如何使用Python进行异常检测
异常检测可以作为异常值分析的一项统计任务来处理。但是如果我们开发一个机器学习模型,它可以像往常一样自动化,可以节省很多时间。
异常检测有很多用例。信用卡欺诈检测、故障机器检测或基于异常特征的硬件系统检测、基于医疗记录的疾病检测都是很好的例子。还有更多的用例。异常检测的应用只会越来越多。
在本文中,我将解释在Python中从头开始开发异常检测算法的过程。
公式和过程
与我之前解释过的其他机器学习算法相比,这要简单得多。该算法将使用均值和方差来计算每个训练数据的概率。
如果一个训练实例的概率很高,这是正常的。如果某个训练实例的概率很低,那就是一个异常的例子。对于不同的训练集,高概率和低概率的定义是不同的。我们以后再讨论。
如果我要解释异常检测的工作过程,这很简单。
1. 使用以下公式计算平均值:
这里m是数据集的长度或训练数据的数量,而$x^i$是一个单独的训练例子。如果你有多个训练特征,大多数情况下都需要计算每个特征能的平均值。
2. 使用以下公式计算方差:
这里,mu是上一步计算的平均值。
3. 现在,用这个概率公式计算每个训练例子的概率。
不要被这个公式中的求和符号弄糊涂了!这实际上是Sigma代表方差。
稍后我们将实现该算法时,你将看到它的样子。
4.我们现在需要找到概率的临界值。正如我前面提到的,如果一个训练例子的概率很低,那就是一个异常的例子。
低概率有多大?
这没有普遍的限制。我们需要为我们的训练数据集找出这个。
我们从步骤3中得到的输出中获取一系列概率值。对于每个概率,通过阈值的设置得到数据是否异常
然后计算一系列概率的精确度、召回率和f1分数。
精度可使用以下公式计算
召回率的计算公式如下:
在这里,True positives(真正例)是指算法检测到一个异常的例子的数量,而它真实情况也是一个异常。
False Positives(假正例)当算法检测到一个异常的例子,但在实际情况中,它不是异常的,就会出现误报。
False Negative(假反例)是指算法检测到的一个例子不是异常的,但实际上它是一个异常的例子。
从上面的公式你可以看出,更高的精确度和更高的召回率总是好的,因为这意味着我们有更多的真正的正例。但同时,假正例和假反例起着至关重要的作用,正如你在公式中看到的那样。这需要一个平衡点。根据你的行业,你需要决定哪一个对你来说是可以忍受的。
一个好办法是取平均数。计算平均值有一个独特的公式。这就是f1分数。f1得分公式为:
这里,P和R分别表示精确性和召回率。
根据f1分数,你需要选择你的阈值概率。
异常检测算法
我将使用Andrew Ng的机器学习课程的数据集,它具有两个训练特征。我没有在本文中使用真实的数据集,因为这个数据集非常适合学习。它只有两个特征。在任何真实的数据集中,都不可能只有两个特征。
首先,导入必要的包
import pandas as pd import numpy as np
导入数据集。这是一个excel数据集。在这里,训练数据和交叉验证数据存储在单独的表中。所以,让我们把训练数据带来。
df = pd.read_excel('ex8data1.xlsx', sheet_name='X', header=None) df.head()
让我们将第0列与第1列进行比较。
plt.figure() plt.scatter(df[0], df[1]) plt.show()
你可能通过看这张图知道哪些数据是异常的。
检查此数据集中有多少个训练示例:
m = len(df)
计算每个特征的平均值。这里我们只有两个特征:0和1。
s = np.sum(df, axis=0) mu = s/m mu
输出:
0 14.112226 1 14.997711 dtype: float64
根据上面“公式和过程”部分中描述的公式,让我们计算方差:
vr = np.sum((df - mu)**2, axis=0) variance = vr/m variance
输出:
0 1.832631 1 1.709745 dtype: float64
现在把它做成对角线形状。正如我在概率公式后面的“公式和过程”一节中所解释的,求和符号实际上是方差
var_dia = np.diag(variance) var_dia
输出:
array([[1.83263141, 0. ], [0. , 1.70974533]])
计算概率:
k = len(mu) X = df - mu p = 1/((2*np.pi)**(k/2)*(np.linalg.det(var_dia)**0.5))* np.exp(-0.5* np.sum(X @ np.linalg.pinv(var_dia) * X,axis=1)) p
训练部分已经完成。
下一步是找出阈值概率。如果概率低于阈值概率,则示例数据为异常数据。但我们需要为我们的特殊情况找出那个阈值。
对于这一步,我们使用交叉验证数据和标签。
对于你的案例,你只需保留一部分原始数据以进行交叉验证。
现在导入交叉验证数据和标签:
cvx = pd.read_excel('ex8data1.xlsx', sheet_name='Xval', header=None) cvx.head()
标签如下:
cvy = pd.read_excel('ex8data1.xlsx', sheet_name='y', header=None) cvy.head()
我将把'cvy'转换成NumPy数组,因为我喜欢使用数组。不过,数据帧也不错。
y = np.array(cvy)
输出:
# 数组的一部分 array([[0], [0], [0], [0], [0], [0], [0], [0], [0],
这里,y值0表示这是一个正常的例子,y值1表示这是一个异常的例子。
现在,如何选择一个阈值?
