Si i zbulon anomalitë IA?

Si i zbulon anomalitë IA?

Zbulimi i anomalive është heroi i qetë i operacioneve të të dhënave - alarmi i tymit që pëshpërit përpara se gjërat të marrin flakë.

Thënë thjesht: IA mëson se si duket "normalja", u jep ngjarjeve të reja një pikëzim anomalie dhe më pas vendos nëse do të dërgojë një mesazh tek një njeri (apo ta bllokojë automatikisht atë) bazuar në një prag . Problemi qëndron në mënyrën se si e përcaktoni "normalen" kur të dhënat tuaja janë sezonale, të çrregullta, të luhatshme dhe herë pas here ju gënjejnë. [1]

Artikuj që mund t'ju pëlqejnë të lexoni pas këtij:

🔗 Pse IA mund të jetë e dëmshme për shoqërinë.
Shqyrton rreziqet etike, ekonomike dhe sociale të përdorimit të gjerë të IA-së.

🔗 Sa ujë përdorin në të vërtetë sistemet e inteligjencës artificiale.
Shpjegon ftohjen e qendrës së të dhënave, kërkesat për trajnim dhe ndikimin mjedisor në ujë.

🔗 Çfarë është një grup të dhënash i inteligjencës artificiale dhe pse ka rëndësi
Përcakton grupet e të dhënave, etiketimin, burimet dhe rolin e tyre në performancën e modelit.

🔗 Si i parashikon IA trendet nga të dhënat komplekse
Mbulon njohjen e modeleve, modelet e të mësuarit automatik dhe përdorimet e parashikimit në botën reale.

"Si i zbulon inteligjenca artificiale anomalitë?" 

Një përgjigje e mirë duhet të bëjë më shumë sesa thjesht të rendisë algoritmet. Duhet të shpjegojë mekanikën dhe si duken ato kur i aplikoni në të dhëna reale, të papërsosura. Shpjegimet më të mira:

  • Tregoni përbërësit bazë: karakteristikat , nivelet bazë , rezultatet dhe pragjet . [1]

  • Kontrastoni familjet praktike: distanca, dendësia, njëklasëshe, izolimi, probabilistika, rindërtimi. [1]

  • Trajtoni veçoritë e serive kohore: "normale" varet nga ora e ditës, dita e javës, publikimet dhe festat. [1]

  • Trajtojeni vlerësimin si një kufizim të vërtetë: alarmet e rreme nuk janë vetëm bezdisëse - ato djegin besimin. [4]

  • Përfshi interpretueshmërinë + ndërveprimin njerëzor, sepse "është e çuditshme" nuk është një shkak rrënjësor. [5]

Mekanika Thelbësore: Vijat Bazë, Rezultatet, Pragjet 🧠

Shumica e sistemeve të anomalive - të zbukuruara apo jo - përmblidhen në tre pjesë lëvizëse:

sheh modeli )

Sinjalet e papërpunuara rrallë mjaftojnë. Ju ose krijoni karakteristika (statistikat rrotulluese, raportet, vonesat, deltat sezonale) ose mësoni përfaqësime (ngulitje, nënhapësira, rindërtime). [1]

2) Vlerësimi i pikëve (domethënë: sa e “çuditshme” është kjo?)

Idetë e zakonshme të vlerësimit përfshijnë:

  • Bazuar në distancë : larg fqinjëve = dyshim. [1]

  • Bazuar në dendësi : dendësi e ulët lokale = dyshimtë (LOF është modeli kryesor). [1]

  • Kufijtë e një klase : mësoni "normale", shënoni atë që bie jashtë. [1]

  • Probabilistik : gjasa e ulët sipas një modeli të përshtatur = dyshimtë. [1]

  • Gabim rindërtimi : nëse një model i trajnuar në normalitet nuk mund ta rindërtojë atë, ndoshta është i gabuar. [1]

3) Pragu (i njohur edhe si: kur duhet të bjerë zilja)

