Как изкуственият интелект открива аномалии?

Как изкуственият интелект открива аномалии?

Откриването на аномалии е тихият герой на операциите с данни - димната аларма, която шепне, преди нещата да се запалят.

Казано по-просто: ИИ научава как изглежда „почти нормалното“, дава на новите събития оценка за аномалия и след това решава дали да извика човек (или да блокира автоматично нещото) въз основа на праг . Дяволът е в това как дефинирате „почти нормално“, когато данните ви са сезонни, разхвърляни, нестабилни и понякога ви лъжат. [1]

Статии, които може да ви харесат след тази:

🔗 Защо изкуственият интелект може да бъде вреден за обществото.
Разглежда етичните, икономическите и социалните рискове от широкото разпространение на изкуствения интелект.

🔗 Колко вода всъщност използват системите с изкуствен интелект.
Обяснява охлаждането на центровете за данни, изискванията за обучение и въздействието на водата върху околната среда.

🔗 Какво е набор от данни с изкуствен интелект и защо е важен?
Дефинира набори от данни, етикетиране, източници и тяхната роля в производителността на модела.

🔗 Как изкуственият интелект предсказва тенденции от сложни данни.
Обхваща разпознаване на модели, модели за машинно обучение и приложения за прогнозиране в реалния свят.

„Как изкуственият интелект открива аномалии?“ 

Един добър отговор трябва да прави повече от това да изброява алгоритми. Той трябва да обяснява механиката им и как изглеждат, когато се прилагат към реални, несъвършени данни. Най-добрите обяснения:

  • Покажете основните съставки: характеристики , базови стойности , резултати и прагове . [1]

  • Сравнете практически семейства: разстояние, плътност, еднокласови, изолирани, вероятностни, реконструкция. [1]

  • Справяне с особеностите на времевите серии: „нормално“ зависи от часа на деня, деня от седмицата, изданията и празниците. [1]

  • Отнасяйте се към оценката като към истинско ограничение: фалшивите аларми не са просто досадни - те изгарят доверие. [4]

  • Включете интерпретируемост + човешка намеса, защото „странно е“ не е основна причина. [5]

Основните механики: Базови линии, Резултати, Прагове 🧠

Повечето аномални системи - фантастични или не - се свеждат до три движещи се части:

вижда моделът )

Суровите сигнали рядко са достатъчни. Или се проектират характеристики (пълзящи статистики, съотношения, закъснения, сезонни делти), или се изучават представяния (вграждания, подпространства, реконструкции). [1]

2) Точкуване (известно още като: колко „странно“ е това?)

Често срещани идеи за оценяване включват:

  • Въз основа на разстояние : далеч от съседите = подозрително. [1]

  • Въз основа на плътност : ниска локална плътност = подозрително (LOF е типичният пример). [1]

  • Граници на един клас : научете се „нормално“, маркирайте какво е извън него. [1]

  • Вероятностно : ниска вероятност при подходящ модел = подозрително. [1]

  • Грешка при реконструкцията : ако модел, обучен на нормална среда, не може да го възстанови, вероятно е неправилен. [1]

3) Праг (известен още като: кога да звъннем на звънеца)

Праговете могат да бъдат фиксирани, базирани на квантили, на сегмент или чувствителни към разходите - но те трябва да бъдат калибрирани спрямо бюджетите за предупреждения и разходите надолу по веригата, а не спрямо вибрациите. [4]

Един много практичен детайл: детекторите за отклонения/новост на scikit-learn разкриват суровите резултати и след това прилагат праг (често контролиран чрез предположение за замърсяване), за да преобразуват резултатите в решения за отклонения/външни стойности. [2]

Бързи дефиниции, които предотвратяват болката по-късно 🧯

Две разграничения, които ви предпазват от фини грешки:

  • Откриване на отклонения : вашите тренировъчни данни може вече да включват отклонения; алгоритъмът така или иначе се опитва да моделира „плътната нормална област“.

