异常检测·1-Deep Learning for Anomaly Detection：A Review

文献来源：
Pang, Guansong, et al. "Deep learning for anomaly detection: A review." ACM Computing Surveys (CSUR) 54.2 (2021): 1-38.

主题：基于深度方法的异常检测综述

摘要：异常检测的任务类型，问题复杂度，主要挑战。总结主流方法的假设，优缺点，场景。提出未来的研究方向。

任务类别

单点检测、条件异常检测、群异常检测

问题复杂度

1. 异常样本的未知性，无限可能。
2. 异常类的异质问题
3. 异常样本的极度不平衡

主要挑战

1. 异常样本的低召回率
2. 高维和非独立（概率依赖）数据
3. 样本的利用效率：无监督、半监督、弱监督学习方式
4. 正常样本受噪声污染情况下的鲁棒学习
5. 复杂样本的检测，包括条件异常、群异常以及多源的异质异常
6. 异常检测结果的解释性

深度方法对比传统方法

image.png

方法分类

1. 大小类

   
   
   image.png

2. 大类框架

   
   
   image.png

方法1：深度学习仅用于特征提取

假设：深度模型提取的特征保持了样本类别间的判别信息，有助于异常样本的检测。

基本方法：特征提取与异常检测解耦且异常检测特征提取没有约束。两个方法提取特征：1）使用预训练模型。2）使用自编码器AE。

优点：1）存在大量预训练模型可用。2）深度降维特征优于线性降维特征。3）由于解耦，有大量特征提取模型和异常检测模型方便快速应用。

缺点：1）由于解耦，往往不能获得最优检测结果。2）异常检测受限于现有的预训练模型。

挑战目标：CH1，CH2

方法2 正常类的特征提取

分2类：1）使用一般方法的特征提取，即没有异常样本指导和约束情况下的特征提取。方法：AE、GAN、预测模型、自监督。2）结合常用的异常度量进行特征学习。方法：距离度量、one-class、聚类。

方法2.1.1 基于AE的通用特征提取

假设：正常样本可以更好的重构。

方法：使用AE训练，使用重构误差作为异常分数。

优点：1）不同类型的数据通用；2）有多个AE变种可用。

缺点：1）模型易受噪声影响产生偏见；2）AE针对降维和压缩等任务，没有对异常检测进行优化。

挑战：CH1，CH4

方法2.1.2 基于GAN的通用特征判别

假设：正常样本相对于异常样本更容易生成。

方法：先获得GAN的生成器G和判别器D。使用待测样本逆向计算出对应特征z。通过L(x,G(z))和D中中间层的特征提取h(G(z))计算的L(h(x),h(G(z))作为异常分数。

优点：1）GAN生成的图像更接近现实样本。2）存在大量类型的GAN可用。

缺点：1）GAN由于模式坍塌的问题难以训练。2）GAN难以解决复杂样本的生成。3）GAN任务目标与异常检测不一致，容易次优。

挑战：CH1，CH2

方法2.1.3 基于预测模型的特征判别

一般用于视频的异常检测，由前t个帧预测第t+1个帧，根据预测结果的差异性进行异常检测。

假设：正常样本在视觉维度上比异常样本更容易预测。

优点：1）有众多的时间序列技术可以结合。2）能够学习不同类型的时空依赖数据。

缺点：1）只能用于序列数据。2）计算代价高。3）目标并非异常检测，结果容易次优。

挑战：CH1，CH2，CH5

方法2.1.4 自监督学习

假设：正常样本的自监督分类结果比异常样本一致。

优点：1）能够应用在无监督和半监督场景中。2）异常评分的基础是梯度大小的一些内在特性及其更新。

缺点：1）自监督变换形式依赖于数据类型。2）结果次优，理由同上。

挑战：CH1，CH2，CH4

方法2.2.1 基于距离度量

假设：正常样本距离小

方法：在目标函数中结合距离目标对深度网络进行约束。

优点：1）理论基础研究丰富。2）结合深度网络后，工作在低维上。3）可以灵活定义学习目标和过程。

缺点：1）距离结合进学习的过程难以处理。2）距离度量在异常检测上的固有弱点。

挑战：CH1，2，3，4

方法2.2.2 One-Class方法

假设：所有正常的实例都来自一个单一的(抽象的)类，并可以被一个紧凑的模型总结出来，而异常并不符合这个模型

基本方法：深度模型提取特征，OCSVM，SVDD处理单类分类

优点：1）有理论基础支撑。2）深度模型与One-class模型联合学习更优化的特征。3）避免人工选择核函数。

缺点：1）难以有效学习复杂分布的正常数据。2）检测性能依赖于单类分类模型。

挑战： CH1，2，3

2.2.3 聚类度量

假设：正常样本更容易聚集

基本方法：通过计算待测样本与伪标签的损失，以及非聚类的损失，如重构损失等来判别异常。

优点：1）有关已有的聚类研究的支撑。2）深度模型在检测复杂样本上优于传统模型。

缺点：1）检测性能受聚类结果的限制。2）容易受噪声影响。

挑战：CH1，2，4

3 方法

端到端的方法：1）排序模型，2）先验驱动模型，3）softmax似然模型，4）端到端的单类模型。

3.1 排序模型

假设：存在一个可观察的顺序变量，它捕获一些数据异常

略

3.2 先验驱动模型

假设：赋予模型的先验能够有效捕捉到正常与异常数据的特征。

提到的文献是关于强化学习应用场景，略。

3.3 softmax似然模型

假设：正常样本更加频繁的发生。

略

3.4 端到端的one-class模型

假设：1）可以有效地合成接近异常的数据实例。2）所有正常的实例都可以用一个判别器单类模型来概括。

方法：这是一类使用GAN的判别器作为one-class的基本模型。

优点：1）端到端的方式。2）对抗技术的支撑。

缺点：1）受GAN性能的限制。2）半监督场景的限制。

挑战：CH1，2

代表算法

image.png

代码

image.png

数据集

image.png

未来研究方向

1. 探索新的，更有效的异常度量信号
2. 建立从有限标记异常到未知异常的检测模型，即泛化到异质的异常。
3. 利用大规模的正常样本进行学习，从正常样本中迁移微调。
4. 复杂异常的检测，多模态的异质异常检测。
5. 异常判别的可解释性
6. 新场景：OOD检测；好奇心学习；非独立同分布场景。