异常用户发现(Spark MLlib+Spark SQL+DataFrame)

环境:Amabri 2.2.2、HDP 2.4.2、Spark 1.6.1 

***这是我自己东拼西凑整出来的,错误在所难免,但应该也有部分可借鉴之处...***

整体思路:对原始数据提取特征后,使用KMeans做聚类,把元素明显少的类视为异常类,类中的用户视为异常用户,打上标签,之后用随机森林进行分类,
训练出模型后对新数据进行分类,找出异常用户。

之前统计分析、特征工程部分用的MySQL,聚类用了R和Mahout,分类用了MLlib,怎一个乱字了得。我想了想觉得完全可以只用Spark完成。

1.前面的统计分析、特征工程用Spark SQL代替MySQL即可,都是SQL只有部分函数不一样,改一下就行,比较简单不再做了。
(我的原则是能用SQL解决的坚决先用SQL 0.0)

2.将MySQL中的特征表通过Sqoop导入Hive。(Hive和Spark SQL的元数据是共享的)
#因为特征表没有主键,需要切分字段或设置map数为1
[hdfs@ws1dn1 root]$ sqoop import --connect jdbc:mysql://192.168.1.65:3306/v3 --username root -P --table t_log_2016_all --hive-import -m 1
3.使用Spark MLlib进行聚类、分类,注意与[Spark MLlib RandomForest(随机森林)建模与预测]
(http://blog.csdn.net/dr_guo/article/details/53258037)的区别,这里是对DataFrame操作的,那篇博客是对RDD操作的。

请注意包名与类名不同org.apache.spark.mllib.tree.RandomForest/org.apache.spark.ml.classification.RandomForestClassifier

遗憾的是Spark1.6.1中MLlib没有提供基于DataFrame的API来支持ML持久化,据说spark2.0支持了。
[Apache Spark 2.0预览: 机器学习模型持久化](http://www.infoq.com/cn/articles/spark-apache-2-preview)

下面上代码
import org.apache.spark.sql.SQLContext
import org.apache.spark.{SparkConf, SparkContext}
import org.apache.spark.ml.clustering.KMeans
import org.apache.spark.ml.feature.VectorAssembler
import org.apache.spark.ml.feature.StringIndexer
import org.apache.spark.ml.classification.RandomForestClassifier
import org.apache.spark.ml.evaluation.BinaryClassificationEvaluator


/**
  * Created by drguo on 2016/11/25.
  */
object RunKMeansAndRF {
  def main(args: Array[String]): Unit = {
    val sparkConf = new SparkConf().setAppName("km")
    val sc = new SparkContext(sparkConf)
    val sqlContext = new SQLContext(sc)
    val v3 = sqlContext.sql("select * from t_log_2016_all").cache()
    //选出特征列
    val featureCols = Array("machine_chg_cnt", "ip_chg_cnt", "login_cnt", "logout_cnt", "otherop_cnt", "report_cnt", "send_email_cnt", "out_work_cnt",
      "out_commun_cnt",  "udisk_out_cnt", "copy_cnt", "udisk_self_exa_cnt",  "doc_cnt", "xls_cnt", "pdf_cnt", "ppt_cnt",  "et_cnt", "gd_cnt",
      "txt_cnt", "xml_cnt", "eqs_cnt", "rar_cnt", "zip_cnt", "tif_cnt", "jpg_cnt", "png_cnt", "bmp_cnt", "op_total_cnt")
    //在原DF上增加一列,将前面选出的特征转成vector添到此列 features: vector
    val assembler = new VectorAssembler().setInputCols(featureCols).setOutputCol("features")
    val data = assembler.transform(v3)
    //data.show
    //data.printSchema

    val kmeans = new KMeans().setK(6).setFeaturesCol("features").setPredictionCol("cluster")
    val model = kmeans.fit(data)

    //model.clusterCenters.foreach(println) 查看类中心
    //model.computeCost(data) 可以用来评价模型好坏、调参(越小越好)

    val pred = model.transform(data)
    //pred.show()
    /*
    +--------------------+---------------+----------+---------+----------+-----------+----------+--------------+------------+--------------+-------------+--------+------------------+-------+-------+-------+-------+------+------+-------+-------+-------+-------+-------+-------+-------+-------+-------+------------+-------+--------------------+-------+
    |             usersid|machine_chg_cnt|ip_chg_cnt|login_cnt|logout_cnt|otherop_cnt|report_cnt|send_email_cnt|out_work_cnt|out_commun_cnt|udisk_out_cnt|copy_cnt|udisk_self_exa_cnt|doc_cnt|xls_cnt|pdf_cnt|ppt_cnt|et_cnt|gd_cnt|txt_cnt|xml_cnt|eqs_cnt|rar_cnt|zip_cnt|tif_cnt|jpg_cnt|png_cnt|bmp_cnt|op_total_cnt|date_ym|            features|cluster|
    +--------------------+---------------+----------+---------+----------+-----------+----------+--------------+------------+--------------+-------------+--------+------------------+-------+-------+-------+-------+------+------+-------+-------+-------+-------+-------+-------+-------+-------+-------+------------+-------+--------------------+-------+
    |001461E4-86C64780...|              1|         6|      7.0|       1.0|        1.0|       1.0|           1.0|         1.0|           1.0|          1.0|     1.0|               1.0|    1.0|    1.0|    1.0|    1.0|   1.0|   1.0|    1.0|    1.0|    1.0|    1.0|    1.0|    1.0|    1.0|    1.0|    1.0|           6| 201601|[1.0,6.0,7.0,1.0,...|      0|
    */
    //注册为临时表,用sql处理。换成永久表用CTAS语句或直接pred.write.saveAsTable("tablename")!
    pred.registerTempTable("v3_km")
    //查看每个类各有多少用户,把用户明显过少的类标为异常类,其中的用户标为异常用户
    /*sqlContext.sql("select cluster, count(1) as cnt from v3_km group by cluster").show()
    +-------+-----+
    |cluster|  cnt|
    +-------+-----+
    |      0|15575|
    |      1|    1|
    |      2|    3|
    |      3|   46|
    |      4|  270|
    |      5|    2|
    +-------+-----+
    */

