Kako umjetna inteligencija otkriva anomalije?

Kako umjetna inteligencija otkriva anomalije?

Detekcija anomalija je tihi junak operacija s podacima - detektor dima koji šapuće prije nego što se stvari zapale.

Jednostavno rečeno: umjetna inteligencija uči kako izgleda „približno normalno“, daje novim događajima ocjenu anomalije , a zatim odlučuje hoće li pozvati čovjeka (ili automatski blokirati stvar) na temelju praga . Problem je u tome kako definirate „približno normalno“ kada su vaši podaci sezonski, neuredni, nepredvidivi i povremeno vas lažu. [1]

Članci koje biste možda željeli pročitati nakon ovog:

🔗 Zašto umjetna inteligencija može biti štetna za društvo
Ispituje etičke, ekonomske i društvene rizike široko rasprostranjenog usvajanja umjetne inteligencije.

🔗 Koliko vode zapravo koriste AI sustavi
Objašnjava hlađenje podatkovnih centara, zahtjeve za obukom i utjecaj vode na okoliš.

🔗 Što je skup podataka umjetne inteligencije i zašto je važan
Definira skupove podataka, označavanje, izvore i njihovu ulogu u performansama modela.

🔗 Kako umjetna inteligencija predviđa trendove iz složenih podataka.
Obuhvaća prepoznavanje uzoraka, modele strojnog učenja i primjenu u predviđanju u stvarnom svijetu.

„Kako umjetna inteligencija otkriva anomalije?“ 

Dobar odgovor trebao bi činiti više od samog nabrajanja algoritama. Trebao bi objasniti mehaniku i kako izgleda kada se primijeni na stvarne, nesavršene podatke. Najbolja objašnjenja:

  • Prikažite osnovne sastojke: značajke , početne vrijednosti , rezultate i pragove . [1]

  • Kontrastne praktične obitelji: udaljenost, gustoća, jedna klasa, izolacija, probabilizam, rekonstrukcija. [1]

  • Rješavanje specifičnosti vremenskih serija: „normalno“ ovisi o dobu dana, danu u tjednu, izdanjima i praznicima. [1]

  • Tretirajte evaluaciju kao pravo ograničenje: lažni alarmi nisu samo dosadni - oni uništavaju povjerenje. [4]

  • Uključite interpretabilnost + uključenost čovjeka, jer „čudno je“ nije temeljni uzrok. [5]

Osnovni mehanizmi: Osnovne vrijednosti, rezultati, pragovi 🧠

Većina anomalnih sustava - otmjenih ili ne - svodi se na tri pokretna dijela:

1) Reprezentacija (tj. ono što model vidi )

Sirovi signali rijetko su dovoljni. Ili se konstruiraju značajke (pomicanje statistike, omjeri, kašnjenja, sezonske delte) ili se uče reprezentacije (ugrađivanja, podprostori, rekonstrukcije). [1]

2) Bodovanje (tj. koliko je ovo "čudno"?)

Uobičajene ideje za bodovanje uključuju:

  • Na temelju udaljenosti : daleko od susjeda = sumnjivo. [1]

  • Na temelju gustoće : niska lokalna gustoća = sumnjivo (LOF je tipičan primjer). [1]

  • Granice jedne klase : naučite „normalno“, označite ono što je izvan toga. [1]

  • Probabilistički : mala vjerojatnost prema prilagođenom modelu = sumnjivo. [1]

  • Pogreška rekonstrukcije : ako model obučen na normalnom načinu rada ne može biti obnovljen, vjerojatno je neispravan. [1]

3) Prag (tj. kada zvoniti)

Pragovi mogu biti fiksni, kvantilni, po segmentu ili osjetljivi na troškove - ali trebali bi biti kalibrirani prema proračunima za upozorenja i troškovima naknadne obrade, a ne prema vibracijama. [4]

Jedan vrlo praktičan detalj: scikit-learn detektori outliera/novosti otkrivaju sirove rezultate , a zatim primjenjuju prag (često kontroliran pretpostavkom o kontaminaciji) kako bi pretvorili rezultate u odluke o inlierima/outlierima. [2]

Brze definicije koje sprječavaju bol kasnije 🧯

Dvije razlike koje vas spašavaju od suptilnih pogrešaka:

  • Detekcija outliera : vaši podaci za obuku mogu već sadržavati outliere; algoritam svejedno pokušava modelirati „gusto normalno područje“.