Pragjet mund të jenë fikse, të bazuara në kuantile, për segment ose të ndjeshme ndaj kostos - por ato duhet të kalibrohen kundrejt buxheteve të alarmit dhe kostove të mëvonshme, jo kundrejt vibracioneve. [4]

Një detaj shumë praktik: detektorët e outlier/risi të scikit-learn ekspozojnë rezultate të papërpunuara dhe më pas aplikojnë një prag (shpesh të kontrolluar nëpërmjet një supozimi të stilit të kontaminimit) për të kthyer rezultatet në vendime të inlier/outlier. [2]

Përkufizime të Shpejta që Parandalojnë Dhimbjen Më Vonë 🧯

Dy dallime që ju shpëtojnë nga gabimet delikate:

  • Zbulimi i vlerave të jashtëzakonshme : të dhënat tuaja të trajnimit mund të përfshijnë tashmë vlera të jashtëzakonshme; algoritmi përpiqet të modelojë "rajonin e dendur normal" gjithsesi.

  • Zbulimi i risive : të dhënat e trajnimit supozohen të pastra; ju po gjykoni nëse e reja përputhen me modelin normal të mësuar. [2]

Gjithashtu: zbulimi i risisë shpesh përkufizohet si klasifikim me një klasë - duke modeluar normalen sepse shembujt anormalë janë të rrallë ose të padefinuar. [1]

 

Anomalitë e inteligjencës artificiale që po pësojnë defekte

Kuaj pune pa mbikëqyrje që do t'i përdorni vërtet 🧰

Kur etiketat janë të pakta (gjë që në thelb është gjithmonë), këto janë mjetet që shfaqen në tubacionet reale:

  • Izolation Forest : një parazgjedhje e fortë në shumë raste tabelare, e përdorur gjerësisht në praktikë dhe e zbatuar në scikit-learn. [2]

  • SVM me një klasë : mund të jetë efektive, por është e ndjeshme ndaj akordimit dhe supozimeve; scikit-learn thekson në mënyrë të qartë nevojën për akordim të kujdesshëm të hiperparametrave. [2]

  • Faktori Lokal i Jashtëzakonshëm (LOF) : vlerësimi klasik i bazuar në dendësi; i shkëlqyer kur "normale" nuk është një pikë e pastër. [1]

Një zgjidhje praktike që ekipet e rizbulojnë çdo javë: LOF sillet ndryshe në varësi të faktit nëse po bëni zbulimin e vlerave të jashtëzakonshme në grupin e trajnimit kundrejt zbulimit të risive në të dhëna të reja - scikit-learn madje kërkon që risia = e Vërtetë të shënojë pikë të padukshme në mënyrë të sigurt. [2]

Një bazë e fuqishme që funksionon ende kur të dhënat janë të paqëndrueshme 🪓

Nëse jeni në modalitetin "na duhet vetëm diçka që nuk na çon në harresë", statistikat e forta janë të nënvlerësuara.

Rezultati z i modifikuar përdor medianën dhe MAD (devijimi absolut mesatar) për të zvogëluar ndjeshmërinë ndaj vlerave ekstreme. Manuali EDA i NIST dokumenton formën e rezultatit z të modifikuar dhe vëren një rregull të përgjithshëm të "ekstraktit potencial" të përdorur zakonisht në një vlerë absolute mbi 3.5 . [3]

Kjo nuk do të zgjidhë çdo problem anomalie - por shpesh është një linjë e parë e fortë mbrojtjeje, veçanërisht për metrikat e zhurmshme dhe monitorimin në fazat e hershme. [3]

Realiteti i Serive Kohore: "Normalja" varet nga kur ⏱️📈

Anomalitë e serive kohore janë të ndërlikuara sepse konteksti është thelbi i çështjes: mund të pritet një rritje në mesditë; e njëjta rritje në orën 3 të mëngjesit mund të nënkuptojë se diçka është në zjarr. Prandaj, shumë sisteme praktike modelojnë normalitetin duke përdorur karakteristika të ndërgjegjshme për kohën (vonesa, delta sezonale, dritare rrotulluese) dhe shënojnë devijimet në lidhje me modelin e pritur. [1]

