Перейти к содержимому
Назад в блог
ИИ28 февраля 202610 мин

Новые подходы к обнаружению аномалий: многомерный анализ

Многомерное обнаружение аномалий на основе Isolation Forest, Autoencoder и LSTM: корреляционный анализ за пределами одномерных пороговых подходов.

ASTO TECH Muhandislik Jamoasi

Что такое многомерное обнаружение аномалий?

Многомерное обнаружение аномалий — это процесс моделирования одновременного поведения нескольких датчиков или признаков с целью выявления моментов, когда система отклоняется от «нормального» состояния. Вместо сравнения одной переменной с пороговым значением метод изучает паттерны корреляций между переменными и помечает точки, в которых эти паттерны нарушаются.

Chandola et al. (2009) классифицируют аномалии по трём парадигмам: точечные аномалии (одиночное наблюдение принимает экстремальное значение), контекстуальные аномалии (значения, ненормальные только в определённом контексте), и коллективные аномалии (наблюдения, нормальные по отдельности, но образующие аномальный паттерн в совокупности). Многомерные системы предназначены прежде всего для обнаружения коллективных аномалий — что делает их незаменимыми для промышленного мониторинга (Chandola et al., 2009).

Aggarwal (2017) определяет фундаментальную сложность обнаружения аномалий в многомерном пространстве как «проклятие размерности»: по мере роста числа переменных евклидово расстояние теряет смысл, плотностные методы редеют, а интуитивные пороги перестают работать. Поэтому масштабируемые алгоритмы, устойчивые к высокой размерности, приобретают критическое значение.

---

Почему однопеременный пороговый подход недостаточен?

Классические системы мониторинга задают отдельный порог для каждой метрики: предупреждать при превышении загрузки ЦПУ 90%, отправлять тревогу при потере пакетов свыше 5%. Такой подход упрощает управление, однако пропускает подавляющее большинство реальных отказов.

Причина проста: сбои в сложных системах редко проявляются как выход одной метрики за экстремальное значение. Более распространённый сценарий — несколько метрик совместно образуют необычный паттерн. Например, в AV-проекторе скорость вентилятора может увеличиться на 10%, внутренняя температура — подняться на 3°C, а частота ошибок разрешения — возрасти на 0,8%. Ни один из этих показателей по отдельности не активирует порог, однако одновременный дрейф всех трёх является ранним признаком термического отказа.

Многомерные подходы устраняют эту проблему: поскольку модель изучает целостный паттерн, она остаётся нечувствительной к мимолётным колебаниям отдельных метрик, сохраняя при этом чувствительность к реальным нарушениям корреляций.

---

Как работает алгоритм Isolation Forest?

Isolation Forest (Liu et al., 2008) рассматривает обнаружение аномалий не как задачу классификации, а как задачу изоляции. Ключевая интуиция: аномалии немногочисленны и отчётливо отличаются от нормальных наблюдений, поэтому они изолируются за меньшее число разбиений в деревьях случайного разбиения.

Алгоритм выполняет следующие шаги:

  1. Из набора данных случайным образом выбирается признак.
  2. Между минимальным и максимальным значениями этого признака случайно выбирается точка разбиения.
  3. Процесс рекурсивно повторяется для построения дерева изоляции (iTree).
  4. После построения множества деревьев для каждой точки данных вычисляется средняя глубина изоляции.
  5. Точки с малой глубиной помечаются как аномалии.

Оценка аномалии нормализуется по формуле:

s(x, n) = 2^(-E(h(x)) / c(n))

где E(h(x)) — средняя длина пути, c(n) — ожидаемая длина пути двоичного дерева поиска размером n. Оценка, приближающаяся к 1, свидетельствует о высокой вероятности аномалии.

Критическим преимуществом Isolation Forest в многомерных условиях является линейная временная сложность O(n) и относительная устойчивость к проклятию размерности. Liu et al. (2008) показали в сравнениях ROC-AUC, что Isolation Forest превосходит LOF (Local Outlier Factor) и One-Class SVM на многих наборах данных.

Практическая реализация для многомерного мониторинга AV:

```python from sklearn.ensemble import IsolationForest import numpy as np

# Данные датчиков: [скорость_вентилятора, температура, ошибка_разрешения, задержка_сигнала] X = np.load("av_sensor_data.npy")

clf = IsolationForest( n_estimators=200, contamination=0.02, # ожидаемая доля аномалий max_features=1.0, random_state=42 ) clf.fit(X) scores = clf.decision_function(X) # отрицательное = аномальное labels = clf.predict(X) # -1 = аномалия, 1 = норма ```

---

Как выполняется обнаружение аномалий на основе автокодировщика?

Автокодировщик — это архитектура нейронной сети, которая кодирует входные данные в сжатое латентное представление и затем восстанавливает входные данные из этого представления. Обучение проводится исключительно на нормальных данных; аномалии производят высокую ошибку реконструкции при выводе, поскольку модель никогда их не видела.

Sakurada и Yairi (2014) показали, что автокодировщики имеют очевидные преимущества перед линейным PCA при обнаружении аномалий в высокомерных нелинейных данных. При превышении ошибки реконструкции порога система поднимает флаг аномалии.

Автокодировщики на основе LSTM (Hochreiter & Schmidhuber, 1997) особенно эффективны для захвата временных зависимостей в данных временных рядов:

