Выявление аномалий

Выявление аномалий (обнаружение выбросов^[1]) — опознавание во время интеллектуального анализа данных редких данных, событий или наблюдений, которые значительно отличаются от большинства данных и не соответствуют четко определенному представлению о нормальном состоянии^[2]. Такие примеры могут вызвать подозрения в том, что они были сгенерированы другим механизмом^[3], или могут показаться несовместимыми с остальной частью этого набора данных^[4].

Обнаружение аномалий находит применение во многих областях, включая кибербезопасность, медицину, автоматический анализ видеоинформации, статистику, неврологию, охрану правопорядка и финансовое мошенничество, и это лишь некоторые из них. Первоначально аномалии искали для полного исключения из набора данных, чтобы облегчить статистический анализ, например, для вычисления среднего значения или стандартного отклонения. Они также удалялись для улучшения прогнозирования с помощью таких моделей, как линейная регрессия, а совсем недавно их удаление повысило производительность алгоритмов машинного обучения. Однако во многих задачах аномалии сами по себе представляют интерес и являются наиболее интересными наблюдениями во всем наборе данных, которые необходимо идентифицировать и отделить от шума или несущественных выбросов.

Общее обсуждение

Выявление аномалий в контексте обнаружения злоумышленного использования и вторжения в сеть, интересующие нас объекты часто не являются редкими, но проявляют неожиданную вспышку активности. Это не соответствует обычному статистическому определению выбросов как редких объектов и многие методы обнаружения выбросов (в частности, методы без учителя) терпят неудачу на таких данных, пока данные не будут сгруппированы подходящим образом. Зато алгоритмы кластерного анализа способны заметить микрокластеры, образованные таким поведением^[5].

Существует широкий набор категорий техник выявления аномалий^[6]. Техника выявления аномалий без учителя обнаруживает аномалии в непомеченных наборах тестовых данных при предположении, что большая часть набора данных нормальна, путём поиска представителей, которые меньше подходят к остальному набору данных. Техника выявления аномалий с учителем требует предоставления данных, помеченных как «нормальные» и «ненормальные», и использует обучение классификатора (ключевое отличие от многих других задач классификации заключается в неотъемлемой несбалансированной природе выявления выбросов). Техника выявления аномалий с частичным учителем строит модель, представляющую нормальное поведение из заданного набора нормального тренировочного набора, а затем проверяет правдоподобие полученной модели.

Приложения

Выявление аномалий применимо к широкому кругу областей, таких как система обнаружения вторжений, обнаружение мошенничества, обнаружение неисправностей, мониторинга здоровья, обнаружение событий в сетях датчиков и обнаружение нарушений в экологической сфере. Часто выявление аномалий используется для предварительной обработки данных с целью удаления аномалий. При обучении с учителем удаление аномальных данных из набора часто приводит к существенному статистическому увеличению точности^[7]^[8].

Приложение к защите данных

Выявление аномалий предложила для систем обнаружения вторжений Дороти Деннинг в 1986 году^[31]. Выявление аномалий для систем обнаружения вторжений обычно выполняется с заданием порога и статистики, но может быть сделано с помощью мягких вычислений и индуктивного обучения^[32]. Типы статистики, предлагавшиеся в 1999 году, включали профили пользователей, рабочих станций, сетей, удалённых узлов, групп пользователей и программ, основанных на частотах, средних и дисперсиях^[33]. Эквивалентом выявления аномалий в обнаружении вторжений является обнаружение злонамеренного использования^[англ.].

Программное обеспечение

ELKI^[англ.] является комплектом инструментов с открытым кодом на языке Java для анализа данных, который содержит некоторые алгоритмы выявления аномалий, а также ускорители на основе индексов для них.

