无监督异常检测是一种技术,用于识别数据中显著偏离正常模式的模式或实例,而无需标记数据进行训练。在传统的有监督学习中,模型从带有预定义标签的输入数据中学习,这些标签指示每个实例是正常的还是异常的。相比之下,无监督方法分析输入数据本身的结构和分布,从而能够在没有明确指导的情况下发现异常。这种方法在标记数据集稀缺或异常情况未提前明确定义时尤其有用。
无监督异常检测的一种常见方法是聚类,它将相似的数据点分组。当分析新的实例时,如果它无法很好地适应任何已建立的聚类,就可能被标记为异常。例如,在网络流量监控场景中,可以根据行为模式对正常用户活动进行聚类。如果发生的某项新活动与这些聚类中的任何一个都不匹配——例如,传输了异常大量的数据——则可能被识别为潜在的恶意活动或异常。
另一种方法涉及统计方法,其中模型学习数据的分布并识别落在特定阈值之外的点。例如,如果表示温度读数的数据集通常范围在20到30摄氏度之间,则15摄氏度的读数可能会被标记为异常。这种方法在检测时间序列数据中的离群值时非常有用,例如,在金融交易中,突然的支出激增可能表明欺诈行为。总体而言,无监督异常检测为识别各种应用中的不规律提供了灵活的框架,从安全到制造业。