一、什么是异常检测

数据中的异常数据通常被认为是异常点、离群点或孤立点，这些数据的特征与大多数数据不一致，呈现出“异常”的特点，检测这些或这种类型的数据的方法称为异常检测（anomaly detection）、偏差检测（deviation detection）、例外挖掘（exception mining）。

异常值包括单变量异常值和多变量异常值，身高、体重或身高和体重；异常（值）产生的原因：

• 数据输入错误
  人为错误（如数据收集，记录或输入过程中导致的错误）会导致数据中的异常值。 例如：客户的年收入是10万美元，但意外地，数据输入操作附加一个零。 现在的收入就是100万美元，是10倍。 显然，与其他人相比，这将是异常值。
• 测量误差
  这是异常值最常见的来源。 当使用的测量仪器出现故障时，会引起这种情况。 例如：有10台称重机。 其中9个是正确的，1个是错误的。 故障机器上的人员测量重量将高于或低于组内其余人员。 在故障机器上测量的重量可能导致异常值。
• 实验误差
  异常值的另一个原因是实验误差。 例如：在7名跑步者的100米冲刺中，有一名选手错过了跑的口令，让他开始延迟。 因此，这使得跑步者的跑步时间比其他跑步者要多， 总运行时间可能是一个异常值。
• 故意异常值
  通常在自我报告的措施中涉及敏感数据。 例如：通常青少年报告酒量，只有其中一小部分报告具有实际价值，这里的实际值可能看起来像异常值，因为其余的青少年正在假值。
• 数据预处理或处理错误
  无论何时执行数据挖掘，我们从多个来源提取数据。 某些操作或提取错误可能会导致数据集中的异常值。
• 抽样错误
  例如，衡量乒乓球运动员的身高，错误地在样品中包括几名NBA篮球运动员。 这种包含可能会导致数据集中的异常值。
• 自然异常值
  当异常值不是人为的（由于错误），它是一个自然的异常值。 例如：注意到其中一家著名的保险公司，前50名财务顾问的表现远远高于其他人。 令人惊讶的是，这不是由于任何错误。 因此，每当与顾问一起执行任何数据挖掘活动时，我们都会分别对待此细分。

（1）异常值检测作为一个独立的过程，识别异常的事件或对象：

例如异常订单识别、风险客户预警、黄牛识别、贷款风险识别、欺诈检测、技术入侵、客户异常识别（被盗号、外挂）、信用卡欺诈、药物变异识别、恶劣气象预测、网络入侵检测、流量作弊检测、次品检测（工业界）等。

——通过用户的点击某个页面的次数、登录频率、发帖次数、速度等等，通过其异常或奇怪的行为，检测其是否为异常用户（被盗号、外挂）。

（2）作为数据预处理过程的一部分：被看作噪音，识别后还需要进行后续处理，以更好地为后续数据建模过程做准备。处理方法一般有：

• 删除：如果确定是噪音数据，错误数据，可以直接删除。
• 不处理—选用不受影响的算法：如果不想删除（可能因为不知道是不是噪音数据—宁可放过不可错杀，或者是噪音数据但不想删除），可以使用一些对异常点不那么敏感的算法。
• 特征缩放（例如归一化、标准化）：如果不想删除，算法又对异常值敏感，可以对其进行数据转换，比如标准化。但是要考虑特征缩放可能会破坏数据集的结构分布。

---

异常值检测的方法

0、数据预处理中常用的简单方法：Tukey's test方法

一个异常阶（outlier step）被定义成1.5倍的四分位距（interquartile range，IQR）。一个数据点如果某个特征包含在该特征的IQR之外的特征，那么该数据点被认定为异常点。

1、基于统计分布的方法

构建一个概率分布模型，并计算每个数据对象符合该模型的概率，把具有低概率的对象视为异常点。如果模型是簇的集合，则异常是不显著属于任何簇的对象；如果模型是回归时，异常是相对远离预测值的对象。

用户指定一个概率分布，例如常用正态分布，然后根据数据集计算分布的参数，得到概率密度函数，就可以估计每个对象在该分布下的概率。

——一元情况下的直观理解就是，计算每个数据对象距离均值点的距离，比如在标准正态分布下，超过4个标准差的值出现的可能性是万分之一。

方法评价：

当存在足够的数据和domain knowledge时，非常有效（因为概率分布的类型是人为判断指定的，如果指定了正态分布，而该数据集服从的实际是类似正态分布的其他分布，那么异常值检测可能出现问题）。

处理多元数据、高维数据的效果较差。

2、基于邻近度的方法

基本思路：在特征空间中，如果一个数据对象是异常的，那么它一定是远离大部分点的。而邻近度（距离）的度量，可以使用k最近邻距离。

离群因子：基于当前点到其k-最近邻邻域范围内的所有点的距离的平均值来定义。离群因子越大，越可能是离群点。

方法评价：

优点是易于理解，缺点一是大规模数据下，计算开销较大（需要O(m²)时间），二是不能处理不同区域具有不同密度的数据集，如图，异常值C可以识别，但异常值D不能识别。

3、基于密度的方法：LOF（Local Outlier Factor）

异常值定义为低密度区域的数据对象。

密度的衡量有绝对密度和相对密度之分，一般使用与数据对象的邻域相关的相对密度（局部相对密度）。

方法评价：

优点

不需要对数据的分布做太多要求（相比基于统计分布的方法）。

可以处理不同区域具有不同密度的数据集（相比邻近度方法）。

可以量化每个数据点的异常程度（相比基于聚类的方法）。

缺点

时间复杂度仍然较高。

仍然面临调参困难问题。

4、基于聚类的方法

聚类的目的是为了发现强相关的数据对象的组，而异常检测则相反，为了发现不与其他数据对象强相关的数据对象，因此可以反向使用聚类算法进行异常检测。

思路：首先聚类所有数据对象，然后评估对象属于簇的程度。定量评估的方法可以基于目标函数来计算，例如对于K均值算法来说，删除某个点后能够显著的改善该簇的误差平方和（SSE），那么该点就是离群点。

方法评价：

优点

有些聚类算法（如K均值）的时间和空间复杂度较低，计算代价较小。

缺点

每种聚类算法可能只适合特定数据类型，需要谨慎选择。

通常只能给出 0/1 的判断（是不是异常点），不能量化每个数据点的异常程度。