Примечания

↑ Zimek, Schubert, 2017, с. 1–5.
↑ Varun Chandola, Arindam Banerjee, Vipin Kumar. Anomaly detection: A survey (англ.) // ACM Computing Surveys. — 2009-07. — Vol. 41, iss. 3. — P. 1–58. — ISSN 0360-0300. — doi:10.1145/1541880.1541882.
↑ Douglas M. Hawkins. Identification of outliers. — London ; New York: Chapman and Hall, 1980. — 188 с. — (Monographs on applied probability and statistics). — ISBN 978-0-412-21900-9.
↑ Vic Barnett, Toby Lewis. Outliers in statistical data. — Repr. — Chichester: Wiley, 1980. — 365 с. — (Wiley series in probability and mathematical statistics Applied probability and statistics). — ISBN 978-0-471-99599-9.
↑ Dokas, Ertoz, Kumar и др., 2002.
↑ Chandola, Banerjee, Kumar, 2009, с. 1–58.
↑ Tomek, 1976, с. 448–452.
↑ Smith, Martinez, 2011, с. 2690.
↑ Zimek, Filzmoser, 2018, с. e1280.
↑ Knorr, Ng, Tucakov, 2000, с. 237–253.
↑ Ramaswamy, Rastogi, Shim, 2000, с. 427.
↑ Angiulli, Pizzuti, 2002, с. 15.
↑ Breunig, Kriegel, Ng, Sander, 2000, с. 93–104.
↑ Liu, Ting, Zhou, 2008, с. 413–422.
↑ Schubert, Zimek, Kriegel, 2012, с. 190–237.
↑ Kriegel, Kröger, Schubert, Zimek, 2009, с. 831.
↑ Kriegel, Kroger, Schubert, Zimek, 2012, с. 379.
↑ Zimek, Schubert, Kriegel, 2012, с. 363–387.
↑ Schölkopf, Platt, Shawe-Taylor, Smola, Williamson, 2001, с. 1443–71.
↑ ¹ ² ³ Hawkins, He, Williams, Baxter, 2002, с. 170–180.
↑ He, Xu, Deng, 2003, с. 1641–1650.
↑ Campello, Moulavi, Zimek, Sander, 2015, с. 5:1–51.
↑ Lazarevic, Kumar, 2005, с. 157–166.
↑ Nguyen, Ang, Gopalkrishnan, 2010, с. 368.
↑ Kriegel, Kröger, Schubert, Zimek, 2011, с. 13–24.
↑ Schubert, Wojdanowski, Zimek, Kriegel, 2012, с. 1047–1058.
↑ Zimek, Campello, Sander (1), 2014, с. 11–22.
↑ Zimek, Campello, Sander (2), 2014, с. 1.
↑ Campos, Zimek, Sander и др., 2016, с. 891.
↑ См. наборы данных ниже
↑ Denning, 1987, с. 222–232.
↑ Teng, Chen, Lu, 1990, с. 278–284.
↑ Jones, Sielken, 1999.