  • Detekcija novosti : pretpostavlja se da su podaci za učenje čisti; procjenjujete odgovaraju li nova opažanja naučenom normalnom obrascu. [2]

Također: otkrivanje novosti često se definira kao klasifikacija jedne klase - modeliranje normalnog jer su abnormalni primjeri rijetki ili nedefinirani. [1]

 

AI anomalije, greške

Nenadzirani radni konji koje ćete stvarno koristiti 🧰

Kada su oznake rijetke (što je u osnovi uvijek), ovo su alati koji se pojavljuju u stvarnim cjevovodima:

  • Izolacijska šuma : snažna zadana vrijednost u mnogim tabličnim slučajevima, široko korištena u praksi i implementirana u scikit-learn. [2]

  • Jednoklasni SVM : može biti učinkovit, ali je osjetljiv na podešavanje i pretpostavke; scikit-learn eksplicitno ističe potrebu za pažljivim podešavanjem hiperparametara. [2]

  • Lokalni faktor outliera (LOF) : klasično bodovanje na temelju gustoće; izvrsno kada „normalno“ nije uredna mrlja. [1]

Praktična stvar koju timovi ponovno otkrivaju tjedno: LOF se ponaša drugačije ovisno o tome radite li detekciju outliera na skupu za obuku u odnosu na detekciju novosti na novim podacima - scikit-learn čak zahtijeva novelty=True za sigurno postizanje neviđenih bodova. [2]

Robusna osnova koja i dalje funkcionira čak i kada su podaci nepouzdani 🪓

Ako ste u načinu razmišljanja „samo nam treba nešto što nas neće odvesti u zaborav“, robusna statistika je podcijenjena.

Modificirani z-rezultat koristi medijan i MAD (apsolutno odstupanje medijana) kako bi se smanjila osjetljivost na ekstremne vrijednosti. NIST-ov EDA priručnik dokumentira modificirani oblik z-rezultata i navodi uobičajeno korišteno pravilo "potencijalnog outliera" pri apsolutnoj vrijednosti iznad 3,5 . [3]

Ovo neće riješiti svaki problem anomalija - ali često je jaka prva linija obrane, posebno za metrike s visokim stupnjem šuma i praćenje u ranoj fazi. [3]

Stvarnost vremenskih serija: „Normalno“ ovisi o tome kada ⏱️📈

Anomalije vremenskih serija su nezgodne jer je kontekst cijela poanta: može se očekivati ​​skok u podne; isti skok u 3 ujutro može značiti da nešto gori. Mnogi praktični sustavi stoga modeliraju normalnost koristeći značajke koje su svjesne vremena (pomaci, sezonske delte, pomični prozori) i ocjenjuju odstupanja u odnosu na očekivani obrazac. [1]

Ako se sjećate samo jednog pravila: segmentirajte svoju osnovnu vrijednost (sat/dan/regija/razina usluge) prije nego što polovicu prometa proglasite „anomalnom“. [1]

Evaluacija: Zamka rijetkih događaja 🧪

Otkrivanje anomalija često je "traženje igle u plastu sijena", što evaluaciju čini neobičnom:

  • ROC krivulje mogu izgledati varljivo dobro kada su pozitivni rezultati rijetki.

  • Prikazi preciznog prisjećanja često su informativniji za neuravnotežene postavke jer se usredotočuju na performanse pozitivne klase. [4]

  • Operativno vam je potreban i proračun za upozorenja : koliko upozorenja na sat ljudi zapravo mogu trijažirati bez da se bijes smiri? [4]

Povratno testiranje kroz pomične prozore pomaže vam da uhvatite klasični način kvara: „radi izvrsno… na distribuciji prošlog mjeseca.“ [1]

Interpretabilnost i uzrok: Pokažite svoj rad 🪄

Upozoravanje bez objašnjenja je kao primanje misteriozne razglednice. Korisno, ali frustrirajuće.

Alati za interpretaciju mogu pomoći tako što će ukazati na to koje su značajke najviše doprinijele rezultatu anomalije ili davanjem objašnjenja u stilu „što bi se trebalo promijeniti da bi ovo izgledalo normalno?“. Interpretabilno strojno učenje je solidan, kritički vodič za uobičajene metode (uključujući atribucije u SHAP stilu) i njihova ograničenja. [5]

Cilj nije samo udobnost dionika - to je brža trijaža i manje ponovljenih incidenata.

Implementacija, pomicanje i petlje povratnih informacija 🚀

Modeli ne žive u slajdovima. Žive u cjevovodima.

Uobičajena priča o „prvom mjesecu u produkciji“: detektor uglavnom označava implementacije, serijsku obradu zadataka i nedostajuće podatke... što je i dalje korisno jer vas prisiljava da odvojite „incidente kvalitete podataka“ od „poslovnih anomalija“.

