Elasticsearch：什么是异常检测？

异常检测定义

异常检测是识别数据集中或系统中偏离正常范围的数据点的过程。在数据分析或通过机器学习时，异常检测会标记那些不符合你平常模式或大多数数据统计模型的实例。异常可以表现为离群点、意外变化或错误，具体取决于你分析的数据类型和设定的预定义参数。异常检测的作用在于可以快速高效地锁定潜在问题或威胁，维护系统的完整性和可靠性。

异常类型

以下是异常检测方法可以发现的几种异常类型。（需要注意的是，这些类别并非相互排斥；异常可能同时具有多个类别的特征。）

• 点异常（Point anomalies）是指明显不同于数据集其余部分的单个数据点。例如，某个信用卡持有人突然出现一笔大额消费，这与其平常行为不符，就会被标记为点异常，需调查是否为信用卡欺诈。
• 上下文异常（Contextual anomalies ）指数据点的正常行为会根据上下文环境变化。例如，零售网站在 “黑色星期五” 这个一年中最繁忙的购物日，访问量和销售额大幅增加，在其他时间这种激增会被视为异常，因此针对这一天会设置特殊参数。
• 集体异常涉（Collective anomalies）及一组数据点整体表现出异常行为，即使单个数据点看起来正常。这些异常通过观察多个数据点间的关系或模式来识别。DDoS 攻击就是集体异常的例子，因为它来自多个源的流量与正常流量模式不同。
• 时间异常（Temporal anomalies）和时间序列异常（time series anomalies）发生在时间序列数据中出现偏差，如事件顺序或季节变化。例如，旅游胜地旺季时间的变化、特定季节的异常天气模式，或非高峰时段的流量激增，都是时间异常。
• 空间异常（Spatial anomalies）和地理异常涉（geographic anomalies及空间或地理数据中发生的异常。通过观察数据点之间的空间关系来发现异常。例如，在公共健康数据中，某地区被诊断出某疾病的人数异常集中，这属于空间异常，需要调查是否局部爆发。

为什么异常检测重要？

异常检测重要因为它帮助你发现异常的模式、行为或事件，这些异常可能会导致未来出现问题。通过监控你选择的每个系统和数据集，组织可以及时收到潜在风险、低效和异常的警报。这让你能快速主动地干预，防止问题升级。了解业务各方面的异常，能保持运行顺畅，指出需要改进的重点，也能保护你免受内部和外部攻击。

异常检测如何工作

异常检测首先建立一个基线行为模型，这个模型代表数据在正常运行时的预期模式和行为，通常基于历史数据或正常行为的代表样本创建。

建立正常行为模型后，新的数据会与该模型进行对比。系统会评估数据点与正常行为特征的匹配程度，任何显著偏离的点都会被标记为异常。（这些偏差可通过各种统计技术、机器学习算法或基于规则的方法识别。）

接下来，对检测出的异常进行进一步调查，了解其原因和影响。验证异常非常重要，以确保它们不是因测量误差或随机波动产生的误报或离群点。确认异常后，就需要采取行动，比如进一步调查、维护或修复、安全措施、质量控制调整，或其他能减少影响的步骤。

异常检测技术

大多数异常检测技术可以分为基于规则的和基于机器学习的两类。基于机器学习的技术又分为三种：监督学习、无监督学习和半监督学习。你选择哪种技术，取决于你要解决的问题具体需求以及你拥有多少带标签的数据。

• 监督学习（Supervised ML）异常检测技术需要带标签的数据，在训练时明确区分正常和异常样本。模型学习正常数据的模式，然后根据所学内容对新数据点进行正常或异常的分类。

• 无监督学习（Unsupervised ML）异常检测技术不依赖带标签数据，假设异常是罕见且明显不同于大多数数据的。此类技术目标是识别异常模式、离群点或偏离正常行为的情况。

• 半监督学习（Semi-supervised ML）异常检测技术结合了带标签和无标签数据，利用带标签数据建立正常行为的基线，然后用无标签数据检测偏离基线的异常。这在处理非结构化数据时尤其有效。

