Warning: fopen(/home/isearch/.system/tmp/index-Z46cFT.tmp): failed to open stream: Disk quota exceeded in /home/isearch/isearch.net.ua/www/wp-admin/includes/class-wp-filesystem-ftpext.php on line 190

Warning: unlink(/home/isearch/.system/tmp/index-Z46cFT.tmp): No such file or directory in /home/isearch/isearch.net.ua/www/wp-admin/includes/class-wp-filesystem-ftpext.php on line 193
Як використовувати штучний інтелект для виявлення аномалій – iSearch

Як використовувати штучний інтелект для виявлення аномалій

Практичні статті | |

Зазвичай ШІ потрібен, коли ваших даних забагато, вони занадто швидкі або занадто складні для обробки статичними правилами. Подумайте: правила працюють добре, коли шаблони стабільні та передбачувані. Але в сучасному середовищі дані не є статичними. Аномалії розвиваються, мітки часто рідкісні, а те, що вважається «нормальним», змінюється залежно від сервісу, хмари чи навіть часу доби.

Якщо ви вже тонете в сповіщеннях або пропускаєте критичні події, ви відчули біль від покладання на жорсткі пороги. Аналітики перевантажені, хибно позитивні результати витрачають години, а справжні загрози прослизають. Саме в цьому ШІ сяє: він адаптується до змін, вивчає нові моделі поведінки та балансує точність із можливостю запам’ятовувати так, як статичні правила просто не можуть.

Ось кілька чітких ознак того, що час подумати про ШІ:

  • Ви жонглюєте багатьма різними сигналами (журналами, метриками, транзакціями, зображеннями) зі змінними закономірностями.
  • У вас немає ідеальних міток, але все одно потрібно виявляти нові та невідомі проблеми.
  • У вашому світі хвилини мають значення; затримка у виявленні шахрайства, збою чи проблеми безпеки несе високу ціну.
  • Ваша команда вже втомилася від хибних тривог, і тиск на підвищення точності зростає.
  • Ви працюєте з багатохмарними системами або кількома командами, кожна з яких має своє власне визначення «норми».

Не тому, що хтось каже, що ви повинні впроваджувати ШІ, а тому, що ваше власне середовище робить неможливим обійтися без нього. Якщо ви погоджуєтеся з будь-якою з перерахованих вище ознак, ШІ більше не є необов’язковим; це наступний логічний крок.

Що таке виявлення аномалій за допомогою ШІ?

Виявлення аномалій за допомогою ШІ застосовує моделі машинного навчання для виявлення точок даних, послідовностей або поведінки, які відхиляються від вивченого базового рівня «норми». На відміну від порогових значень, заснованих на правилах, моделі машинного навчання адаптуються до зрушень розподілу та виявляють нелінійні закономірності, підтримуючи контрольоване, неконтрольоване та напівконтрольоване виявлення в пакетних та конвеєрах в реальному часі.

На практиці базова лінія визначається з історичних даних та операційного контексту (KPI, сезонність, топологія). Моделі оцінюють події-кандидати як викиди відносно локальної або глобальної структури (наприклад, щільність, запас, помилка реконструкції). Для табличних/подійних потоків неконтрольовані методи, такі як Isolation Forest, Local Outlier Factor (LOF), One-Class SVM та DBSCAN, використовують рідкісні поведінки поверхні без міток.

Для сигналів високої вимірності/часових рядів кластеризація (наприклад, K-means) та нейронні підходи (наприклад, автоенкодери/VAE для реконструкції, моделі послідовностей для часового відхилення) фіксують контекст поза статичними правилами. У масштабі векторні представлення сутностей/подій дозволяють здійснювати пошук подібності найближчих сусідів для ефективного виявлення нетипових вбудовувань.

З операційної точки зору, виявлення аномалій охоплює телеметрію часових рядів (метрики, трасування, журнали), транзакційні дані (шахрайство, зловживання) та багатохмарну інфраструктуру, де гетерогенні конфігурації створюють складні базові лінії. Вибір підходу узгоджується з доступністю міток, затримкою SLO, ризиком дрейфу та вимогами до пояснюваності.

