2021-05-19

最新推荐文章于 2024-09-04 16:19:04 发布

!HELLO WORLD!

最新推荐文章于 2024-09-04 16:19:04 发布

阅读量511

点赞数

文章标签：机器学习数据挖掘

本文链接：https://blog.youkuaiyun.com/qq_41260988/article/details/117046863

版权

异常检测---邻近度方法

一、引言[2]

“异常”通常是一个主观的判断，什么样的数据被认为是“异常”的，需要结合业务背景和环境来具体分析确定。

实际上，数据通常嵌入在大量的噪声中，而我们所说的“异常值”通常指具有特定业务意义的那一类特殊的异常值。噪声可以视作特性较弱的异常值，没有被分析的价值。噪声和异常之间、正常数据和噪声之间的边界都是模糊的。异常值通常具有更高的离群程度分数值，同时也更具有可解释性。
在普通的数据处理中，我们常常需要保留正常数据，而对噪声和异常值的特性则基本忽略。但在异常检测中，我们弱化了“噪声”和“正常数据”之间的区别，专注于那些具有有价值特性的异常值。

主要思想：根据相似性或距离函数判定异常值为与剩余数据分离的点。

邻近度方法基本分为：聚类方法（clustering）、基于密度的方法（density-baed）和最近邻方法（nearest-neighbor）。【1】

二、聚类方法[1]

基本步骤：

确定数据集的密集区域。
度量数据点到不同聚类的拟合情况，以计算出离群程度分数值。

对于聚类算法的选择应该慎重，因为不同的聚类方法可能会导致千差万别的数据分割。因此，可以对同一个数据集进行多次聚类，得到不同运行轮次下这些点的离群得分平均值，这样结果会更具有鲁棒性。

三、最近邻方法

此类方法不仅适用于多维数值数据，在其他许多领域，例如分类数据，文本数据，时间序列数据和序列数据等方面也有广泛的应用。

前提假设: 异常点的 k 近邻距离要远大于正常点。

解决问题的最简单方法是使用嵌套循环。第一层循环遍历每个数据，第二层循环进行异常判断，需要计算当前点与其他点的距离，一旦已识别出多于 k 个数据点与当前点的距离在 D 之内，则将该点自动标记为非异常值。这样计算的时间复杂度为O(N2)，当数据量比较大时，这样计算是及不划算的。因此，需要修剪方法以加快距离计算。

3.1 基于单元的方法

在基于单元格的技术中，数据空间被划分为单元格，单元格的宽度是阈值D和数据维数的函数。具体地说，每个维度被划分成宽度最多为 $\frac{D}{2\times \sqrt{d}}$ 单元格。在给定的单元以及相邻的单元中存在的数据点满足某些特性，这些特性可以让数据被更有效的处理。

以二维情况为例，此时网格间的距离为 $\frac{D}{2\times \sqrt{d}}$ ，需要记住的一点是，网格单元的数量基于数据空间的分区，并且与数据点的数量无关。这是决定该方法在低维数据上的效率的重要因素，在这种情况下，网格单元的数量可能不多。另一方面，此方法不适用于更高维度的数据。

对于给定的单元格，其 L1 邻居被定义为通过最多1个单元间的边界可从该单元到达的单元格的集合。请注意，在一个角上接触的两个单元格也是 L1 邻居。 L2 邻居是通过跨越2个或3个边界而获得的那些单元格。上图中显示了标记为 X的特定单元格及其 L1 和 L2 邻居集。显然，内部单元具有8个 L1 邻居和40个 L2 邻居。然后，可以立即观察到以下性质：

单元格中两点之间的距离最多为 D/2。（某一小方块内两个距离最远的点就是对角点，也就是应用勾股求正方形的斜边的长度）

一个点与 L1 邻接点之间的距离最大为 D。

一个点与它的 Lr 邻居(其中r > 2)中的一个点之间的距离至少为D。

唯一无法直接得出结论的是 L2 中的单元格。这表示特定单元中数据点的不确定性区域。对于这些情况，需要明确执行距离计算。同时，可以定义许多规则，以便立即将部分数据点确定为异常值或非异常值。规则如下：

如果一个单元格中包含超过 k 个数据点及其 L1 邻居，那么这些数据点都不是异常值。
如果单元 A 及其相邻 L1 和 L2 中包含少于 k 个数据点，则单元A中的所有点都是异常值。