虽然机器学习在异常检测中常用，但也要注意其他技术（如统计方法、基于规则的方法和信号处理技术）也能用于异常检测。这些非机器学习技术依赖不同的原理和算法来识别数据中的异常。

异常检测的应用场景

异常检测在多个领域有广泛的应用，以下是一些常见的用例：

• 网络安全：异常检测帮助识别网络流量、系统日志和用户活动中的异常模式或行为，及时发现入侵尝试、恶意软件和数据泄露等网络威胁。

• 应用和系统监控：异常检测对监控应用性能、服务器和网络基础设施至关重要。它能快速发现和报告如延迟、CPU 使用率和内存使用等指标中的异常，从而避免潜在的系统故障。

• 欺诈检测：异常检测可以针对信用卡欺诈和身份盗窃，识别异常消费模式、异常地理位置的交易和其他可疑活动。

• 硬件维护：利用异常检测监测硬件状况，包括 CPU 温度、风扇转速和电压水平等，及早发现可能的故障风险，提前安排维护避免停机。

• 用户行为分析：异常检测分析应用、网站及其他在线平台上的用户行为模式和趋势，帮助发现异常用户交互，同时避免用户画像，支持个性化安全措施。

异常检测的好处

异常检测有很多好处，以下是其中几种能帮助你的组织的方式：

• 它让你能及早发现问题，在问题变得更严重之前采取行动，避免可能的损害或中断。

• 它在识别可能的恶意活动（如网络攻击或欺诈）中起关键作用，帮助你快速发现潜在威胁，提升安全性。

• 通过发现系统性能的偏差，它可以识别效率低下的地方，帮助你优化流程，改进整体系统。

• 对客户服务至关重要，因为它能发现可能影响客户满意度的异常，比如服务中断或客户咨询量异常增加，这可能预示问题。

• 基于机器学习的异常检测还能持续监控系统，保证全天候保护。

• 它还能帮助你遵守监管要求，识别偏离法规或行业标准的情况。

异常检测的局限性和挑战

异常检测技术存在一些局限性和挑战，需注意以下缺点：

• 监督式机器学习模型通常需要大量标注数据才能表现良好。如果训练模型的标注数据不足，准确率会下降。

• 为异常检测算法设定不准确的阈值可能导致各种报告错误。

• 如果算法基于已过时的历史模型训练，模型性能可能会下降，而更新模型通常耗时且繁琐。

• 即使阈值准确，算法偶尔也会产生误报（正常数据被误判为异常）或漏报（异常未被检测）。在减少误报和漏报之间取得平衡往往很难，因为减少一种错误往往会增加另一种。

• 异常检测算法对噪声或无关数据较敏感，需要使用预处理和噪声过滤方法来缓解。

• 当应用于大规模数据集或实时流数据时，扩展性可能成为挑战，组织可能需要比现有更多的计算资源。

异常检测最佳实践

遵循异常检测的最佳实践能帮助你获得更好效果，注意以下几点：

• 在开始前，务必深入了解你数据的模式和特征。

• 建立尽可能准确的基线模式或预期行为阈值。不要忽视这一步，否则以后会遇到问题。

• 选择适合你组织数据类型的异常检测技术。（如果需要，也可以结合多种技术使用。）

• 定期监控异常检测系统的性能，若数据发生变化，要及时更新系统。

• 有疑问时，及时请教相关领域的专家团队成员，他们能帮助更准确地解读结果。

Elastic 异常检测

Elastic 提供了一个清晰且易用的界面，利用多种机器学习技术，实现对数据的复杂实时分析。Elastic 的异常检测功能包括分步工作流程，帮助你构建更完善的异常检测机器学习任务。它还提供可视化工具，使你更容易理解异常情况及其潜在根因，并能可靠地检测你不同领域中的异常行为。

了解更多关于 Elastic 机器学习以及 Elastic Observability 如何助力你的业务。

异常检测资源

• Kibana 指南：异常检测

• 异常检测入门

• 异常检测算法

• 地理数据中异常位置的检测