Контрольовані робочі процеси добре працюють для відомих шаблонів з маркованими інцидентами; неконтрольовані методи є кращими для виявлення новизни та доменів з дефіцитом міток; напівконтрольовані поєднують обидва.

Як працює виявлення аномалій за допомогою штучного інтелекту?

Виявлення аномалій за допомогою штучного інтелекту працює, навчаючи модель, яка виглядає «нормальною», а потім позначаючи все, що не відповідає цьому шаблону. Дотримуються покрокового конвеєра: збір даних → навчання моделі → оцінка потенційних аномалій → перегляд та повторне навчання в міру зміни шаблонів. Залежно від випадку використання, виявлення може виконуватися в режимі реального часу або на пакетах даних.

  1. Збір та підготовка даних: Збір журналів, метрик, транзакцій або даних датчиків. Очищення їх, обробка відсутніх значень та створення функцій (таких як ковзні середні, сезонні тенденції або кількість помилок).
  2. Вивчення базової лінії: Модель вивчає, як виглядає «нормальний», або з розмічених даних (з наглядом), нерозмічених даних (без нагляду), або змішаних (напівнаглядових).
  3. Вибір алгоритмів:
  • Методи кластеризації та щільності (K-means, Local Outlier Factor, DBSCAN) групують подібні точки та позначають випадки.
  • Isolation Forest швидко ізолює рідкісні випадки.
  • Нейронні мережі (автоенкодер, моделі послідовностей) вивчають глибші закономірності в часових рядах або високовимірних даних.
  1. Оцінювання аномалій: Кожна нова точка даних отримує оцінку аномалії (відстань від кластера, помилка реконструкції або запас). Оцінки вище порогового значення викликають сповіщення.
  2. Виявлення в реальному часі проти пакетного виявлення: Виявлення в реальному часі виявляє проблеми миттєво, але з меншим контекстом. Пакетне виявлення повільніше, але дозволяє глибший аналіз та дослідження першопричин.
  3. Моніторинг та перенавчання: У міру того, як дані дрейфують, система перенавчається, щоб базова лінія залишалася точною. Часто додається зворотний зв’язок від людини для підвищення довіри та зменшення кількості хибнопозитивних результатів.

Виявлення аномалій за допомогою штучного інтелекту полягає в перетворенні шумних, складних даних на дієві сповіщення шляхом поєднання автоматизації з безперервним навчанням.

Які алгоритми використовуються для виявлення аномалій?

Різні алгоритми виявляють аномалії по-різному. Вибирайте на основі ваших даних (табличні, часові ряди, зображення), міток (доступні чи ні) та цілей (швидкість, поясненьність, виявлення новизни). Основні опції (що вони роблять і коли їх використовувати):

  • K-means (кластеризація): групує схожі точки. Елементи, розташовані далеко від центру кластера, виглядають підозріло.
  • Використовуйте, коли вам потрібна проста базова лінія на табличних даних.
  • Local Outlier Factor (LOF)/DBSCAN (щільність): порівнює локальну щільність; розріджені сусіди → ймовірний випадок.
  • Використовуйте, коли ваші дані мають нерівномірні кластери або шум.
  • Isolation Forest (ізоляція): випадково розділяє об’єкти; рідкісні точки швидко ізолюються → вищий бал аномалії.
  • Використовуйте, коли вам потрібна сильна неконтрольована межа за замовчуванням для змішаних/табличних даних.
  • Однокласова SVM (межа): вивчає вузьку межу навколо «норми». Точки поза нею є аномаліями.
  • Використовуйте, коли у вас переважно нормальні дані та потрібен підхід на основі запасів.
  • k-NN (близькість): позначає точки, розташовані далеко від найближчих сусідів.
  • Використовуйте під час роботи з меншими наборами даних або коли вам потрібен інтуїтивний перегляд відстані.
  • Автоенкодери/VAE (нейронні, реконструкція): стиснення, а потім реконструкція; висока помилка реконструкції = аномалія.
  • Використовуйте, коли сигнали високої вимірності або часових рядів (логарифми, датчики, зображення).
  • Детектори на основі GAN (генеративні): Вивчіть нормальний розподіл; дискримінатор виділяє «ненормальний».
  • Використовуйте, коли у вас є складні закономірності та достатньо даних/обчислень.

