Ненаблюдаемое обнаружение аномалий – набор данных с несколькими пользователями

Содержание

Вопрос или проблема
Ответ или решение
Анализ задачи
Подходы к решению
Рекомендации по реализации
Заключение

Вопрос или проблема

Я запутался, как подойти к этой проблеме.

Я пытаюсь реализовать модель без учителя, используя набор данных, который по сути является файлом журнала. Этот набор данных содержит различные характеристики, но самое важное, у него есть колонка, идентифицирующая человека, который “создал” запись в журнале. Также он содержит такие характеристики, как отметка времени и другие относительно этого конкретного события.

Я хочу иметь возможность определить, является ли образец аномалией для этого конкретного человека. Так что, хотя набор данных может содержать любое количество людей, если человек A что-то делает, я хочу сравнить это с предыдущими событиями человека A, а не со всем набором образцов.

Ответ может быть очевидным, но я просто зашел в тупик.

Хотя я мог бы просто создать модель для каждого человека, это кажется несколько глупым. Тем не менее, это может быть самым простым вариантом — натренировать отдельную модель для каждого человека, а затем просто загружать соответствующую модель, когда появляется образец.

Я не знаю, я застрял. Пожалуйста, помогите.

Для стратегии, которая рассматривает каждую “группу” (в вашем случае человека) как независимую, действительно проще всего создать одну модель на группу, каждую с собственным набором параметров.

Ответ или решение

Введение в вопрос аномального обнаружения в данных различных пользователей требует тщательной проработки стратегии, особенно когда речь идет о несупервайзинговом подходе. Эта задача подразумевает анализ журнала событий, где каждый экземпляр относится к конкретному пользователю и содержит данные, такие как временные метки и другие характеристики события. Основная цель состоит в выявлении аномалий для каждого пользователя на индивидуальной основе.

Анализ задачи

На первый взгляд, создание отдельной модели для каждого пользователя может показаться громоздким и неэффективным. Однако, фактически это логичный подход, особенно если данные одного пользователя не сопоставимы с данными другого. Тем не менее, существует несколько подходов, которые помогут оптимизировать этот процесс.

Подходы к решению

Разделение и конкредизация моделей:
- Модели для каждого пользователя: Построение отдельных моделей для каждого пользователя, которые адаптированы к особенностям их данных, может быть реализовано с помощью автоматизированных скриптов. Это минимизирует время ручной настройки и поддерживает специфичность анализа.
- Параметризируемые модели: Использование общей модели с параметризацией на основе данных пользователей, где модель использует данные пользователя для формирования уникальных параметров, способных выявлять их аномалии.
Использование кластеров:
- Кластеризация: Группировка пользователей по схожести их поведения с помощью алгоритмов кластеризации. Это позволит использовать меньший набор моделей, при этом учитывая схожие особенности пользователей внутри кластера.
- Поведенческие паттерны: Анализ и выделение общих паттернов поведения внутри кластеров, что позволяет выявлять отклонения от нормы.
Изучение временных рядов:
- Рекуррентные нейронные сети и автокодировщики: Для анализа временных зависимостей в данных, таких как временные метки событий, могут быть применены модели рекурентных нейронных сетей или автокодировщики для выявления аномалий.

Заключение

Подход к обнаружению аномалий в данных, специфичным для каждого пользователя, требует баланса между индивидуальной кастомизацией и масштабируемостью. Используйте стратегии, которые позволят сохранять уникальность анализа каждого пользователя, при этом минимизируя издержки времени и ресурсов. Выбор подходящего метода будет зависеть от объемов данных, их структуры и возможностей автоматизации процессов моделирования.