デバイスの異常を検出する新しい方法
相互接続されたデバイスの問題を効果的に特定するための革新的なアプローチ。
― 1 分で読む
目次
今日の世界では、多くの組織がサービスをスムーズに運営する必要があるんだ。これはしばしば、さまざまなデバイスやサーバーを監視することを意味するよ。それぞれのデバイスには独自のデータセットがあって、センサーや他のソースから来ることがあるんだ。技術が進化するにつれて、問題を見つける方法も進化してきたけど、多くの既存の方法はデバイス同士の通信を無視しているんだ。
この記事では、デバイスのネットワークで問題を見つける新しい方法を紹介するよ。主な目的は、ユーザーがどのデバイスに問題があるかを見つけるだけでなく、なぜその問題が起こったのかを説明することなんだ。
問題
デバイスが時間とともにデータを集めると、全てを手作業で確認するのは難しくなるんだ。従来の監視方法では、問題を見逃したり、遅れて報告したりすることが多いから、複数のデバイスからのデータにおける異常な振る舞いを素早く見つける有効な方法を持つことが重要なんだ。
私たちのアプローチ
私たちは異常を検出する新しい方法を2ステップで提案するよ。まず、デバイス同士の関係を見ていくんだ。この関係は変化することがあって、明確ではない理由によって影響を受けることもある。次に、データのパターンを使って、デバイスが異常な振る舞いをする時を特定するんだ。パターンにフォーカスすることで、データをより良く解釈し理解できるようになるんだ。
データ収集
私たちの方法をテストするために、2つの公開データセットを集めたよ。1つは放送業界から、もう1つはインターネット企業から来てるんだ。私たちの新しいアプローチは非常に良いパフォーマンスを示して、既存の多くの方法よりも高い精度を達成し、しかもずっと早くやってのけたんだ。
デバイスの類似性の重要性
現在の環境には多くの接続されたデバイスが含まれていて、それぞれが大量のデータを生成しているんだ。企業はしばしばデータのストリームを記録するけど、デバイスが多すぎると全てのログを手動で確認するのは現実的じゃない。それで、異常を自動で検出できる方法を見つけることが重要になるんだ。
コンテキスト異常
私たちは、コンテキスト異常を特定することに焦点を当てているよ。これは、デバイスが期待される振る舞いとは違う行動をする時、特に多くの接続されたデバイスが同じ異常な振る舞いを示している時に知りたいってことなんだ。
既存の方法
オムニ異常やUsadのような異常検出の現代的な方法は主に単一デバイスのデータを見ているよ。これらは振る舞いの問題を見つけることができるけど、デバイスがネットワーク内でどのように相互作用するかは考慮していないんだ。この見落としが問題を見逃すことにつながることがあるんだ。
強化された検出の必要性
接続されたデバイスから追加情報を考慮することで、異常検出の精度が向上すると思っているよ。例えば、あるデバイスが奇妙な振る舞いをしている時、そしてそのデバイスに接続されたもう1つのデバイスも同時に奇妙に振る舞うなら、これは大きな問題を示しているかもしれないんだ。
効率的な類似性測定
デバイスの行動を比較するためには、データの類似性を見つけるための迅速な方法が必要なんだ。時間系列データ(時間とともに収集されたデータポイント)同士の関連性を迅速に評価する特定の方法を使っているよ。これらの方法は、個別のデータポイントを比較するだけでなく、全体のトレンドやパターンを見ているんだ。
類似性のフィルタリング
類似性を収集する際には、無関係なデバイス同士の偽の関係を避けるためのチェックも実施するよ。これは異なるタイプのデバイスからのデータが似た振る舞いをするはずでも、かなり異なって見えることがあるから重要なんだ。
異常検出のステップ
ステップ1: 類似デバイスの発見
まず、データに基づいて似ているかもしれないデバイスを特定するよ。次に、問題のあるデバイスと接続されているデバイスの関連する時間系列データを全て集めるんだ。
ステップ2: パターンのマイニング
データが揃ったら、時間系列の共通パターンを探すよ。これらのパターンを調べることで、デバイスの振る舞いをより効率的に比較するのに役立つ埋め込み(数理的表現)を作成できるんだ。
ステップ3: 異常スコアの計算
最後に、パターンを構築した後、異常スコアを計算するよ。このスコアは、デバイスの振る舞いが過去のパターンに基づいてどれほど異常であるかを判断する手助けになるんだ。
データ変換
データを準備するためには、連続的な時間系列を離散的なシーケンスに変換する必要があるんだ。この変換により、パターンを容易にマイニングできるようになって、これは私たちの検出戦略の重要な部分なんだ。
パラメータの選択
データを処理する際には、適切なパラメータを選ぶことが重要だよ。間違った設定は悪い結果につながるから、データを離散的なシーケンスに変換するためのインターバルや方法を慎重に考慮する必要があるんだ。
ビンニング方法
データを変換する際には、いくつかのビンニング方法を使うことができるよ。これらはデータポイントをどのようにグループ化するかを決定するんだ。例えば、等しいサイズのビンを作成するか、共通の分布に基づくものを選ぶかもしれない。それぞれの方法には利点と欠点があって、異常検出の最終結果に影響を与えることがあるんだ。
パターンのフィルタリング
パターンを探すときには、フィルターを設けることが重要だよ。興味深く意味のあるパターンに焦点を当てることで、無関係なものに圧倒されないようにしたいんだ。
記述長の使用
私たちがパターンをフィルタリングするために使用する戦略の一つは、これらのパターンを使ってどれだけデータを圧縮できるかに基づいているよ。時間系列データをエンコードする際にスペースを省けるなら、そのパターンは興味深いとみなすんだ。
面白いパターンのマイニング
価値のあるパターンを見つけるために、特定の制約を考慮しながらパターンを探すアルゴリズムを実装しているよ。これらの制約は、私たちが探すパターンを絞り込むのに役立つんだ。
深さ優先探索
私たちの方法は深さ優先探索戦略を使っていて、最も有望なオプションに焦点を当てることで、潜在的なパターンを効率的に探ることができるんだ。
埋め込みの作成
パターンを持ったら、各時間系列の埋め込みを作る必要があるよ。この埋め込みは、データの中でパターンがどれだけ頻繁に発生するかを表すんだ。
効率的な計算
すべてのシーケンスにわたって個々のパターンをチェックする代わりに、どのパターンが合うかを識別するプロジェクションを作成することで、プロセスを最適化しているよ。
異常スコアの計算
最後のステップは、各時間系列ウィンドウの異常スコアを計算することだよ。このスコアは、現在の振る舞いが異常である可能性を示す手助けになるんだ。