Корисні поради:

  • Для часових рядів поєднуйте вищезазначене з часовими ознаками або моделями послідовностей (наприклад, автокодер на ковзних вікнах).
  • Для масштабування створюйте векторні вбудовування та використовуйте пошук найближчого сусіда, щоб швидко виявити поведінку «не як у решти».
  • Завжди калібруйте пороги та перевіряйте точність/повність (AUC-PR) на незбалансованих даних, щоб зменшити кількість хибно позитивних результатів.

Виявлення аномалій з наглядом, без нагляду та з напівнаглядом

Підхід

Як це працює

Переваги

Недоліки

Найкращі варіанти використання

З учителем

Використовує марковані навчальні дані з прикладами нормальної та аномальної поведінки. Алгоритми вивчають закономірності з цих міток для класифікації нових даних.

– Висока точність за умови якісних міток

– Надійність для відомих аномалій

– Створення міток є дорогим та трудомістким

– Не спрацьовує на нових/рідкісних аномаліях.

Виявлення шахрайства (кредитні картки, страхування), медична візуалізація та забезпечення якості у виробництві

Без учителя

Мітки не потрібні. Алгоритми знаходять аномалії шляхом кластеризації, оцінки щільності або ізоляції викидів (наприклад, K-means, Isolation Forest, LOF, DBSCAN).

– Добре працює з великими, немаркованими даними

– Може виявляти невідомі аномалії

– Може давати більше хибно позитивних результатів

– Результати можуть бути менш зрозумілими («чорна скринька»)

Виявлення вторгнень у кібербезпеку, прогнозне обслуговування, ІТ-журнали та моніторинг мережі

Наполовину з учителем

Поєднує навчання ознак без учителя з обмеженими маркуваннями даними для орієнтування. Часто використовує такі методи, як автокодери з частковими маркуваннями.

– Балансує точність та гнучкість

– Зменшує зусилля, пов’язані з ручним маркуванням

– Виявляє аномалії, що розвиваються

– Складніший у розробці

– Все ще потребує деяких маркованих даних

Виявлення шахрайства за допомогою змішаних сигналів, діагностика стану здоров’я (обмежені набори даних) та моніторинг поведінки клієнтів

Випадки використання виявлення аномалій за допомогою штучного інтелекту

Галузь/

домен

Типові дані

Що «аномальне»

Підказки щодо методу (Вибір для початківців)

Режим реального часу чи пакетна обробка

Вплив на бізнес/KPI

Кібербезпека / IDS

Netflow, метадані пакетів, журнали автентифікації, події EDR

Піки у трафіку, незвичайні порти, нове географічне розташування/пристрій, латеральний рух

Isolation Forest,  LOF/DBSCAN (щільність), однокласовий SVM; для послідовностей: автоенкодери на Windows

У режимі реального часу для стримування загроз; нічних пакетів для глибшого RCA

Швидший MTTD/MTTR, менше хибно позитивних результатів, знижений ризик порушення

Фінанси / Шахрайство

Транзакції, пристрій/гео локація, продавець/ категорія, сигнали сеансу

Незвичайні моделі витрат, різкі стрибки швидкості, географічні зони з високим ризиком, поведінка мула

Напівконтрольований (обмежені мітки) + близькість kNN, однокласова SVM; правила комбінування + машинне навчання

Оцінювання в режимі реального часу під час авторизації; пакетна обробка для перевірки справ

Коефіцієнт повернення платежів ↓, збитки від шахрайства ↓, коефіцієнт схвалення ↑

Охорона здоров’я / Візуалізація та операції

Вбудовування зображень, часові ряди життєво важливих показників, заяви

Рідкісні піксельні візерунки; аномальні показники життєво важливих функцій; підозрілі заяви

Автоенкодери/VAE (реконструкція), критики на основі GAN; табличний вигляд: Isolation Forest

Переважно пакетний (огляд), майже в режимі реального часу для життєво важливих показників