    /*下面的CTAS语句不可行,因为features是vector格式的,不能转化为struct
    0类作为负样本,打上标签0
    sqlContext.sql("create table rf_input as select *, 0 as label from v3_km where cluster = 0 order by rand() limit 250")
    其他类作为正样本,打上标签1
    sqlContext.sql("insert into table rf_input select usersid, date_ym, features, 1 from v3_km where cluster != 0 order by rand() limit 250")
    */

    //0类作为负样本,打上标签0
    val negative_samples = sqlContext.sql("select usersid, date_ym, features, 0 as cluster from v3_km where cluster = 0 order by rand() limit 250")
    //其他类作为正样本,打上标签1
    val positive_samples = sqlContext.sql("select usersid, date_ym, features, 1 as cluster from v3_km where cluster != 0 order by rand() limit 250")
    //合并正负样本
    val rf_input = negative_samples.unionAll(positive_samples).cache()
    //rf_input.count

    //  Create a label column with the StringIndexer
    val labelIndexer = new StringIndexer().setInputCol("cluster").setOutputCol("label")
    val rfDataset = labelIndexer.fit(rf_input).transform(rf_input)

    //将数据集划分为训练集、测试集
    val splitSeed = 5043
    val Array(trainingData, testData) = rfDataset.randomSplit(Array(0.7, 0.3), splitSeed)
    // create the classifier,  set parameters for training
    val classifier = new RandomForestClassifier().setImpurity("gini").setMaxDepth(3).setNumTrees(20).setFeatureSubsetStrategy("auto").setSeed(5043)
    //  use the random forest classifier  to train (fit) the model
    val rfmodel = classifier.fit(trainingData)
    // print out the random forest trees
    //rfmodel.toDebugString

    // run the  model on test features to get predictions
    val predictions = rfmodel.transform(testData)//要对新数据进行分类,向量化后放进去即可
    //predictions.show
    /*
    +--------------------+-------+--------------------+-------+-----+--------------------+--------------------+----------+
    |             usersid|date_ym|            features|cluster|label|       rawPrediction|         probability|prediction|
    +--------------------+-------+--------------------+-------+-----+--------------------+--------------------+----------+
    |013BEA87-5D73409E...| 201603|[1.0,1.0,1.0,1.0,...|      0|  0.0|[18.1097422934236...|[0.90548711467118...|       0.0|
    |0592E1A4-7339B97B...| 201609|[1.0,2.0,1.0,1.0,...|      0|  0.0|[17.6858421744611...|[0.88429210872305...|       0.0|
    |0646BA92-1A06462F...| 201606|[1.0,1.0,1.0,1.0,...|      0|  0.0|[16.9666881487346...|[0.84833440743673...|       0.0|
    |081D24DC-74960FD1...| 201602|[1.0,4.0,1.0,1.0,...|      0|  0.0|[18.2040819160651...|[0.91020409580325...|       0.0|
    */
    //将预测结果保存到表中
    //predictions.saveAsTable("rf_output")
    predictions.write.saveAsTable("rf_output")
    // create an Evaluator for binary classification, which expects two input columns: rawPrediction and label.
    val evaluator = new BinaryClassificationEvaluator().setLabelCol("label")
    // Evaluates predictions and returns a scalar metric areaUnderROC(larger is better). AUC:ROC曲线下的面积,越趋近于1,分类效果越好,为0.5时相当于瞎猜的效果
    val accuracy = evaluator.evaluate(predictions)
    //accuracy: Double = 0.9992023928215354
  }
}

