异常检测识别数据中偏离预期行为的异常模式。常用的技术包括统计方法、机器学习模型和基于邻近度的方法。每种方法都有其独特的优势,并且根据数据类型、上下文和被检测异常的性质进行选择。
统计方法是异常检测的基础。这些技术依赖于数学模型来定义“正常”行为并标记偏差。例如,Z 分数分析衡量数据点与平均值的标准差,超出阈值(例如,±3)的值被标记为异常。诸如移动平均或指数平滑之类的时间序列方法可以检测顺序数据中的峰值或下降。零售商可能会使用统计过程控制来监控每日销售额;如果销售额在没有明确原因的情况下突然下降 50%,系统会将其标记出来。这些方法易于实施,但假设数据遵循已知的分布,这可能不适用于复杂的数据集。
机器学习 (ML) 模型可以处理更细微的场景。监督学习使用标记数据(正常与异常)训练分类器(如随机森林或 SVM)来预测异常。对于未标记的数据,诸如隔离森林之类的无监督方法通过随机分割数据来隔离异常——分割越少意味着异常的可能性越高。自编码器是一种神经网络,它学习压缩的数据表示并标记具有高重构误差的输入。例如,在网络安全中,在正常流量模式上训练的自编码器可以检测到异常的数据包大小或频率。 ML 模型可以适应复杂的模式,但需要仔细调整和计算资源。
基于邻近度的方法衡量数据点之间的相似性。诸如 k 均值之类的聚类算法对相似数据进行分组,将远离聚类中心的点视为异常值。DBSCAN 将异常值识别为低密度区域中的点。诸如 k-NN 之类的基于距离的技术计算到最近邻居的平均距离;异常远的点是异常值。在欺诈检测中,银行可能会使用 k-NN 将交易特征(金额、位置)与历史数据进行比较。邻近度方法适用于高维数据,但在大型数据集中难以扩展。选择正确的技术取决于平衡特定用例的准确性、可解释性和计算效率。