단일 원인 이상 탐지를 위한 폴리트리 인과 그래프 기반 근본 원인 분석

초록

본 논문은 단일 근본 원인과 폴리트리 형태의 인과 그래프를 가정할 때, 사후 분포에서 단 한 개의 샘플만으로도 효율적인 근본 원인 분석(RCA)을 수행할 수 있는 두 가지 간단한 방법을 제안한다. 알려진 그래프에서는 변동 점수만으로 원인을 찾는 SMOOTH TRAVERSAL 알고리즘을, 그래프가 미지일 경우에는 점수가 가장 큰 변수들을 후보로 삼는 SCORE ORDERING 방식을 제시한다. 이들 방법에 대해 정보이론적 이상 점수(IT‑score)를 기반으로 한 이론적 보장을 제공한다.

상세 분석

논문은 먼저 근본 원인 분석을 인과 베이지안 네트워크(CBN)와 소프트 인터벤션 모델로 정의한다. 정상 메커니즘 P(X_i|PA_i) 중 하나가 ˜P(X_j|PA_j) 로 바뀌었다는 가정 하에, 관측된 단일 샘플 (x₁,…,x_n) 에서 어떤 메커니즘이 변했는지를 식별하는 것이 목표이다. 기존 방법들은 사후 분포를 추정하거나 다수의 샘플을 필요로 하지만, 저자는 정보이론적 이상 점수 S(x)=−log P(τ(X)≥τ(x)) 를 사용해 marginal score 만으로도 충분히 인과 관계를 추론할 수 있음을 보인다. 여기서 τ는 일반적인 이상 탐지 통계량(z‑score 등)이며, S는 p‑value의 로그 변환 형태로 해석된다.

핵심 이론은 두 변수 X→Y 의 쌍에 대해 “score typicality” 라는 조건을 도입하고, 이를 통해 H_X⁰ (X의 정상성)와 H_Y⁰ (조건부 정상성) 를 각각 e^{−S(X)} 와 e^{−|S(Y)−S(X)|⁺} 수준에서 기각할 수 있음을 증명한다. Lemma 3.3 은 특히, X가 큰 이상 점수를 가졌을 때 Y가 그보다 훨씬 큰 이상 점수를 가질 확률이 지수적으로 작다는 점을 강조한다. Lemma 3.4·5 는 score typicality 가 거의 항상 성립하거나, S가 일대일·단조일 경우 반드시 성립한다는 충분조건을 제공한다.

이러한 쌍별 결과를 폴리트리 구조 전체에 확장한다. 폴리트리에서는 각 노드가 하나 이상의 부모를 가질 수 있지만 사이클이 없으므로, “점수 상승”(anomaly score jump) 이 그래프를 따라 단조적으로 진행한다는 성질을 이용한다. 저자는 SMOOTH TRAVERSAL 알고리즘을 제안하는데, 이는 그래프를 루트에서 리프 방향으로 탐색하면서 인접 노드 간 점수 차이가 양수인 경우에만 진행한다. 이 과정에서 최초로 점수 상승이 멈추는 노드가 근본 원인으로 식별된다. 알고리즘은 marginal score 만을 사용하므로 조건부 확률 추정이 필요 없으며, 임계값 설정에 대한 의존성도 없다.

그래프가 알려지지 않은 경우, SCORE ORDERING 을 사용한다. 이는 모든 변수의 marginal score 를 내림차순으로 정렬하고, 상위 k개의 변수를 후보 집합으로 선택하는 단순한 휴리스틱이다. 논문은 폴리트리에서 “작은 점수 → 큰 점수” 경로가 비단조적일 확률에 대한 상한을 제시함으로써, 높은 점수를 가진 변수들이 실제 원인일 가능성이 통계적으로 크게 높음을 보증한다. 다만, 다중 원인이나 비폴리트리 구조에서는 보장이 약해질 수 있음을 명시한다.

실험에서는 합성 데이터와 클라우드 마이크로서비스 성능 저하 사례, 의료 데이터 등을 사용해 기존 RCA 방법(예: 베이즈 네트워크 기반, 회귀 기반, 카운터팩추얼 기법)과 비교한다. 결과는 특히 단일 샘플 상황에서 제안된 두 방법이 정확도와 실행 시간 모두에서 경쟁력을 보이며, 특히 SMOOTH TRAVERSAL 은 그래프가 알려진 경우 거의 완벽에 가까운 원인 식별률을 달성한다는 점을 보여준다.

전체적으로 논문은 (1) marginal IT‑score 로 인과 관계를 추론할 수 있는 이론적 기반, (2) 폴리트리 그래프에 특화된 효율적 탐색 알고리즘, (3) 그래프 미지 상황에서도 실용적인 휴리스틱을 제공함으로써, 단일 샘플 기반 RCA 의 실용성을 크게 확장한다는 점에서 의의가 크다.