클라우드 컴퓨팅 환경에서의 로그 이상 탐지는 시스템의 신뢰성과 보안을 유지하는 데 필수적이다. 로그 메시지의 시간적 의존성을 포착하기 위해 LSTM 및 Transformer와 같은 시퀀스 모델링 아키텍처가 널리 사용되어 왔지만, 로그 구조, 용어, 사건 빈도의 분포 변화와 더불어 데이터셋 간 토큰 중복이 최소화되는 등의 이유로 제로샷 전이 시나리오에서는 그 효과가 저하된다. 이러한 문제를 해결하기 위해, 사이버보안 관련 데이터에 대해 미세 조정된 도메인 특화 사전학습 언어 모델(PLM)과 새로운 손실 함수인 Loss with Decaying Factor (LDF)를 통합한 효과적인 탐지 접근법을 제안한다. LDF는 학습 목적에 지수적 시간 감쇠 메커니즘을 도입하여, 과거 문맥과 실시간 적절성 간의 동적 균형을 보장한다. 흔히 오래된 정보를 과도하게 강조하고 높은 계산 오버헤드를 수반하는 전통적 시퀀스 모델과 달리, LDF는 로그 메시지를 시간적 근접성에 따라 동적으로 가중치 부여함으로써 학습 과정을 제약하여, 클라우드 컴퓨팅 환경이 빠르게 진화하는 특성과 부합하도록 한다. 또한 도메인 특화 PLM은 이질적인 데이터셋 전반에서 로그 데이터의 표현을 개선함으로써 의미적 불일치를 완화한다. 두 개의 슈퍼컴퓨팅 로그 데이터셋에 대한 광범위한 경험적 평가 결과, 본 접근법은 데이터셋 간 이상 탐지 성능을 실질적으로 향상시키는 것으로 나타났다. 이 연구의 주요 기여는 다음과 같다: (1) Loss with Decaying Factor (LDF)를 도입하여 과거 문맥과 실시간 적절성 간의 동적 균형을 조절하는 것; 및 (2) 이질적인 클라우드 환경 전반에서 제로샷 로그 이상 탐지의 일반화를 향상시키기 위해 도메인 특화 PLM을 통합하는 것이다.

시스템 로그에서 이상 탐지 과제를 다루기 위한 복잡성을 해결하기 위해, 심층 학습 기반의 다수 방법들이 개발되어 왔으며, 그 과정에서 두 가지 중요한 과제가 제기된다. 첫째, 모델 복잡도와 하위 탐지 모델을 위한 의미론적으로 유의미한 표현을 생성하는 능력 사이의 균형을 맞추는 일은 섬세한 문제이다. 둘째, 이러한 방법들은 일반적으로 효과적인 학습을 위해 대규모의 라벨링 데이터에 의존한다. 이 두 과제를 각각 따로 해결하려는 노력에도 불구하고, 두 문제를 동시에 그리고 효율적으로 다루는 포괄적 해결책은 아직 부족하다. 이에 대응하여, 우리는 기존 방법들의 한계를 극복하기 위해 트랜스포머의 양방향 인코더 표현으로부터 컨텍스트 의미 정보 추출 능력을 활용하고, 시암 네트워크의 소수 샷 학습 능력을 결합한 종합적 솔루션인 SaRLog를 제안한다. 수축 손실(contractive loss)을 특징으로 하는 시암 네트워크는, 맞춤형 도메인 특화로 파인튜닝된 BERT 위에 구현된다. 비교 분석을 통해 SaRLog의 효과가 기존 기준선 방법들에 비해 검증되었으며, BGL 및 Thunderbird 데이터셋에서 각각 최대 31.2%와 46.7%의 F1 점수 향상을 보였다. 또한, 소수 샷 학습 능력을 평가하기 위한 추가 실험 분석은 SaRLog의 견고성과 일반화 효율성을 강조한다. 따라서 데이터셋 변동성을 극복하고 모델 일반화를 향상시킴으로써, SaRLog는 로그 이상 탐지를 진전시키며 복잡한 로그 데이터의 도전 과제를 효과적으로 처리한다.