Литература

Arthur Zimek, Erich Schubert. Outlier Detection // Encyclopedia of Database Systems. — Springer New York, 2017. — ISBN 9781489979933. — doi:10.1007/978-1-4899-7993-3_80719-1.
Hodge V. J., Austin J. A Survey of Outlier Detection Methodologies // Artificial Intelligence Review. — 2004. — Т. 22, вып. 2. — doi:10.1007/s10462-004-4304-y.
Paul Dokas, Levent Ertoz, Vipin Kumar, Aleksandar Lazarevic, Jaideep Srivastava, Pang-Ning Tan. Data mining for network intrusion detection // Proceedings NSF Workshop on Next Generation Data Mining. — 2002.
Chandola V., Banerjee A., Kumar V. Anomaly detection: A survey // ACM Computing Surveys. — 2009. — Т. 41, вып. 3. — doi:10.1145/1541880.1541882.
Ivan Tomek. An Experiment with the Edited Nearest-Neighbor Rule // IEEE Transactions on Systems, Man, and Cybernetics. — 1976. — Т. 6, вып. 6. — doi:10.1109/TSMC.1976.4309523.
Smith M. R., Martinez T. Improving classification accuracy by identifying and removing instances that should be misclassified // The 2011 International Joint Conference on Neural Networks. — 2011. — ISBN 978-1-4244-9635-8. — doi:10.1109/IJCNN.2011.6033571.
Arthur Zimek, Peter Filzmoser. There and back again: Outlier detection between statistical reasoning and data mining algorithms // Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery. — 2018. — Т. 8, вып. 6. — ISSN 19424787. — doi:10.1002/widm.1280.
Knorr E. M., Ng R. T., Tucakov V. Distance-based outliers: Algorithms and applications // The VLDB Journal the International Journal on Very Large Data Bases. — 2000. — Т. 8, вып. 3–4. — doi:10.1007/s007780050006.
Ramaswamy S., Rastogi R., Shim K. Efficient algorithms for mining outliers from large data sets // Proceedings of the 2000 ACM SIGMOD international conference on Management of data – SIGMOD '00. — 2000. — ISBN 1-58113-217-4. — doi:10.1145/342009.335437.
Angiulli F., Pizzuti C. Fast Outlier Detection in High Dimensional Spaces // Principles of Data Mining and Knowledge Discovery. — 2002. — Т. 2431. — (Lecture Notes in Computer Science). — ISBN 978-3-540-44037-6. — doi:10.1007/3-540-45681-3_2.
Breunig M. M., Kriegel H.-P., Ng R. T., Sander J. LOF: Identifying Density-based Local Outliers // Proceedings of the 2000 ACM SIGMOD International Conference on Management of Data. — 2000. — (SIGMOD). — ISBN 1-58113-217-4. — doi:10.1145/335191.335388.
Fei Tony Liu, Kai Ming Ting, Zhi-Hua Zhou. Isolation Forest // 2008 Eighth IEEE International Conference on Data Mining. — 2008. — ISBN 9780769535029. — doi:10.1109/ICDM.2008.17.
Schubert E., Zimek A., Kriegel H. -P. Local outlier detection reconsidered: A generalized view on locality with applications to spatial, video, and network outlier detection // Data Mining and Knowledge Discovery. — 2012. — Т. 28. — doi:10.1007/s10618-012-0300-z.
Kriegel H. P., Kröger P., Schubert E., Zimek A. Outlier Detection in Axis-Parallel Subspaces of High Dimensional Data // Advances in Knowledge Discovery and Data Mining. — 2009. — Т. 5476. — (Lecture Notes in Computer Science). — ISBN 978-3-642-01306-5. — doi:10.1007/978-3-642-01307-2_86.
Kriegel H. P., Kroger P., Schubert E., Zimek A. Outlier Detection in Arbitrarily Oriented Subspaces // 2012 IEEE 12th International Conference on Data Mining. — 2012. — ISBN 978-1-4673-4649-8. — doi:10.1109/ICDM.2012.21.
Zimek A., Schubert E., Kriegel H.-P. A survey on unsupervised outlier detection in high-dimensional numerical data // Statistical Analysis and Data Mining. — 2012. — Т. 5, вып. 5. — doi:10.1002/sam.11161.
Schölkopf B., Platt J. C., Shawe-Taylor J., Smola A. J., Williamson R. C. Estimating the Support of a High-Dimensional Distribution // Neural Computation. — 2001. — Т. 13, вып. 7. — doi:10.1162/089976601750264965. — PMID 11440593.
Simon Hawkins, Hongxing He, Graham Williams, Rohan Baxter. Outlier Detection Using Replicator Neural Networks // Data Warehousing and Knowledge Discovery. — 2002. — Т. 2454. — (Lecture Notes in Computer Science). — ISBN 978-3-540-44123-6. — doi:10.1007/3-540-46145-0_17.
He Z., Xu X., Deng S. Discovering cluster-based local outliers // Pattern Recognition Letters. — 2003. — Т. 24, вып. 9–10. — doi:10.1016/S0167-8655(03)00003-5.
Campello R. J. G. B., Moulavi D., Zimek A., Sander J. Hierarchical Density Estimates for Data Clustering, Visualization, and Outlier Detection // ACM Transactions on Knowledge Discovery from Data. — 2015. — Т. 10, вып. 1. — doi:10.1145/2733381.
Lazarevic A., Kumar V. Feature bagging for outlier detection // Proc. 11th ACM SIGKDD International Conference on Knowledge Discovery in Data Mining. — 2005. — ISBN 978-1-59593-135-1. — doi:10.1145/1081870.1081891.
Nguyen H. V., Ang H. H., Gopalkrishnan V. Mining Outliers with Ensemble of Heterogeneous Detectors on Random Subspaces // Database Systems for Advanced Applications. — 2010. — Т. 5981. — (Lecture Notes in Computer Science). — ISBN 978-3-642-12025-1. — doi:10.1007/978-3-642-12026-8_29.
Kriegel H. P., Kröger P., Schubert E., Zimek A. Interpreting and Unifying Outlier Scores // Proceedings of the 2011 SIAM International Conference on Data Mining. — 2011. — ISBN 978-0-89871-992-5. — doi:10.1137/1.9781611972818.2.
Schubert E., Wojdanowski R., Zimek A., Kriegel H. P. On Evaluation of Outlier Rankings and Outlier Scores // Proceedings of the 2012 SIAM International Conference on Data Mining. — 2012. — ISBN 978-1-61197-232-0. — doi:10.1137/1.9781611972825.90.
Zimek A., Campello R. J. G. B., Sander J. R. Ensembles for unsupervised outlier detection // ACM SIGKDD Explorations Newsletter. — 2014. — Т. 15. — doi:10.1145/2594473.2594476.
Zimek A., Campello R. J. G. B., Sander J. R. Data perturbation for outlier detection ensembles // Proceedings of the 26th International Conference on Scientific and Statistical Database Management – SSDBM '14. — 2014. — ISBN 978-1-4503-2722-0. — doi:10.1145/2618243.2618257.
Guilherme O. Campos, Arthur Zimek, Jörg Sander, Ricardo J. G. B. Campello, Barbora Micenková, Erich Schubert, Ira Assent, Michael E. Houle. On the evaluation of unsupervised outlier detection: measures, datasets, and an empirical study // Data Mining and Knowledge Discovery. — 2016. — Т. 30, вып. 4. — ISSN 1384-5810. — doi:10.1007/s10618-015-0444-8.
Denning D. E. An Intrusion-Detection Model // IEEE Transactions on Software Engineering. — 1987. — Т. SE-13, вып. 2. — doi:10.1109/TSE.1987.232894.
Teng H. S., Chen K., Lu S. C. Adaptive real-time anomaly detection using inductively generated sequential patterns // Proceedings of the IEEE Computer Society Symposium on Research in Security and Privacy. — 1990. — ISBN 978-0-8186-2060-7. — doi:10.1109/RISP.1990.63857.
Anita K. Jones, Robert S. Sielken. Computer System Intrusion Detection: A Survey // Technical Report, Department of Computer Science,. — University of Virginia, Charlottesville, VA, 1999.
Hawkins, Douglas M. (1980). Identification of Outliers. Springer. ISBN 978-0-412-21900-9. OCLC 6912274.