アイソレーションフォレスト
このスコアを計算するために、アイソレーションフォレストという方法を使うんだ。これは、データポイントが全体のデータセットと比較してどれだけ孤立しているかを評価することで働くんだ。点が孤立しているほど、その点が異常を示す可能性が高くなるんだ。
頻繁パターン外れ値ファクター
アイソレーションフォレストに加えて、頻繁パターン外れ値ファクターも考慮することがあるよ。このファクターは、現在のデータウィンドウに合う頻繁なパターンがどれだけあるかに焦点を当てるんだ。
エッジ関係の特定
私たちのアプローチの別の目標は、異なるデバイス間の関係を特定することなんだ。これは、ネットワーク内でさまざまなデバイスがどのように相互作用するかを理解するために重要だよ。
密度ベースのフィンガープリンティング
これらの関係のより明確な画像を作るために、各時間系列の密度ベースのフィンガープリンティングを生成しているよ。このプロセスは、データを低次元の方法で要約することができるんだ。
頻繁な関係タイプの発見
見つけたパターンを調べることで、異なるデバイスのセンサー間の頻繁な関係タイプを発見できるんだ。これにより、デバイス同士がどのように影響し合っているかのネットワークがより明確になるんだ。
貢献の要約
私たちの方法は、デバイスのネットワーク内で異常を検出する新しいアプローチを提供するよ。各デバイスの個々の振る舞いと、接続されたデバイスとの相互作用の両方を考慮しているんだ。
人間の解釈可能性
私たちの方法の重要な特徴の一つは、解釈可能であることだよ。これは、ユーザーが結果を簡単に理解し、結論に至ったパターンを調べることができるということだから、実用的なアプリケーションに向いているんだ。
パフォーマンス評価
私たちの方法は、異常を検出するパフォーマンスを既存の技術と比較して評価したよ。複数のテストで、私たちのアプローチは数多くの有名な方法よりも優れていて、より高い精度だけでなく、より良い効率も提供しているんだ。
実際のアプリケーション
私たちの発見は、デバイスのネットワークを監視する必要がある多くの業界に関連しているよ。通信、製造、スマートホームなど、異常を素早く正確に検出する能力はますます重要になってきているんだ。
結論
この記事は、デバイスのネットワーク内で異常を検出するための新しい方法を紹介しているよ。個々のセンサーのデータだけでなく、デバイス間の接続性を考慮することで、私たちのアプローチは時間とともに行動のより完全な画像を提供するんだ。
私たちの結果は、この方法が効果的で効率的で解釈可能であることを示していて、ますます相互接続された世界でサービスの質を維持しようとする組織にとって貴重なツールになるんだ。
タイトル: Efficient pattern-based anomaly detection in a network of multivariate devices
概要: Many organisations manage service quality and monitor a large set devices and servers where each entity is associated with telemetry or physical sensor data series. Recently, various methods have been proposed to detect behavioural anomalies, however existing approaches focus on multivariate time series and ignore communication between entities. Moreover, we aim to support end-users in not only in locating entities and sensors causing an anomaly at a certain period, but also explain this decision. We propose a scalable approach to detect anomalies using a two-step approach. First, we recover relations between entities in the network, since relations are often dynamic in nature and caused by an unknown underlying process. Next, we report anomalies based on an embedding of sequential patterns. Pattern mining is efficient and supports interpretation, i.e. patterns represent frequent occurring behaviour in time series. We extend pattern mining to filter sequential patterns based on frequency, temporal constraints and minimum description length. We collect and release two public datasets for international broadcasting and X from an Internet company. \textit{BAD} achieves an overall F1-Score of 0.78 on 9 benchmark datasets, significantly outperforming the best baseline by 3\%. Additionally, \textit{BAD} is also an order-of-magnitude faster than state-of-the-art anomaly detection methods.
著者: Len Feremans, Boris Cule, Bart Goethals
最終更新: 2023-05-07 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2305.05538
ソースPDF: https://arxiv.org/pdf/2305.05538
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。