  • Откриване на новости : данните от обучението се приемат за чисти; преценявате дали новите наблюдения отговарят на научения нормален модел. [2]

Също така: откриването на новости често се разглежда като класификация от един клас - моделиране на нормално, защото анормалните примери са оскъдни или неопределени. [1]

 

AI аномалии, бъгове

Неконтролирани работни коне, които наистина ще използвате 🧰

Когато етикетите са оскъдни (което е почти винаги), това са инструментите, които се появяват в реалните конвейери:

  • Изолационна гора : силно подразбиращо се правило в много таблични случаи, широко използвано на практика и внедрено в scikit-learn. [2]

  • Еднокласова SVM : може да бъде ефективна, но е чувствителна към настройване и предположения; scikit-learn изрично посочва необходимостта от внимателна настройка на хиперпараметрите. [2]

  • Локален фактор на отклонение (LOF) : класическо оценяване, базирано на плътност; чудесно, когато „нормалното“ не е чиста петънца. [1]

Практическа бележка, която екипите преоткриват всяка седмица: LOF се държи различно в зависимост от това дали извършвате откриване на отклонения в обучителния набор или откриване на новости върху нови данни - scikit-learn дори изисква novelty=True, за да се получат безопасно невидими точки. [2]

Надеждна базова линия, която все още работи, когато данните са нестабилни 🪓

Ако сте в режим „просто ни трябва нещо, което не ни тласка в забрава“, надеждната статистика е подценена.

Модифицираният z-скор използва медианата и MAD (медианно абсолютно отклонение), за да намали чувствителността към екстремни стойности. Наръчникът на EDA на NIST документира формата на модифицирания z-скор и отбелязва често използвано правило за „потенциално отклонение“ при абсолютна стойност над 3,5 . [3]

Това няма да реши всеки проблем с аномалиите, но често е силна първа линия на защита, особено за шумни показатели и наблюдение в ранен етап. [3]

Реалността на времевите серии: „Нормалното“ зависи от това кога ⏱️📈

Аномалиите във времевите редове са сложни, защото контекстът е в основата: може да се очаква пик по обяд; същият пик в 3 часа сутринта може да означава, че нещо се е повредило. Поради това много практически системи моделират нормалността, използвайки характеристики, съобразени с времето (закъснения, сезонни делти, подвижни прозорци) и оценяват отклоненията спрямо очаквания модел. [1]

Ако си спомняте само едно правило: сегментирайте базовата си линия (час/ден/регион/ниво на услугата), преди да обявите половината от трафика си за „аномален“. [1]

Оценка: Капанът за редки събития 🧪

Откриването на аномалии често е „търсене на игла в купа сено“, което прави оценката странна:

  • ROC кривите могат да изглеждат измамно добре, когато положителните стойности са рядкост.

  • Изгледите с прецизно припомняне често са по-информативни за небалансирани настройки, защото се фокусират върху представянето в положителния клас. [4]

  • От оперативна гледна точка, ви е необходим и бюджет за предупреждения : колко предупреждения на час хората могат реално да сортират, без да се откажат от гнева си? [4]

Тестването на данните от миналото през различни периоди на валидност ви помага да уловите класическия режим на неуспех: „работи чудесно... върху разпределението от миналия месец.“ [1]

Интерпретируемост и коренна причина: Покажете работата си 🪄

Да се ​​известяваш без обяснение е като да получиш мистериозна картичка. Полезно е, но е разочароващо.

Инструментите за интерпретируемост могат да помогнат, като посочат кои характеристики са допринесли най-много за оценката на аномалиите или като дадат обяснения в стил „какво би трябвало да се промени, за да изглежда това нормално?“. „Интерпретируемо машинно обучение “ е солидно, критично ръководство за често срещани методи (включително атрибуции в стил SHAP) и техните ограничения. [5]

Целта не е просто удобство на заинтересованите страни - тя е по-бърза сортировка и по-малко повтарящи се инциденти.

Разгръщане, дрейф и обратна връзка 🚀

Моделите не живеят в слайдове. Те живеят в конвейери.

Често срещана история за „първия месец в производство“: детекторът най-вече сигнализира за внедрявания, пакетни задачи и липсващи данни... което все още е полезно, защото ви принуждава да разделите „инциденти с качеството на данните“ от „бизнес аномалии“.