Nëse mbani mend vetëm një rregull: segmentoni nivelin tuaj bazë (orë/ditë/rajon/nivelin e shërbimit) përpara se të deklaroni gjysmën e trafikut tuaj "anormal". [1]

Vlerësimi: Kurthi i Ngjarjeve të Rralla 🧪

Zbulimi i anomalive shpesh është "gjilpërë në kashtë", gjë që e bën vlerësimin të çuditshëm:

  • Kurbat ROC mund të duken mashtrueshëm të mira kur pozitivet janë të rralla.

  • Pamjet me rikujtim preciz shpesh janë më informuese për cilësimet e pabalancuara sepse ato përqendrohen në performancën në klasën pozitive. [4]

  • Nga ana operative, ju nevojitet edhe një buxhet alarmi : sa alarme në orë mund të dallojnë njerëzit në të vërtetë pa e shuar zemërimin? [4]

Testimi i mëparshëm në dritaret rrotulluese ju ndihmon të kapni mënyrën klasike të dështimit: "funksionon shkëlqyeshëm... në shpërndarjen e muajit të kaluar." [1]

Interpretueshmëria dhe Shkaku Rrënjësor: Tregoni Punën Tuaj 🪄

Të alarmosh pa një shpjegim është si të marrësh një kartolinë misterioze. Pak a shumë e dobishme, por frustruese.

Mjetet e interpretueshmërisë mund të ndihmojnë duke treguar se cilat karakteristika kontribuan më shumë në një rezultat anomalie, ose duke dhënë shpjegime stili "çfarë do të duhej të ndryshonte që kjo të dukej normale?". Interpretable Machine Learning është një udhëzues i fortë dhe kritik për metodat e zakonshme (duke përfshirë atribuimet në stilin SHAP) dhe kufizimet e tyre. [5]

Qëllimi nuk është vetëm komoditeti i palëve të interesuara - është një triazh më i shpejtë dhe më pak incidente të përsëritura.

Vendosja, Lëvizja dhe Cikli i Reagimit 🚀

Modelet nuk jetojnë në diapozitiva. Ato jetojnë në tubacione.

Një histori e zakonshme e “muajit të parë në prodhim”: detektori kryesisht sinjalizon vendosjen, punët në grup dhe të dhënat që mungojnë… gjë që është ende e dobishme sepse ju detyron të ndani “incidentet e cilësisë së të dhënave” nga “anomalitë e biznesit”.

Në praktikë:

  • Monitoroni zhvendosjen dhe ritrajnoni/rikalibroni ndërsa sjellja ndryshon. [1]

  • Regjistro të dhënat e rezultateve + versionin e modelit në mënyrë që të mund të riprodhosh pse diçka është faqosur. [5]

  • Kap reagimet njerëzore (alarmime të dobishme kundrejt atyre me zhurmë) për të akorduar pragjet dhe segmentet me kalimin e kohës. [4]

Këndi i Sigurisë: IDS dhe Analitika e Sjelljes 🛡️

Ekipet e sigurisë shpesh i përziejnë idetë e anomalive me zbulimin e bazuar në rregulla: linjat bazë për "sjelljen normale të hostit", plus nënshkrimet dhe politikat për modelet e njohura të këqija. SP 800-94 (Final) i NIST mbetet një kornizë e cituar gjerësisht për konsideratat e sistemit të zbulimit dhe parandalimit të ndërhyrjeve; ai gjithashtu vëren se një draft i vitit 2012 "Rev. 1" nuk u bë kurrë përfundimtar dhe më vonë u tërhoq. [3]

Përkthim: përdor ML aty ku të ndihmon, por mos i hidh poshtë rregullat e mërzitshme - ato janë të mërzitshme sepse funksionojnë.

