基于图的异常检测是一种识别图中数据内不寻常模式或实体的技术。图由节点(代表用户、设备或交易等实体)和边(代表它们之间的关系或交互)组成。这种方法利用图的结构——例如连通性、节点度或社区形成——来检测偏离预期行为的异常值。与侧重于单个数据点的传统异常检测不同,基于图的方法分析关系和集体行为,使其在上下文很重要的情况下非常有效。
例如,在社交网络图中,异常可能是一个用户帐户(节点)在短时间内突然连接到数百个其他用户(边),表明是机器人或垃圾邮件发送者。在金融交易图中,账户之间的一系列快速、高价值的转账(边)形成了一个不寻常的循环,可能表明洗钱。另一个例子是网络安全:设备(节点)与一组意想不到的内部服务器(边)通信可能表明系统已受到威胁。当这些异常作为孤立事件查看时,通常隐藏在眼皮底下,但当分析其图关系时,就会变得明显。
用于基于图的异常检测的常见技术包括社区检测算法(如 Louvain 或标签传播)来识别不属于任何组的节点、中心性度量(如介数或度中心性)来标记过度有影响力的节点,以及图神经网络(GNN)学习嵌入以检测偏差。Neo4j、Python 的 NetworkX 库或用于 GNN 的 PyTorch Geometric 等工具通常用于实现这些方法。例如,开发人员可以使用 PageRank 来识别 Web 图中具有不成比例的高影响力的节点,或者应用 GNN 来对推荐系统中可疑的子图进行分类。基于图的方法的优势在于它们能够对复杂的相互依赖关系进行建模,这使得它们在欺诈检测、网络安全和网络分析中特别有用。