На практика:

  • Следете дрейфа и преобучете/калибрирайте отново, когато поведението се промени. [1]

  • Запис на входни резултати + версия на модела , за да можете да възпроизведете защо нещо е странично. [5]

  • Заснемане на човешка обратна връзка (полезни срещу шумни сигнали), за да се настроят праговете и сегментите с течение на времето. [4]

Ъгъл на сигурността: IDS и поведенчески анализи 🛡️

Екипите по сигурност често смесват идеите за аномалии с откриване, базирано на правила: базови линии за „нормално поведение на хоста“, плюс сигнатури и политики за известни лоши модели. Стандартът SP 800-94 (Final) на NIST остава широко цитирана рамка за съображения относно системите за откриване и предотвратяване на прониквания; той също така отбелязва, че проект от 2012 г. „Rev. 1“ никога не е станал окончателен и по-късно е бил оттеглен. [3]

Превод: използвайте машинно обучение, където е полезно, но не изхвърляйте скучните правила - те са скучни, защото работят.

Сравнителна таблица: Популярни методи с един поглед 📊

Инструмент / Метод Най-добро за Защо работи (на практика)
Надеждни / модифицирани z-стойности Прости показатели, бързи базови стойности Силен първи пропуск, когато имате нужда от „достатъчно добър“ резултат и по-малко фалшиви аларми. [3]
Изолирана гора Таблични, смесени характеристики Надеждна имплементация по подразбиране и широко използвана на практика. [2]
Еднокласов SVM Компактни „нормални“ региони Откриване на новости, базирано на граници; настройването е от голямо значение. [2]
Фактор на локалните отклонения Нормали, подобни на многообразие Контрастът на плътността спрямо съседите улавя локалните странности. [1]
Грешка в реконструкцията (напр. в стил автоенкодер) Високоразмерни модели Обучение по нормален начин; големи грешки в реконструкцията могат да сигнализират за отклонения. [1]

Код за измами: започнете със стабилни базови линии + скучен метод без надзор, след което добавете сложност само там, където се отплаща.

Мини наръчник: От нула до сигнали 🧭

  1. Дефинирайте „странно“ от оперативна гледна точка (латентност, риск от измами, изтощение на процесора, риск от инвентаризация).

  2. Започнете с базова линия (надеждна статистика или сегментирани прагове). [3]

  3. Изберете един неконтролиран модел като първи проход (Изолационна гора / LOF / Еднокласова SVM). [2]

  4. Задайте прагове с предупредителен бюджет и оценете с PR-стил, ако положителните резултати са рядкост. [4]

  5. Добавете обяснения + регистриране, така че всяко предупреждение да е възпроизводимо и отстраняемо. [5]

  6. Тестване на данните от миналото, доставка, обучение, повторно калибриране - дрейфът е нормален. [1]

Абсолютно можеш да го направиш за седмица... стига да приемем, че времевите ти отметки не са залепени с тиксо и надежда. 😅

Заключителни бележки - Твърде дълго, не го прочетох 🧾

Изкуственият интелект открива аномалии, като изучава практическа картина на „нормалното“, оценява отклоненията и сигнализира за това, което преминава праг. Най-добрите системи печелят не като са бляскави, а като са калибрирани : сегментирани базови линии, бюджети за предупреждения, интерпретируеми изходи и обратна връзка, която превръща шумните аларми в надежден сигнал. [1]

Референции

  1. Пиментел и др. (2014) - Преглед на откриването на новости (PDF, Оксфордски университет) прочетете повече

  2. Документация на scikit-learn - Откриване на новости и отклонения прочетете повече

  3. NIST/SEMATECH e-Handbook - Откриване на отклонения (прочетете повече) и NIST CSRC - SP 800-94 (Final): Ръководство за системи за откриване и предотвратяване на прониквания (IDPS) ( прочетете повече

  4. Saito & Rehmsmeier (2015) - Графиката на прецизност и изчерпателност е по-информативна от ROC графиката при оценка на двоични класификатори върху небалансирани набори от данни (PLOS ONE) прочетете повече

  5. Молнар - Интерпретируемо машинно обучение (уеб книга) прочетете повече

Намерете най-новия изкуствен интелект в официалния магазин за асистенти с изкуствен интелект

За нас

Обратно към блога