此过程的第一步是将部分数据点直接标记为非异常值（如果由于第一个规则而导致它们的单元格包含 k 个点以上）。此外，此类单元格的所有相邻单元格仅包含非异常值。

为了充分利用第一条规则的修剪能力，确定每个单元格及其 L1 邻居中点的总和。如果总数大于 k，则所有这些点也都标记为非离群值。

接下来，利用第二条规则的修剪能力。对于包含至少一个数据点的每个单元格 A，计算其中的点数及其 L1 和 L2 邻居的总和。如果该数字不超过 k，则将单元格A 中的所有点标记为离群值。此时，许多单元可能被标记为异常值或非异常值。

对于此时仍未标记为异常值或非异常值的单元格中的数据点需要明确计算其 k 最近邻距离。即使对于这样的数据点，通过使用单元格结构也可以更快地计算出 k 个最近邻的距离。考虑到目前为止尚未被标记为异常值或非异常值的单元格A。这样的单元可能同时包含异常值和非异常值。

单元格 A 中数据点的不确定性主要存在于该单元格的 L2 邻居中的点集。无法通过规则知道 A 的 L2 邻居中的点是否在阈值距离 D 内，为了确定单元 A 中数据点与其L2 邻居中的点集在阈值距离 D 内的点数，需要进行显式距离计算。对于那些在 L1 和 L2 中不超过 k 个且距离小于 D 的数据点，则声明为异常值。需要注意，仅需要对单元 A 中的点到单元A的L2邻居中的点执行显式距离计算。这是因为已知 L1 邻居中的所有点到 A 中任何点的距离都小于 D，并且已知 Lr 中 (r>2) 的所有点与 A上任何点的距离至少为 D。因此，可以在距离计算中实现额外的节省。

3.2 基于索引的方法

对于一个给定数据集，基于索引的方法利用多维索引结构(如 R 树、k−d 树)来搜索每个数据对象 A 在半径 D 范围内的相邻点。设 M 是一个异常值在其 D -邻域内允许含有对象的最多个数，若发现某个数据对象 A 的 D -邻域内出现 M+1 甚至更多个相邻点，则判定对象 A 不是异常值。该算法时间复杂度在最坏情况下为 O(kN2), 其中 k 是数据集维数， N 是数据集包含对象的个数。该算法在数据集的维数增加时具有较好的扩展性，但是时间复杂度的估算仅考虑了搜索时间，而构造索引的任务本身就需要密集复杂的计算量。

四、基于密度的方法

主要思想：通过划分数据区域为若干个小区域，每个区域中数据点的个数即可用来计算离群程度分数值。（分割数据空间）

优点：可解释性较强；数据当中的系数区域可以联合多个原始属性来表示。

基于密度的算法主要有局部离群因子(LocalOutlierFactor,LOF)，以及LOCI、CLOF等基于LOF的改进算法。下面我们以LOF为例来进行详细的介绍和实践。

4.1 局部离群因子(LocalOutlierFactor,LOF)

步骤：[3]

对于每个数据点，计算它与其他所有点的距离，并按从近到远排序
对于每个数据点，找到它的K-Nearest-Neighbor，计算LOF得分

前提假设：

不存在大于等于k个重复的点。

当这样的重复点存在的时候，这些点的平均可达距离为零，局部可达密度就变为无穷大，会给计算带来一些麻烦。在实际应用中，为了避免这样的情况出现，可以把 K-distance改为 K-distinct-distance，不考虑重复的情况。或者，还可以考虑给可达距离都加一个很小的值，避免可达距离等于零.

k-距离（k-distance(p)）：

对于数据集D中的给定对象p，对象p与数据集D中任意点o的距离为d(p,o)。我们把数据集D中与对象p距离最近的k个相邻点的最远距离表示为k−distance(p)，把距离对象p距离第k近的点表示为Ok，那么给定对象p和点Ok之间的距离d(p,Ok)=k−distance(p)，满足：

在集合D中至少有不包括p在内的k个点 o′，其中o′∈Dp，满足d(p,o′)≤d(p,ok)
在集合D中最多有不包括p在内的k−1个点o′，其中o′∈Dp，满足d(p,o′)<d(p,ok)