```python from tensorflow.keras.models import Model from tensorflow.keras.layers import Input, LSTM, RepeatVector, TimeDistributed, Dense

timesteps = 30 # 30-секундное окно n_features = 8 # количество датчиков

inputs = Input(shape=(timesteps, n_features)) encoded = LSTM(32, activation='relu')(inputs) repeated = RepeatVector(timesteps)(encoded) decoded = LSTM(32, activation='relu', return_sequences=True)(repeated) outputs = TimeDistributed(Dense(n_features))(decoded)

autoencoder = Model(inputs, outputs) autoencoder.compile(optimizer='adam', loss='mse') # Обучение только на нормальных данных: autoencoder.fit(X_train_normal, X_train_normal, epochs=50, batch_size=64) ```

На этапе вывода для каждого окна вычисляется MSE; при превышении заранее установленного процентильного порога сообщается об аномалии.

---

Как реализуется многомерный мониторинг в реальном времени?

Реализация в реальном времени состоит из трёх уровней:

1. Уровень приёма данных: Данные датчиков собираются через MQTT или Kafka. Для каждого устройства задаётся отдельный топик; сообщения дополняются метками времени и идентификаторами устройств. Здесь выполняются проверки качества данных: интерполяция пропущенных значений, фильтрация выбросов.

2. Уровень вывода: Обученная модель (Isolation Forest или LSTM Autoencoder) разворачивается как микросервис. Каждое поступающее окно (например, скользящее окно в 30 секунд) поступает в модель; оценки аномалий вычисляются в реальном времени. Вывод модели интерпретируется механизмом бизнес-правил в деловом контексте — например, аномалия в нерабочее время может получить иной приоритет.

3. Уровень оповещения и реагирования: После подтверждения аномалии с помощью SHAP или аналогичного инструмента объяснимости перечисляются инициирующие признаки, затем команде технического обслуживания отправляется уведомление. Такой дизайн предотвращает высокий уровень ложных срабатываний и поддерживает доверие операторов (Aggarwal, 2017).

По задержке: вывод Isolation Forest занимает типично <5 мс, LSTM Autoencoder с GPU — <20 мс; оба значения достаточны для мониторинга AV и производства в реальном времени.

---

Список литературы

  • Liu, F. T., Ting, K. M., & Zhou, Z. H. (2008). Isolation Forest. *Proceedings of the 8th IEEE International Conference on Data Mining (ICDM)*, 413–422.
  • Chandola, V., Banerjee, A., & Kumar, V. (2009). Anomaly Detection: A Survey. *ACM Computing Surveys*, 41(3), 1–58.
  • Aggarwal, C. C. (2017). Outlier Analysis (2nd ed.). Springer.
  • Sakurada, M., & Yairi, T. (2014). Anomaly Detection Using Autoencoders with Nonlinear Dimensionality Reduction. *Proceedings of the MLSDA Workshop*, 4–11.
  • Hochreiter, S., & Schmidhuber, J. (1997). Long Short-Term Memory. *Neural Computation*, 9(8), 1735–1780.

---

Часто задаваемые вопросы

Можно ли использовать Isolation Forest и LSTM Autoencoder совместно? Да. В гибридных подходах Isolation Forest выступает быстрым первичным фильтром, а LSTM Autoencoder — вторым уровнем глубокого временного анализа. Если первый этап присваивает низкую оценку аномалии, окно не передаётся на второй этап, снижая задержку и вычислительные затраты.

Как следует устанавливать порог аномалии? Вычислите 95-й или 99-й процентиль по ошибкам реконструкции в обучающем наборе. Настройте процентиль в соответствии с допустимым уровнем ложных срабатываний и чувствительностью обнаружения. Chandola et al. (2009) рекомендуют оценивать этот компромисс с помощью кривой Precision-Recall.

Какой объём данных необходим для многомерного обнаружения аномалий? Для Isolation Forest достаточно нескольких тысяч нормальных наблюдений. Для LSTM Autoencoder рекомендуется не менее 2–4 недель непрерывных данных датчиков (приблизительно 60 000–120 000 строк при 30-секундной дискретизации); это обеспечивает охват сезонности и суточных циклов нормального поведения.

Как снизить уровень ложных срабатываний? Вместо прямого преобразования вывода модели в оповещения следует добавить уровень механизма правил. Например, оповещение запускается только в том случае, если порог оценки аномалии превышен в 3 последовательных окнах от одного устройства; единичные отклонения молча фиксируются в журнале. Такой дизайн поддерживает доверие операторов и позволяет команде технического обслуживания избегать усталости от оповещений.

Назад в блог