返回图书馆
基础知识指南

异常检测

异常检测是教导机器标记与正常模式严重偏离的数据点的做法。

概述

异常检测是教导机器标记与正常模式严重偏离的数据点的做法。这很重要,因为罕见的意外事件(欺诈、设备故障、入侵)通常隐藏在人类无法手动扫描的常规数据海洋中。

异常检测位于核心人工智能工具包中。当你理解它时,其他人工智能主题就变得更容易评估和比较。

深入探讨

异常检测可识别不符合预期行为的观察结果,通常称为异常值、新奇点或例外。大多数方法首先了解“正常”是什么样子,然后根据偏离的程度对新数据进行评分。统计方法标记点超出几个标准差;基于距离的方法,例如 k 最近邻标记远离其同伴的点;密度方法,例如稀疏区域中的局部离群因子标志点。机器学习添加了隔离森林和自动编码器,前者利用了异常很容易通过少量随机分割来隔离的事实,后者可以很好地重建正常数据,但无法处理异常数据。一个核心挑战是,异常现象很少见,而且通常没有标签,因此模型必须主要从正常示例中学习,并容忍模棱两可、不断演变的“正常”定义。

技术洞察

许多系统仅在正常数据上进行训练——称为一类或半监督学习——因为标记的异常很少。例如,自动编码器将输入压缩到一个小瓶颈并重建它;在正常样本上进行训练后,它会对从未见过的异常​​情况产生很高的重建误差。隔离森林的工作方式不同:随机分区以较少的分割隔离异常值,因此较短的平均路径长度表示异常。两者都将“怪异”转换为带有阈值的数字分数。

掌握异常检测

异常检测是教导机器标记与正常模式严重偏离的数据点的做法。这很重要,因为罕见的意外事件(欺诈、设备故障、入侵)通常隐藏在人类无法手动扫描的常规数据海洋中。异常检测位于核心人工智能工具包中。当你理解它时,其他人工智能主题就变得更容易评估和比较。为了建立深入的理解,请将异常检测视为一种操作模型,而不是单一功能:定义所需的结果,澄清假设,并将系统可以可靠地执行的操作与仍需要专家判断的操作分开。

在实践中,使用异常检测的强大团队首先构建强大的概念模型,然后将这些模型映射到实际的生产约束。他们记录明确的成功标准,根据实际数据和工作流程进行测试,并根据观察到的失败模式而不是一次性基准测试胜利进行迭代。这就是理论理解转变为跨产品、政策和运营的持久能力的地方。

它可以帮助您将清晰的技术声明与营销语言分开。同时,不同的团队可能会以不同的方式使用同一术语,因此请尽早定义范围。最具弹性的方法是将实验速度与治理规则结合起来:运行试点、捕获证据、发布决策日志,并随着模型行为、用户期望和监管要求的发展不断更新保障措施。

战略影响

它可以帮助您将清晰的技术声明与营销语言分开。

它可以帮助您将清晰的技术声明与营销语言分开。在高质量部署中,这会转化为可衡量的操作规则、所有权边界和定期审查仪式,以便团队可以增强信心,而不是扩大模糊性。

在花费金钱或时间之前,您可以提出更好的实施问题。

在花费金钱或时间之前,您可以提出更好的实施问题。在高质量部署中,这会转化为可衡量的操作规则、所有权边界和定期审查仪式,以便团队可以增强信心,而不是扩大模糊性。

具有共同理解的团队可以做出更好的产品、政策和学习决策。

具有共同理解的团队可以做出更好的产品、政策和学习决策。在高质量部署中,这会转化为可衡量的操作规则、所有权边界和定期审查仪式,以便团队可以增强信心,而不是扩大模糊性。

异常检测的未来

检测正在转向边缘设备上的实时流,因此异常现象会在几毫秒内出现,而不是在批量分析之后出现。深度学习和图神经网络越来越多地捕捉微妙的多变量模式,例如协调的欺诈团伙。自监督和基础模型承诺系统能够随着时间的推移适应“正常”漂移,从而减少手动重新调整。可解释性也是一个优先考虑的因素:团队希望模型不仅能表明某些异常情况,还能表明哪些功能触发了警报,以便分析师可以放心地采取行动。

现实世界的实施

在国内使用信用卡后几秒钟,信用卡网络就会标记国外的交易,从而在购买前阻止可能的欺诈行为。

工厂传感器可以检测电机中的异常振动或温度,在故障导致生产线停机前几天预测轴承故障。

网络安全工具发现一台服务器在凌晨 3 点突然向未知 IP 发送千兆字节的数据,这表明可能存在数据泄露。

医院监护仪在连续心电图数据中捕捉到不规则的心律,提醒临床医生注意心律失常的发展。

实施模式

实践中的异常检测

在国内使用信用卡后几秒钟,信用卡网络就会标记国外的交易,从而在购买前阻止可能的欺诈行为。

信用卡网络会在信用卡在国内使用后数秒内标记国外的交易,从而在购买前冻结可能的欺诈行为。当团队预先定义质量阈值、为边缘情况保留人工升级路径并随着时间的推移跟踪生产力增益和错误成本时,通常会获得更好的结果。

实践中的异常检测

工厂传感器可以检测电机中的异常振动或温度,在故障导致生产线停机前几天预测轴承故障。

工厂传感器检测电机中的异常振动或温度,在故障导致生产线停止前几天预测轴承故障。当团队预先定义质量阈值、为边缘情况保留人工升级路径并跟踪一段时间内的生产力增益和错误成本时,通常会得到更好的结果。

实践中的异常检测

网络安全工具发现一台服务器在凌晨 3 点突然向未知 IP 发送千兆字节的数据,这表明可能存在数据泄露。

网络安全工具发现服务器在凌晨 3 点突然向未知 IP 发送千兆字节,这表明可能存在数据泄露。当团队预先定义质量阈值、为边缘情况保留人工升级路径并跟踪一段时间内的生产力提升和错误成本时,通常会得到更好的结果。

实践中的异常检测

医院监护仪在连续心电图数据中捕捉到不规则的心律,提醒临床医生注意心律失常的发展。

医院监护仪在连续心电图数据中捕捉到不规则的心律,提醒临床医生注意正在发生的心律失常。当团队预先定义质量阈值、为边缘情况保留人工升级路径并跟踪一段时间内的生产力增益和错误成本时,通常会获得更好的结果。

风险与防护栏

!

不同的团队可能会以不同的方式使用同一术语,因此请尽早定义范围。

!

基准测试可能看起来很强大,但实际性能却参差不齐。

!

忽视数据质量和评估计划通常会产生脆弱的结果。

实施路线图

1

从您需要的结果的简单语言定义开始。

从您需要的结果的简单语言定义开始。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

2

在测试之前选择一种成功指标和一种失败条件。

在测试之前选择一种成功指标和一种失败条件。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

3

使用代表性数据运行小型试点,而不是完善的演示集。

使用代表性数据运行小型试点,而不是完善的演示集。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

4

记录异常检测在哪些方面有帮助以及在哪些方面更简单的方法更好。

记录异常检测在哪些方面有帮助以及在哪些方面更简单的方法更好。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

不断探索

什么是人工智能?

在深入研究之前先了解基本概念。

阅读指南

人工智能如何学习

了解现代系统背后的培训过程。

阅读指南