Точність діагностики ↑, хибні тривоги ↓, раннє виявлення ознак аудиту

Виробництво/ Прогнозне технічне обслуговування та контроль якості

Датчики (температури/ вібрації), журнали ПЛК, рамки візуалізації

Ранні ознаки несправностей; невідповідна геометрія/дефекти поверхні виробу

Ознаки часових рядів + Isolation Forest; зір з AE/CNN; щільність (LOF) для змішаних сигналів

Фронт у режимі реального часу для зупинок лінії; пакетний аналіз для дрейфу тренду

Незапланований простій ↓, брак/переробка ↓, OEE ↑

ІТ-операції / Спостереження (AIOps)

Метрики, журнали, трасування, SLO

Раптові сплески помилок, зростання хвоста затримки, нові шаблони журналів

DBSCAN/LOF для зашумлених логів, AE для вбудовування логів, kNN для векторів

Сповіщення в режимі реального часу; пакетне налаштування порогів

Втома попередження ↓, порушення SLO ↓, MTTR ↓

Роздрібна торгівля та ланцюги поставок / Втрати та збої

POS, інвентаризація, події RFID/ сканування, відвантаження, ціноутворення

Сигнали скорочення, фантомні запаси, відхилення від маршрутів, шоки попиту

K-means для кластерів магазинів, kNN для store-like-me, Isolation Forest для відправлень

Сповіщення про крадіжки/маршрути в режимі реального часу; пакетне сповіщення про відхилення попиту

Зменшення ↓, своєчасна доставка ↑, брак товару ↓

Комунальні послуги / Розумні мережі та Інтернет речей

Показники розумних лічильників, SCADA, погода

Піки використання, схеми несанкціонованого доступу, збої датчиків

Межі однокласової SVM, Isolation Forest, автоенкодер TS

У режимі реального часу для безпеки; пакетне виставлення рахунків для аномалій

Інциденти безпеки ↓, втрата/крадіжка ↓, дотримання угоди про рівень обслуговування ↑

Примітки для практиків:

  • Почніть з немаркованих методів (Isolation Forest, LOF/DBSCAN), коли аномалії рідкісні або невідомі; додайте мітки з часом для напівконтрольованого підйому.
  • Для часових рядів використовуйте прості вікна (лаги, ковзні середні) з Isolation Forest або з авто кодувальником; переходьте до послідовних моделей лише за потреби.
  • Завжди калібруйте порогові значення відповідно до бізнес-витрат; контролюйте точність/повторність (AUC-PR) та додайте в цикл людину для оповіщень з високим впливом.
  • Поєднуйте реальний час (швидке стримування) з пакетним (глибший аналіз першопричин), щоб збалансувати швидкість і точність.

Як виміряти точність і зменшити кількість хибно позитивних результатів

Ставтеся до виявлення аномалій як до продукту, а не до моделі: визначте вартість промаху та хибної тривоги, виберіть метрики, що відображають цю вартість, калібруйте свій поріг і підтримуйте щільний цикл зворотного зв’язку, щоб система покращувалася в міру зміни даних.

Практичний підхід: Почніть з правильних метрик для незбалансованих проблем. Загальна точність вводить в оману, коли аномалії рідкісні. Віддайте перевагу точності/повноті, F1 та особливо AUC-PR (площа під кривою точності-повністю). Відстежуйте їх на порогах прийняття рішень, які ви фактично використовуватимете (наприклад, precision@k для найпопулярніших сповіщень за годину).

Далі відкалібруйте оцінку. Оцінки аномалій (відстань, глибина ізоляції, помилка реконструкції) не є ймовірностями за замовчуванням. Використовуйте просте калібрування або порогове визначення на основі вартості, щоб частота сповіщень відповідала можливостям аналітика та схильності до ризику. Якщо промах є дуже дорогим, зміщуйте в бік вищої повноти; якщо проблема полягає у втомі сповіщень, зміщуйте в бік вищої точності.

Оцінюйте за допомогою перевірки з урахуванням часу (навчання на минулому, тестування на майбутньому), а не випадкових розподілів. Тестуйте на золотих інцидентах та запускайте модель у тіньовому режимі, перш ніж вона надсилатиме когось на сторінку. Поєднуйте реальне тестування з канарейковим розгортанням на підмножині сервісів або регіонів.