最后贴一下DataFrame的函数
Action 操作
1、 collect() ,返回值是一个数组,返回dataframe集合所有的行
2、 collectAsList() 返回值是一个java类型的数组,返回dataframe集合所有的行
3、 count() 返回一个number类型的,返回dataframe集合的行数
4、 describe(cols: String*) 返回一个通过数学计算的类表值(count, mean, stddev, min, and max),这个可以传多个参数,中间用逗号分隔,
如果有字段为空,那么不参与运算,只这对数值类型的字段。例如df.describe("age", "height").show()
5、 first() 返回第一行 ,类型是row类型
6、 head() 返回第一行 ,类型是row类型
7、 head(n:Int)返回n行  ,类型是row 类型
8、 show()返回dataframe集合的值 默认是20行,返回类型是unit
9、 show(n:Int)返回n行,,返回值类型是unit
10、 table(n:Int) 返回n行  ,类型是row 类型
dataframe的基本操作
1、 cache()同步数据的内存
2、 columns 返回一个string类型的数组,返回值是所有列的名字
3、 dtypes返回一个string类型的二维数组,返回值是所有列的名字以及类型
4、 explan()打印执行计划  物理的
5、 explain(n:Boolean) 输入值为 false 或者true ,返回值是unit  默认是false ,如果输入true 将会打印 逻辑的和物理的
6、 isLocal 返回值是Boolean类型,如果允许模式是local返回true 否则返回false
7、 persist(newlevel:StorageLevel) 返回一个dataframe.this.type 输入存储模型类型
8、 printSchema() 打印出字段名称和类型 按照树状结构来打印
9、 registerTempTable(tablename:String) 返回Unit ,将df的对象只放在一张表里面,这个表随着对象的删除而删除了
10、 schema 返回structType 类型,将字段名称和类型按照结构体类型返回
11、 toDF()返回一个新的dataframe类型的
12、 toDF(colnames:String*)将参数中的几个字段返回一个新的dataframe类型的,
13、 unpersist() 返回dataframe.this.type 类型,去除模式中的数据
14、 unpersist(blocking:Boolean)返回dataframe.this.type类型 true 和unpersist是一样的作用false 是去除RDD

集成查询:
1、 agg(expers:column*) 返回dataframe类型 ,同数学计算求值
df.agg(max("age"), avg("salary"))
df.groupBy().agg(max("age"), avg("salary"))
2、 agg(exprs: Map[String, String])  返回dataframe类型 ,同数学计算求值 map类型的
df.agg(Map("age" -> "max", "salary" -> "avg"))
df.groupBy().agg(Map("age" -> "max", "salary" -> "avg"))
3、 agg(aggExpr: (String, String), aggExprs: (String, String)*)  返回dataframe类型 ,同数学计算求值
df.agg(Map("age" -> "max", "salary" -> "avg"))
df.groupBy().agg(Map("age" -> "max", "salary" -> "avg"))
4、 apply(colName: String) 返回column类型,捕获输入进去列的对象
5、 as(alias: String) 返回一个新的dataframe类型,就是原来的一个别名
6、 col(colName: String)  返回column类型,捕获输入进去列的对象
7、 cube(col1: String, cols: String*) 返回一个GroupedData类型,根据某些字段来汇总
8、 distinct 去重 返回一个dataframe类型
9、 drop(col: Column) 删除某列 返回dataframe类型
10、 dropDuplicates(colNames: Array[String]) 删除相同的列 返回一个dataframe
11、 except(other: DataFrame) 返回一个dataframe,返回在当前集合存在的在其他集合不存在的
(implicit arg0: scala.reflect.api.JavaUniverse.TypeTag[B]) 返回值是dataframe类型,这个 将一个字段进行更多行的拆分
df.explode("name","names") {name :String=> name.split(" ")}.show();
将name字段根据空格来拆分,拆分的字段放在names里面
13、 filter(conditionExpr: String): 刷选部分数据,返回dataframe类型 df.filter("age>10").show();  df.filter(df("age")>10).show();   
df.where(df("age")>10).show(); 都可以
14、 groupBy(col1: String, cols: String*) 根据某写字段来汇总返回groupedate类型   df.groupBy("age").agg(Map("age" ->"count"))
.show();df.groupBy("age").avg().show();都可以
15、 intersect(other: DataFrame) 返回一个dataframe,在2个dataframe都存在的元素
16、 join(right: DataFrame, joinExprs: Column, joinType: String)
一个是关联的dataframe,第二个关联的条件,第三个关联的类型:inner, outer, left_outer, right_outer, leftsemi
df.join(ds,df("name")===ds("name") and  df("age")===ds("age"),"outer").show();
17、 limit(n: Int) 返回dataframe类型  去n 条数据出来
18、 na: DataFrameNaFunctions ,可以调用dataframenafunctions的功能区做过滤 df.na.drop().show(); 删除为空的行
19、 orderBy(sortExprs: Column*) 做alise排序
20、 select(cols:string*) dataframe 做字段的刷选 df.select($"colA", $"colB" + 1)
21、 selectExpr(exprs: String*) 做字段的刷选 df.selectExpr("name","name as names","upper(name)","age+1").show();
22、 sort(sortExprs: Column*) 排序 df.sort(df("age").desc).show(); 默认是asc
23、 unionAll(other:Dataframe) 合并 df.unionAll(ds).show();
24、 withColumnRenamed(existingName: String, newName: String) 修改列表 df.withColumnRenamed("name","names").show();
25、 withColumn(colName: String, col: Column) 增加一列 df.withColumn("aa",df("name")).show();

你可能感兴趣的:(Hadoop,Spark,大数据动物园,数据挖掘)