Ссылки

Архив данных для сравнения алгоритмов выявления аномалий Мюнхенского университета; Зеркало в Университете Сан-Паулу.
ODDS — ODDS: Большая коллекция публично доступных наборов данных для выявления выбросов с реальными ситуациями в различных областях.

[_c7b7b6b399fb8286-1] Zimek, Schubert, 2017, с. 1–5.

[2] Varun Chandola, Arindam Banerjee, Vipin Kumar. Anomaly detection: A survey (англ.) // ACM Computing Surveys. — 2009-07. — Vol. 41, iss. 3. — P. 1–58. — ISSN 0360-0300. — doi:10.1145/1541880.1541882.

[3] Douglas M. Hawkins. Identification of outliers. — London ; New York: Chapman and Hall, 1980. — 188 с. — (Monographs on applied probability and statistics). — ISBN 978-0-412-21900-9.

[4] Vic Barnett, Toby Lewis. Outliers in statistical data. — Repr. — Chichester: Wiley, 1980. — 365 с. — (Wiley series in probability and mathematical statistics Applied probability and statistics). — ISBN 978-0-471-99599-9.

[_f7f77f36b35bf1e6-5] Dokas, Ertoz, Kumar и др., 2002.

[_2bb8473c819b1825-6] Chandola, Banerjee, Kumar, 2009, с. 1–58.

[_02b4f3c949a9cfb4-7] Tomek, 1976, с. 448–452.

[_47a21eb0e68e2f03-8] Smith, Martinez, 2011, с. 2690.

[_a721fc496b0a7879-9] Zimek, Filzmoser, 2018, с. e1280.

[_99f3c8474f2d68aa-10] Knorr, Ng, Tucakov, 2000, с. 237–253.

[_53eed5557d55f478-11] Ramaswamy, Rastogi, Shim, 2000, с. 427.

[_480ead36710c3997-12] Angiulli, Pizzuti, 2002, с. 15.

[_b6cff7a39458910a-13] Breunig, Kriegel, Ng, Sander, 2000, с. 93–104.

[_f1d7325d6880bb90-14] Liu, Ting, Zhou, 2008, с. 413–422.

[_adb26bb636b1eaea-15] Schubert, Zimek, Kriegel, 2012, с. 190–237.

[_644f2d67720610c3-16] Kriegel, Kröger, Schubert, Zimek, 2009, с. 831.

[_87b1901eb61f827a-17] Kriegel, Kroger, Schubert, Zimek, 2012, с. 379.

[_50199a7aa22cbd62-18] Zimek, Schubert, Kriegel, 2012, с. 363–387.

[_27b34d13904e464a-19] Schölkopf, Platt, Shawe-Taylor, Smola, Williamson, 2001, с. 1443–71.

[_56f61474a6f580c3-20] ¹ ² ³ Hawkins, He, Williams, Baxter, 2002, с. 170–180.

[_c84be0b4b999ef47-21] He, Xu, Deng, 2003, с. 1641–1650.

[_50271da0ae8bd217-22] Campello, Moulavi, Zimek, Sander, 2015, с. 5:1–51.

[_3a0dc4be7e141702-23] Lazarevic, Kumar, 2005, с. 157–166.

[_32fdbf8b7f5b04b2-24] Nguyen, Ang, Gopalkrishnan, 2010, с. 368.

[_0029e6818b4ec53d-25] Kriegel, Kröger, Schubert, Zimek, 2011, с. 13–24.

[_07a57a73e19a770e-26] Schubert, Wojdanowski, Zimek, Kriegel, 2012, с. 1047–1058.

[_3b421380e9b076d7-27] Zimek, Campello, Sander (1), 2014, с. 11–22.

[_3ca53b0296e1d238-28] Zimek, Campello, Sander (2), 2014, с. 1.

[_08cf4fbb364d4d07-29] Campos, Zimek, Sander и др., 2016, с. 891.

[30] См. наборы данных ниже

[_04d42370ef8d5b01-31] Denning, 1987, с. 222–232.

[_074defcece69d04b-32] Teng, Chen, Lu, 1990, с. 278–284.

[_2aa6ef60da7e7b99-33] Jones, Sielken, 1999.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]