Щоб зменшити кількість хибно позитивних результатів у виробництві:

  • Збагачуйте події (об’єднуйте контексти, такі як пристрій, географічне розташування, сезонність) перед оцінюванням.
  • Згладжуйте шумні сигнали (ковзаючі вікна) та агрегуйте їх між сутностями, щоб уникнути піків в одній точці.
  • Додайте перевірку з участю людини для сповіщень з високим впливом та надайте рішення у вигляді міток.
  • Відстежуйте дрейф даних та концепцій; встановлюйте частоту перенавчання та поріг повторного навчання, коли базові рівні змінюються.
  • Вимірюйте операційні KPI: MTTD/MTTR, коефіцієнт прийняття сповіщень, час аналітика на випадок.

Вибирайте економічно залежні показники, калібруйте пороги, перевіряйте з часом та замикайте цикл зворотним зв’язком. Саме так ви підтримуєте високу точність, адекватну повноту та контролюєте хибно позитивні результати.

Слід запускати виявлення аномалій у режимі реального часу чи пакетами?

Вибирайте режим реального часу, коли хвилини мають значення (безпека, платежі, критичні операції). Вибирайте пакетний режим, коли вам потрібен глибший контекст, важкі об’єднання або дешевші обчислення. Більшість команд роблять і те, й інше: швидкий скринінг у режимі реального часу, глибокий пакетний перегляд.

Як прийняти рішення (прості емпіричні правила)

  • Вплив/ризик для користувача: Якщо пізнє сповіщення призводить до втрат (схвалення шахрайства, збій у роботі сервісу, проблеми безпеки), переходьте до режиму реального часу. Якщо це операційна тенденція (повільний дрейф, зміщення попиту), то підійде пакетний режим.
  • Форма даних: потокові метрики/журнали → реальний час. Об’єднання кількох таблиць (клієнт, пристрій, географія, історія) → пакетний режим.
  • Вартість та складність: реальний час потребує потокової інфраструктури, створення функцій з низькою затримкою та чіткіших SLO. Пакетний режим простіший, дешевший та легший для пояснення.
  • Якість сигналу: реальний час може бути шумним; очікуйте більше хибних спрацьовувань, якщо ви не збагатите функції на периферії. Пакетний режим дозволяє вам усунути шум, агрегувати та додавати бізнес-контекст для кращої точності.
  • Пояснення та RCA: якщо вам потрібен аналіз першопричин та перевірка людиною, заплануйте пакетне завдання після потоку, щоб додати докази (журнали, трасування, квитки).

Розумний шаблон (гібридний):

  • Рівень 1 (потік): Легка модель оцінює події та викликає лише високодостовірні сповіщення або тимчасові затримки (наприклад, підвищення автентифікації).
  • Рівень 2 (пакетний): Переоцінка тих самих подій з розширеними функціями, перевірка дрейфу, повторне калібрування порогів та надсилання курованих випадків аналітикам.
  • Цикл зворотного зв’язку: Рішення аналітиків стають мітками. Регулярно перенавчайтеся, щоб обидва рівні залишалися узгодженими.

Використовуйте реальний час для стримування швидких ризиків та пакетний процес для підвищення точності та довіри. Гібридний конвеєр забезпечує швидкість та глибину без надмірного сповіщення.

Робочий процес для управління аномаліями за допомогою GenAI (повний цикл)

GenAI не замінює ваш детектор; він пришвидшує все навколо нього: сортування, нотатки про першопричини, варіанти виправлення та оновлення зацікавлених сторін, водночас тримаючи людину в курсі для прийняття рішень.

Як це вписується, крок за кроком:

  1. Тригер та сортування

Ваша модель виявлення аномалій (ліс ізоляції, LOF/DBSCAN, однокласова SVM, автокодер тощо) піднімає тривогу. GenAI отримує сусідні сигнали (журнали, метрики, трасування, нещодавні розгортання) та складає одно сторінковий зведений звіт: що змінилося, коли, радіус вибуху та оцінка достовірності. Люди схвалюють/коригують.

