Како вештачката интелигенција открива аномалии?

Како вештачката интелигенција открива аномалии?

Детекцијата на аномалии е тивкиот херој на операциите со податоци - алармот за чад што шепоти пред работите да се запалат.

Едноставно кажано: вештачката интелигенција учи како изгледа „приближно нормално“, им дава на новите настани оценка за аномалија , а потоа одлучува дали да испрати порака до човек (или автоматски да го блокира) врз основа на праг . Проблемот е во тоа како го дефинирате „приближно нормално“ кога вашите податоци се сезонски, неуредни, променливи и повремено ве лажат. [1]

Статии што можеби ќе ве интересираат по оваа:

🔗 Зошто вештачката интелигенција може да биде штетна за општеството.
Ги испитува етичките, економските и социјалните ризици од широко распространетото усвојување на вештачката интелигенција.

🔗 Колку вода всушност користат системите со вештачка интелигенција.
Објаснува ладење на центарот за податоци, барања за обука и влијанието на водата врз животната средина.

🔗 Што е сет на податоци од вештачка интелигенција и зошто е важен.
Дефинира сетови на податоци, етикетирање, извори и нивната улога во перформансите на моделот.

🔗 Како вештачката интелигенција ги предвидува трендовите од сложени податоци
Опфаќа препознавање на шеми, модели на машинско учење и употреба на прогнози во реалниот свет.

„Како вештачката интелигенција открива аномалии?“ 

Добриот одговор треба да направи повеќе од само листање алгоритми. Треба да ги објасни механизмите и како тие изгледаат кога ги применувате на реални, несовршени податоци. Најдобрите објаснувања:

  • Прикажи ги основните состојки: карактеристики , основни вредности , резултати и прагови . [1]

  • Спротивно на практичните семејства: растојание, густина, еднокласна, изолација, веројатност, реконструкција. [1]

  • Справете се со необичностите на временските серии: „нормалното“ зависи од времето од денот, денот од неделата, изданијата и празниците. [1]

  • Третирајте ја евалуацијата како вистинско ограничување: лажните аларми не се само досадни - тие ја горат довербата. [4]

  • Вклучете ја интерпретабилноста + човечкиот-во-јамката, бидејќи „чудно е“ не е основна причина. [5]

Основна механика: Основни линии, резултати, прагови 🧠

Повеќето аномалиски системи - фантастични или не - се сведуваат на три подвижни делови:

1) Претставување (т.е. што моделот гледа )

Суровите сигнали ретко се доволни. Или конструирате карактеристики (статистики за движење, коефициенти, заостанувања, сезонски делти) или учите претставувања (вградувања, потпростори, реконструкции). [1]

2) Бодување (т.е. колку е ова „чудно“?)

Вообичаени идеи за бодување вклучуваат:

  • Врз основа на растојание : далеку од соседите = сомнително. [1]

  • Засновано на густина : ниска локална густина = сомнителна (LOF е постер дете). [1]

  • Граници на една класа : научи „нормално“, означи што е надвор од тоа. [1]

  • Веројатност : мала веројатност под прилагоден модел = сомнително. [1]

  • Грешка при реконструкција : ако модел обучен на нормално не може да го реконструира, веројатно е неисправен. [1]

3) Праг (т.е. кога да се заѕвони ѕвончето)

Праговите можат да бидат фиксни, базирани на квантили, по сегмент или чувствителни на трошоци - но тие треба да бидат калибрирани во однос на буџетите за алармирање и трошоците за downstream, а не на вибрациите. [4]

Еден многу практичен детаљ: детекторите за отстапувања/новини на scikit-learn ги изложуваат суровите резултати , а потоа применуваат праг (често контролиран преку претпоставка во стилот на контаминација) за да ги конвертираат резултатите во одлуки за вродени/отстапувања. [2]

Брзи дефиниции што ја спречуваат болката подоцна 🧯

Две разлики што ве спасуваат од суптилни грешки:

  • Детекција на отстапувања : вашите податоци за обука можеби веќе вклучуваат отстапувања; алгоритмот сепак се обидува да го моделира „густиот нормален регион“.