U praksi:

  • Pratite pomicanje i ponovno trenirajte/kalibrirajte kako se ponašanje mijenja. [1]

  • Zabilježite unesene rezultate + verziju modela kako biste mogli reproducirati zašto je nešto podijeljeno u stranice. [5]

  • Prikupljanje ljudskih povratnih informacija (korisna u odnosu na bučna upozorenja) za podešavanje pragova i segmenata tijekom vremena. [4]

Sigurnosni kut: IDS i analitika ponašanja 🛡️

Sigurnosni timovi često kombiniraju ideje o anomalijama s detekcijom temeljenom na pravilima: osnove za „normalno ponašanje hosta“, plus potpise i politike za poznate loše obrasce. NIST-ov SP 800-94 (Final) ostaje široko citirani okvir za razmatranja sustava za detekciju i sprječavanje upada; također se napominje da nacrt „Rev. 1“ iz 2012. nikada nije postao konačan i kasnije je povučen. [3]

Prijevod: koristite strojno učenje gdje pomaže, ali nemojte odbacivati ​​dosadna pravila - dosadna su jer funkcioniraju.

Tablica usporedbe: Popularne metode na prvi pogled 📊

Alat / Metoda Najbolje za Zašto to funkcionira (u praksi)
Robusni / modificirani z-vrijednosti Jednostavne metrike, brze osnovne vrijednosti Snažan prvi prolaz kada vam je potrebno „dovoljno dobro“ i manje lažnih alarma. [3]
Izolacijska šuma Tablične, mješovite značajke Čvrsta zadana implementacija i široko korištena u praksi. [2]
Jednoklasni SVM Kompaktne "normalne" regije Detekcija novosti na temelju granica; podešavanje je vrlo važno. [2]
Faktor lokalnog outliera Normale nalik mnogostrukosti Kontrast gustoće u odnosu na susjede uočava lokalnu neobičnost. [1]
Pogreška rekonstrukcije (npr. u stilu autoenkodera) Visokodimenzionalni uzorci Trenirajte na normalnom; velike pogreške u rekonstrukciji mogu ukazivati ​​na odstupanja. [1]

Šifra: počnite s robusnim osnovnim linijama + dosadnom nenadziranom metodom, a zatim dodajte složenost samo tamo gdje se isplati.

Mini priručnik: Od nule do upozorenja 🧭

  1. Definirajte „čudno“ operativno (latencija, rizik od prijevare, neispravan CPU, rizik zaliha).

  2. Započnite s osnovnom linijom (robustna statistika ili segmentirani pragovi). [3]

  3. Odaberite jedan nenadzirani model kao prvi prolaz (Izolacijska šuma / LOF / Jednoklasni SVM). [2]

  4. Postavite pragove s proračunom za uzbunu i procijenite razmišljanjem u PR stilu ako su pozitivni rezultati rijetki. [4]

  5. Dodajte objašnjenja + zapisivanje kako bi svako upozorenje bilo reproducibilno i da bi se u njemu mogla ispravljati greške. [5]

  6. Testiraj unatrag, isporuči, uči, ponovno kalibriraj - pomak je normalan. [1]

To apsolutno možeš napraviti za tjedan dana... pod pretpostavkom da tvoje vremenske oznake nisu zalijepljene ljepljivom trakom i nadom. 😅

Završne napomene - Predugo, nisam pročitao/la 🧾

Umjetna inteligencija otkriva anomalije učenjem praktične slike „normalnog“, bodovanjem odstupanja i označavanjem onoga što prelazi prag. Najbolji sustavi ne pobjeđuju time što su blještavi, već time što su kalibrirani : segmentirane osnovne linije, proračuni upozorenja, interpretabilni izlazi i povratna petlja koja bučne alarme pretvara u pouzdan signal. [1]

Reference

  1. Pimentel i dr. (2014.) - Pregled detekcije novosti (PDF, Sveučilište u Oxfordu) pročitajte više

  2. scikit-learn Dokumentacija - Detekcija novosti i outliera pročitajte više

  3. NIST/SEMATECH e-priručnik - Detekcija ekstremnih vrijednosti pročitajte više i NIST CSRC - SP 800-94 (konačno): Vodič za sustave za detekciju i sprječavanje upada (IDPS) pročitajte više

  4. Saito i Rehmsmeier (2015.) - Grafik preciznosti i prisjećanja informativniji je od ROC grafikona pri procjeni binarnih klasifikatora na neuravnoteženim skupovima podataka (PLOS ONE) pročitajte više

  5. Molnar - Interpretabilno strojno učenje (web knjiga) pročitajte više

Pronađite najnoviju umjetnu inteligenciju u službenoj trgovini AI Assistant

O nama

Natrag na blog