  1. Розслідування та першопричина

GenAI запитує історію (подібні інциденти, квитки на зміни, інциденти поблизу цього сервісу/продавця/пристрою) та пропонує ймовірні причини: дрейф конфігурації, пік трафіку, збій датчика, сплеск швидкості шахрайства. Він пропонує 2–3 швидкі перевірки (наприклад, порівняння розподілів до/після інциденту, виконання запиту на доцільність) для підтвердження або виключення гіпотез.

  1. Пропозиції щодо вирішення

Враховуючи підтверджений шаблон, GenAI генерує потенційні виправлення (наприклад, правило обмеження, підвищення авторизації, відкат, прапорець функції, перекалібрування датчика) з урахуванням переваг/недоліків, ризику та очікуваного часу виконання. Черговий вибирає одне та додає захисні огородження.

  1. Виконання та координація

GenAI відкриває завдання, публікує оновлення Slack/Teams та заповнює часову шкалу інциденту. Якщо політика дозволяє, він виконує безпечну автоматизацію (тимчасові блокування, обмеження швидкості, розподіл трафіку) за затвердженим людиною сценарієм.

  1. Після інциденту та навчання

GenAI пише перший варіант звіту про інцидент: часову шкалу, фактори, що сприяють інциденту, переміщені метрики (точність/повторність, AUC-PR, MTTD/MTTR) та що налаштовувати (пороги, функції, частота перенавчання). Аналітики переглядають, виправляють та публікують.

Чому це допомагає:

  • Швидкість: Швидше сортування та RCA з багатшим контекстом.
  • Узгодженість: Стандартизовані робочі книги та комунікації зменшують дисперсію.
  • Цикл навчання: Кожне рішення стає міткою або функцією, що покращує точність у майбутньому та зменшує кількість хибно позитивних результатів.

GenAI діє як другий пілот у виявленні аномалій, прискорюючи сортування та комунікацію, тоді як експерти контролюють дії та ризики.

Як почати з виявлення аномалій за допомогою ШІ?

  1. Визначте, що важливо

Перш ніж вибирати інструменти чи алгоритми, чітко визначте свою аномалію. Чи це шахрайська транзакція, несправний датчик чи сплеск у журналах помилок? Запишіть, кого викликають і як виглядає успіх (наприклад, «Скоротити час простою на 25%» або «Зменшити зниження кількості хибних випадків шахрайства на 15%»). Це прив’язує проект до результатів, а не лише до технологій.

  1. Почніть вузько, а не широко

Не намагайтеся кип’ятити океан. Виберіть один або два потоки з високою цінністю, де аномалії мають вимірювані бізнес-витрати. Цілеспрямований пілотний проєкт заробляє довіру та бюджет.

  1. Виберіть правильну першу модель

Якщо міток недостатньо, почніть з Isolation Forest або LOF. Якщо ви працюєте з журналами або часовими рядами, протестуйте автокодер. Якщо у вас вже є добре позначені дані про шахрайство або дефекти, додайте контрольовану базову лінію для порівняння.

  1. Спочатку тінь, потім активація

Запустіть модель у фоновому режимі протягом кількох тижнів. Калібруйте порогові значення відповідно до можливостей аналітиків та бізнес-ризиків. Тільки коли точність буде прийнятною, слід випускати сповіщення в режимі реального часу.

  1. Замкніть цикл зворотного зв’язку

Рішення аналітиків, хибно позитивні результати та сигнали дрейфу – це не шум; це навчальні дані. Поверніть їх назад у модель, щоб з часом покращити точність.

  1. Управління не є необов’язковим

Плануйте перенавчання, контролюйте дрейф та тримайте людину в курсі чутливих або сильно впливаючих аномалій. Це запобігає руйнуванню довіри та допомагає задовольнити потреби відповідності. Вам не потрібно створювати ідеальну систему з першого дня. З mAITRYx™ ви отримуєте перевірену, готову до використання пробну версію для тестування рішень на основі штучного інтелекту, генного штучного інтелекту або агентного штучного інтелекту, використовуючи ваш власний бізнес-контекст і дані.

Забезпечення триває лише 8 тижнів, витрачаючи лише 2–4 години вашого часу на тиждень, і все це за символічну інвестицію, допоможе вам почати з малого, швидко перевірити результати та впевнено розширюватися.

dzone.com

Related Posts