような異常は通常のログと非常によく似たログを共有でき、ログの識別には重要な情報(データベースにある可能性がある)が欠落している。 さらに、ログインスタンスもうるさいため、最先端のログ学習ソリューションをさらに誤解させ、素早い相関関係を学習し、結果として表面モデルと異常検出のルールが生まれる。 本研究では,詳細な生ログインスタンスではなく,スキーマレベルでの異常検出のための説明可能なAPI不変量を推定するMINESを提案する。 技術的には、MINES (1)は、APIシグネチャをテーブルスキーマに変換し、元のデータベースシーマを強化し、(2)拡張されたデータベーススキーマ上の潜在的なデータベース制約を推測し、APIとデータベーステーブル間の潜在的な関係をキャプチャします。 MINESは、与えられた2つのテーブル構造に基づいて潜在的な関係を抽出するためにLLMを使用し、通常のログインスタンスを使用してLLM生成不変量を拒否し、受け入れる。 最後に、MINESは推論された制約を不変に翻訳し、実行時のログを検証するPythonコードを生成する。 我々は、TrainTicket、NiceFish、Gitea、Mastodon、NextCloudのベンチマークで、LogRobust、LogFormer、WebNormなどのベースラインに対するWebタンパー攻撃について、MINESを広範囲に評価した。 その結果、MINESは、ほぼゼロの偽陽性を導入しながら、異常に対する高いリコールを達成し、新たな最先端技術を示すことが明らかとなった。

関連論文リスト

• DoVer: Intervention-Driven Auto Debugging for LLM Multi-Agent Systems [50.68504641209259]
  DoVerは、大規模言語モデル(LLM)ベースのマルチエージェントシステムのための介入駆動デバッグフレームワークである。 ターゲットの介入を通じて、アクティブな検証によって仮説生成を増強する。 DoVerは失敗試験の18～28%を成功させ、最大16%のマイルストーンを達成し、失敗仮説の30～60%を検証または否定する。
  論文  参考訳（メタデータ） (2025-12-07T09:23:48Z)
• Leveraging large language models for SQL behavior-based database intrusion detection [11.867133683645871]
  データベースシステムは、様々なドメインにまたがる重要なデータを格納するために広く使われている。 内部攻撃や外部攻撃によるデータベース侵入のような異常なデータベースアクセス行動の頻度は上昇し続けている。 現在のアプローチでは、運用レベルで異常を検出するために必要な粒度が不足している。
  論文  参考訳（メタデータ） (2025-08-06T09:53:38Z)
• Demystifying and Extracting Fault-indicating Information from Logs for Failure Diagnosis [29.800380941293277]
  エンジニアは、診断のためにログ情報の2つのカテゴリを優先順位付けする。 そこで本研究では,LoFIと呼ばれる故障診断のためのログから誤検出情報を自動抽出する手法を提案する。 LoFIは全てのベースライン法を大幅な差で上回り、最高のベースライン法であるChatGPTよりもF1の25.837.9を絶対的に改善した。
  論文  参考訳（メタデータ） (2024-09-20T15:00:47Z)
• HELP: Hierarchical Embeddings-based Log Parsing [0.25112747242081457]
  ログは、ソフトウェアのメンテナンスと障害診断のための、第一級の情報ソースである。 ログ解析は、異常検出、トラブルシューティング、根本原因分析などの自動ログ解析タスクの前提条件である。 既存のオンライン解析アルゴリズムは、ログドリフトの影響を受けやすい。
  論文  参考訳（メタデータ） (2024-08-15T17:54:31Z)
• LogFormer: A Pre-train and Tuning Pipeline for Log Anomaly Detection [73.69399219776315]
  本稿では,ログ異常検出(LogFormer)のためのTransformerベースの統合フレームワークを提案する。 具体的には、ログデータの共有セマンティック知識を得るために、まず、ソースドメイン上で事前学習を行う。 そして、そのような知識を共有パラメータを介して対象領域に転送する。
  論文  参考訳（メタデータ） (2024-01-09T12:55:21Z)
• Log-based Anomaly Detection Without Log Parsing [7.66638994053231]
  ログ解析を必要としない新しいログベースの異常検出手法であるNeuralLogを提案する。 実験の結果,提案手法はログメッセージの意味を効果的に理解できることがわかった。 全体として、NeuralLogは4つの公開データセットで0.95以上のF1スコアを獲得し、既存のアプローチを上回っている。
  論文  参考訳（メタデータ） (2021-08-04T10:42:13Z)
• Robust and Transferable Anomaly Detection in Log Data using Pre-Trained Language Models [59.04636530383049]
  クラウドのような大規模コンピュータシステムにおける異常や障害は、多くのユーザに影響を与える。 システム情報の主要なトラブルシューティングソースとして,ログデータの異常検出のためのフレームワークを提案する。
  論文  参考訳（メタデータ） (2021-02-23T09:17:05Z)
• Self-Attentive Classification-Based Anomaly Detection in Unstructured Logs [59.04636530383049]
  ログ表現を学習するための分類法であるLogsyを提案する。 従来の方法と比較して,F1スコアの平均0.25の改善を示す。
  論文  参考訳（メタデータ） (2020-08-21T07:26:55Z)
• Self-Supervised Log Parsing [59.04636530383049]
  大規模ソフトウェアシステムは、大量の半構造化ログレコードを生成する。 既存のアプローチは、ログ特化や手動ルール抽出に依存している。 本稿では,自己教師付き学習モデルを用いて解析タスクをマスク言語モデリングとして定式化するNuLogを提案する。
  論文  参考訳（メタデータ） (2020-03-17T19:25:25Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。