Tabela Krahasuese: Metodat Popullore me një Vështrim 📊

Mjet / Metodë Më e mira për Pse funksionon (në praktikë)
Rezultatet z të forta / të modifikuara Metrika të thjeshta, baza të shpejta Kalimi i parë i fortë kur keni nevojë për "mjaftueshëm mirë" dhe më pak alarme të rreme. [3]
Pyll i Izolimit Karakteristika tabelare, të përziera Implementim i fortë i parazgjedhur dhe i përdorur gjerësisht në praktikë. [2]
SVM me një klasë Rajone kompakte "normale" Zbulimi i risive bazuar në kufij; akordimi ka shumë rëndësi. [2]
Faktori i Jashtëzakonshëm Lokal Normale të ngjashme me shumëfishin Kontrasti i dendësisë kundrejt fqinjëve kap çuditshmërinë lokale. [1]
Gabim rindërtimi (p.sh., stili i autoencoderit) Modele me dimensione të larta Trajnimi në normalitet; gabimet e mëdha të rindërtimit mund të sinjalizojnë devijimet. [1]

Kodi mashtrues: filloni me vija bazë të forta + një metodë të mërzitshme pa mbikëqyrje, pastaj shtoni kompleksitet vetëm aty ku ia vlen.

Një miniudhëzues: Nga zero te alarmet 🧭

  1. Përcaktoni fjalën "e çuditshme" në mënyrë operative (latencë, rrezik mashtrimi, dëmtim i CPU-së, rrezik inventari).

  2. Filloni me një bazë fillestare (statistika të forta ose pragje të segmentuara). [3]

  3. Zgjidhni një model të pambikëqyrur si kalim të parë (Pyll Izolimi / LOF / SVM me një klasë). [2]

  4. Vendosni pragje me një buxhet alarmi dhe vlerësoni me të menduarit në stilin PR nëse pozitivet janë të rralla. [4]

  5. Shtoni shpjegime + regjistrime në mënyrë që çdo alarm të jetë i riprodhueshëm dhe i debugueshëm. [5]

  6. Testim prapa, dërgim, mësim, rikalibrim - devijimi është normal. [1]

Absolutisht që mund ta bësh këtë brenda një jave… duke supozuar se vulat e tua kohore nuk janë të lidhura me shirit ngjitës dhe shpresë. 😅

Vërejtje përfundimtare - Shumë e gjatë, nuk e lexova🧾

IA zbulon anomalitë duke mësuar një pamje praktike të "normales", duke shënuar devijimet dhe duke sinjalizuar atë që kalon një prag. Sistemet më të mira nuk fitojnë duke qenë të dukshme, por duke u kalibruar : linja bazë të segmentuara, buxhete alarmi, rezultate të interpretueshme dhe një lak reagimi që i kthen alarmet e zhurmshme në një sinjal të besueshëm. [1]

Referencat

  1. Pimentel et al. (2014) - Një përmbledhje e zbulimit të risisë (PDF, Universiteti i Oksfordit) lexoni më shumë

  2. Dokumentacioni scikit-learn - Zbulimi i Risive dhe i Jashtëzakonshmërisë lexoni më shumë

  3. Manuali elektronik NIST/SEMATECH - Zbulimi i Vlerave të Jashtëzakonshme lexoni më shumë dhe NIST CSRC - SP 800-94 (Final): Udhëzues për Sistemet e Zbulimit dhe Parandalimit të Ndërhyrjeve (IDPS) lexoni më shumë

  4. Saito & Rehmsmeier (2015) - Grafiku i Kujtimit të Precizionit është më informues sesa Grafiku ROC kur vlerësohen klasifikuesit binarë në grupe të dhënash të pabalancuara (PLOS ONE) lexoni më shumë

  5. Molnar - Mësimi Automatik i Interpretueshëm (libër në internet) lexoni më shumë

Gjeni IA-në më të fundit në Dyqanin Zyrtar të Asistentëve të IA-së

Rreth Nesh

Kthehu te blogu