  • Детекција на новини : податоците за обука се претпоставуваат како чисти; вие проценувате дали новите набљудувања се вклопуваат во научениот нормален образец. [2]

Исто така: детекцијата на новини често се смета за класификација со една класа - моделирање на нормалноста бидејќи абнормалните примери се ретки или недефинирани. [1]

 

Аномалии на вештачката интелигенција кои се појавуваат на грешки

Ненадгледувани работни коњи што навистина ќе ги користите 🧰

Кога етикетите се ретки (што во основа е секогаш), ова се алатките што се појавуваат во вистинските канали:

  • Изолациска шума : силен стандарден во многу табеларни случаи, широко користен во пракса и имплементиран во scikit-learn. [2]

  • Еднокласен SVM : може да биде ефикасен, но е чувствителен на подесување и претпоставки; scikit-learn експлицитно ја истакнува потребата од внимателно подесување на хиперпараметрите. [2]

  • Локален фактор на отстапување (LOF) : класично бодување базирано на густина; одлично кога „нормалното“ не е уредна точка. [1]

Практична работа што тимовите ја откриваат секоја недела: LOF се однесува различно во зависност од тоа дали вршите откривање на отстапувања на множеството за обука наспроти откривање на нови податоци - scikit-learn дури бара и novelty=True за безбедно да се освојат невидени поени. [2]

Робусна основна линија што сè уште функционира кога податоците се нејасни 🪓

Ако сте во режим на „ни треба само нешто што нема да нè води во заборав“, робусната статистика е потценета.

Модифицираниот z-резултат ги користи медијаната и MAD (медијална апсолутна девијација) за да ја намали чувствителноста на екстремни вредности. Прирачникот за EDA на NIST ја документира модифицираната z-резултат форма и го наведува вообичаеното правило за „потенцијална отстапување“ при апсолутна вредност над 3,5 . [3]

Ова нема да го реши секој проблем со аномалии - но често е силна прва линија на одбрана, особено за бучни метрики и мониторинг во рана фаза. [3]

Реалност на временските серии: „Нормално“ зависи од тоа кога ⏱️📈

Аномалиите на временските серии се сложени бидејќи контекстот е целата поента: може да се очекува скок напладне; истиот скок во 3 часот наутро може да значи дека нешто е во пламен. Затоа, многу практични системи ја моделираат нормалноста користејќи временски свесни карактеристики (доцнења, сезонски делти, ротирачки прозорци) и ги оценуваат отстапувањата во однос на очекуваниот модел. [1]

Ако се сеќавате само на едно правило: сегментирајте ја вашата основна вредност (час/ден/регион/ниво на услуга) пред да прогласите половина од вашиот сообраќај за „аномален“. [1]

Евалуација: Стапицата на ретки настани 🧪

Детекцијата на аномалии често е „игла во пласт сено“, што ја прави евалуацијата чудна:

  • ROC кривите можат да изгледаат измамувачки добро кога позитивните се ретки.

  • Прегледите со прецизно потсетување често се поинформативни за неурамнотежени поставки бидејќи се фокусираат на перформансите на позитивната класа. [4]

  • Оперативно, ви е потребен и буџет за предупредувања : колку предупредувања на час луѓето всушност можат да тријат без да се ослободат од бес? [4]

Тестирањето наназад низ подвижни прозорци ви помага да го откриете класичниот режим на дефект: „функционира прекрасно… на дистрибуцијата од минатиот месец“. [1]

Интерпретабилност и основна причина: Покажете ја вашата работа 🪄

Предупредувањето без објаснување е како да добиете мистериозна разгледница. Корисно, но фрустрирачко.

Алатките за толкување можат да помогнат со тоа што ќе посочат кои карактеристики најмногу придонеле за резултатот од аномалијата или со давање објаснувања за стилот „што би требало да се промени за ова да изгледа нормално?“. „Интерпретабилно машинско учење “ е солиден, критички водич за вообичаените методи (вклучувајќи ги и атрибуциите во SHAP стил) и нивните ограничувања. [5]

Целта не е само удобност на засегнатите страни - туку побрза тријажа и помалку повторувачки инциденти.

Распоредување, дрифт и повратни јамки 🚀

Моделите не живеат во слајдови. Тие живеат во цевководи.

Честа приказна за „првиот месец во производството“: детекторот претежно означува распоредувања, групни задачи и недостасувачки податоци… што е сè уште корисно бидејќи ве принудува да ги одделите „инцидентите со квалитетот на податоците“ од „деловните аномалии“.