直观一些理解，就是以对象p为中心，对数据集D中的所有点到p的距离进行排序，距离对象p第k近的点Ok与p之间的距离就是k-距离。

k-邻域（k-distance neighborhood）：

由k-距离，我们扩展到一个点的集合——到对象p的距离小于等于k-距离的所有点的集合，我们称之为k-邻域： $N(p)_{k-distance(p)}=q\in D\setminus p | d(p,q)\leqslant k-distance(p)$

k-邻域包含对象p的第k距离以内的所有点，包括第k距离点。
对象p的第k邻域点的个数∣N(p)∣≥k。

在二维平面上展示出来的话，对象p的k-邻域实际上就是以对象p为圆心、k-距离为半径围成的圆形区域。就是说，k-邻域已经从“距离”这个概念延伸到“空间”了。

可达距离（reachability distance）：

有了邻域的概念，我们可以按照到对象o的距离远近，将数据集D内的点按照到o的距离分为两类：

若pi在对象o的k-邻域内，则可达距离就是给定点pi关于对象o的k-距离；
若pi在对象o的k-邻域外，则可达距离就是给定点pi关于对象o的实际距离。

举例来讲，如下如所示：

p1在对象o的k-邻域内，d(p1,o) < k−distance(o)，可达距离reach−distk(p1,o)=k−distance(o) ;

p2在对象o的k-邻域外，d(p2,o) > k−distance(o)，可达距离reach−distk(p2,o)=d(p2,o) .

注意：这里用的是pk与o的距离d(pk,o)与o的k-距离k−distance(o)来进行比较，不是与k−distance(p)进行比较！

可达距离的设计是为了减少距离的计算开销，o的k-邻域内的所有对象p的k-距离计算量可以被显著降低，相当于使用一个阈值把需要计算的部分“截断”了。这种“截断”对计算量的降低效果可以通过参数k来控制，k的值越高，无需计算的邻近点越多，计算开销越小。但是另一方面，k的值变高，可能意味着可达距离变远，对集群点和离群点的区分度可能变低。因此，如何选择k值，是LOF算法能否达到效率与效果平衡的重要因素。

局部可达密度（local reachability density）：

我们可以将“密度”直观地理解为点的聚集程度，就是说，点与点之间距离越短，则密度越大。在这里，我们使用数据集D中对象p与对象o的k-邻域内所有点的可达距离平均值的倒数（注意，不是导数）来定义局部可达密度。

在进行局部可达密度的计算的时候，我们需要避免数据集内所有数据落在同一点上，即所有可达距离之和为0的情况：此时局部密度为∞，后续计算将无法进行。LOF算法中针对这一问题进行了如下的定义：

对于数据集D内的给定对象p，存在至少MinPts(p)≥1个不同于p的点。因此，我们使用对象p到o∈NMinPts(p)的可达距离reach−distMinPts(p,o)作为度量对象p邻域的密度的值。

给定点p的局部可达密度计算公式为：

$lrd_{MinPts}(p) = \frac{1}{\frac{ \sum_{o \in {MinPts(p)}}reach-dist_{MinPts}(p,o) } {\left | N_{MinPts}(p) \right |}}$

由公式可以看出，这里是对给定点p进行度量，计算其邻域内的所有对象o到给定点p的可达距离平均值。给定点p的局部可达密度越高，越可能与其邻域内的点属于同一簇；密度越低，越可能是离群点。

局部异常因子：

得到lrd（局部可达密度）以后就可以将每个点的lrd将与它们的k个邻点的lrd进行比较，得到局部异常因子LOF。更具体地说，LOF在数学上是对象p的邻居点o（o∈NMinPts(p)）的lrd平均值与p的lrd的比值。

$LOF_{MinPts}(p) = \frac{\sum_{o\in N_{MinPts}(p)} \frac{lrd_{MinPts}(o)}{lrd_{MinPts}(p)}}{\left | N_{MinPts}(p) \right |}$

不难看出，p的局部可达密度越低，且它的MinPts近邻的平均局部可达密度越高，则p的LOF值越高。

如果这个比值越接近1，说明o的邻域点密度差不多，o可能和邻域同属一簇；如果这个比值小于1，说明o的密度高于其邻域点密度，o为密集点；如果这个比值大于1，说明o的密度小于其邻域点密度，o可能是异常点。

由公式计算出的LOF数值，就是我们所需要的离群程度分数值。

参考文献

Charu C. Aggarwal, Outlier Analysis, 2nd Edition, Springer.
https://gitee.com/datawhalechina/team-learning-data-mining/blob/master/AnomalyDetection/
https://blog.youkuaiyun.com/iflyai/article/details/110531125?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_title-1&spm=1001.2101.3001.4242