我不想只检查概率表中的所有概率。这可能是不必要的。让我们再检查一下概率值。
p.describe()
输出:
count 3.070000e+02 mean 5.905331e-02 std 2.324461e-02 min 1.181209e-23 25% 4.361075e-02 50% 6.510144e-02 75% 7.849532e-02 max 8.986095e-02 dtype: float64
如图所示,我们没有太多异常数据。所以,如果我们从75%的值开始,这应该是好的。但为了安全起见,我会从平均值开始。
因此,我们将从平均值和更低的概率范围。我们将检查这个范围内每个概率的f1分数。
首先,定义一个函数来计算真正例、假正例和假反例:
def tpfpfn(ep): tp, fp, fn = 0, 0, 0 for i in range(len(y)): if p[i] <= ep and y[i][0] == 1: tp += 1 elif p[i] <= ep and y[i][0] == 0: fp += 1 elif p[i] > ep and y[i][0] == 1: fn += 1 return tp, fp, fn
列出低于或等于平均概率的概率。
eps = [i for i in p if i <= p.mean()]
检查一下列表的长度
len(eps)
输出:
133
根据前面讨论的公式定义一个计算f1分数的函数:
def f1(ep): tp, fp, fn = tpfpfn(ep) prec = tp/(tp + fp) rec = tp/(tp + fn) f1 = 2*prec*rec/(prec + rec) return f1
所有函数都准备好了!
现在计算所有epsilon或我们之前选择的概率值范围的f1分数。
f = [] for i in eps: f.append(f1(i)) f
输出:
[0.14285714285714285, 0.14035087719298248, 0.1927710843373494, 0.1568627450980392, 0.208955223880597, 0.41379310344827586, 0.15517241379310345, 0.28571428571428575, 0.19444444444444445, 0.5217391304347826, 0.19718309859154928, 0.19753086419753085, 0.29268292682926833, 0.14545454545454545,
这是f分数表的一部分。长度应该是133。
f分数通常在0到1之间,其中f1得分越高越好。所以,我们需要从刚才计算的f分数列表中取f的最高分数。
现在,使用“argmax”函数来确定f分数值最大值的索引。
np.array(f).argmax()
输出:
131
现在用这个索引来得到阈值概率。
e = eps[131] e
输出:
6.107184445968581e-05
找出异常实例
我们有临界概率。我们可以从中找出我们训练数据的标签。
如果概率值小于或等于该阈值,则数据为异常数据,否则为正常数据。我们将正常数据和异常数据分别表示为0和1,
label = [] for i in range(len(df)): if p[i] <= e: label.append(1) else: label.append(0) label
输出:
[0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
这是标签列表的一部分。
我将在上面的训练数据集中添加此计算标签:
df['label'] = np.array(label) df.head()
我在标签为1的地方用红色绘制数据,在标签为0的地方用黑色绘制。以下是结果。
有道理吗?