Во пракса:

  • Следете го отстапувањето и преквалификувајте/рекалибрирајте како што се менува однесувањето. [1]

  • Евидентирајте ги внесените резултати + верзијата на моделот за да можете да репродуцирате зошто нешто е странично. [5]

  • Снимајте човечки повратни информации (корисни наспроти бучни предупредувања) за да ги подесите праговите и сегментите со текот на времето. [4]

Безбедносен агол: IDS и аналитика на однесувањето 🛡️

Безбедносните тимови често ги мешаат идеите за аномалии со детекција базирана на правила: основни линии за „нормално однесување на домаќинот“, плус потписи и политики за познати лоши шеми. SP 800-94 (Конечно) на NIST останува широко цитирана рамка за системите за детекција и превенција на упади; исто така, се забележува дека нацрт-верзијата „Ревид. 1“ од 2012 година никогаш не станала конечна и подоцна била повлечена. [3]

Превод: користете ML каде што помага, но не ги отфрлајте здодевните правила - тие се здодевни затоа што функционираат.

Табела за споредба: Популарни методи на прв поглед 📊

Алатка / Метод Најдобро за Зошто функционира (во пракса)
Робусни / изменети z-оценки Едноставни метрики, брзи основни вредности Силен прв премин кога ви треба „доволно добро“ и помалку лажни аларми. [3]
Изолациска шума Табеларни, мешани карактеристики Солидна стандардна имплементација и широко користена во пракса. [2]
Еднокласен SVM Компактни „нормални“ региони Детекција на новини врз основа на граници; прилагодувањето е многу важно. [2]
Локален фактор на отстапување Нормали на многукратни вредности Контрастот на густината наспроти соседите ја открива локалната чудност. [1]
Грешка во реконструкцијата (на пр., во стилот на автоенкодер) Високодимензионални шеми Воз во нормала; големите грешки во реконструкцијата можат да ги означат отстапувањата. [1]

Шифра за измама: започнете со робусни основни линии + здодевен метод без надзор, а потоа додадете сложеност само таму каде што се исплаќа.

Мини прирачник: Од нула до предупредувања 🧭

  1. Дефинирајте го терминот „чудно“ оперативно (латентност, ризик од измама, хаос во процесорот, ризик од залихи).

  2. Започнете со основна линија (робусни статистики или сегментирани прагови). [3]

  3. Изберете еден ненадгледуван модел како прв премин (Изолациона шума / LOF / Еднокласен SVM). [2]

  4. Поставете прагови со буџет за известување и оценете со размислување во стилот на односи со јавноста ако позитивните резултати се ретки. [4]

  5. Додадете објаснувања + евидентирање за да може секое известување да се репродуцира и да може да се дебагира. [5]

  6. Тестирање наназад, испраќање, учење, рекалибрирање - отстапувањето е нормално. [1]

Апсолутно можеш да го направиш ова за една недела… под претпоставка дека твоите временски ознаки не се залепени со селотејп и надеж. 😅

Заклучоци - Предолго е, не го прочитав🧾

Вештачката интелигенција открива аномалии преку учење на практична слика за „нормалното“, оценување на отстапувањата и означување што го преминува прагот. Најдобрите системи победуваат не затоа што се впечатливи, туку затоа што се калибрирани : сегментирани основни линии, буџети за аларми, толкувачки излезни податоци и повратна јамка што ги претвора бучните аларми во доверлив сигнал. [1]

Референци

  1. Пиментел и др. (2014) - Преглед на детекција на новини (PDF, Универзитет во Оксфорд) прочитај повеќе

  2. Документација за scikit-learn - Детекција на новини и отстапувања прочитај повеќе

  3. NIST/SEMATECH е-прирачник - Детекција на отстапувања прочитај повеќе и NIST CSRC - SP 800-94 (Конечно): Водич за системи за детекција и превенција на упади (IDPS) прочитај повеќе

  4. Саито и Ремсмаер (2015) - Графиконот со прецизност-потсетување е поинформативен од ROC графиконот при оценување на бинарни класификатори на небалансирани податочни множества (PLOS ONE) прочитај повеќе

  5. Молнар - Интерпретабилно машинско учење (веб-книга) прочитај повеќе

Пронајдете ја најновата вештачка интелигенција во официјалната продавница за асистенти за вештачка интелигенција

За нас

Назад кон блогот