異常檢測的方法評估

內容目錄

Confusion Matrix
RankPower Metric
Receiver Operating Characteristic (ROC) Curve

當我們在進行異常檢測時，通常會需要注意三個條件：

正確的偵測：檢測到的異常資料需要與流程設計想要找到的異常資料是一致的
False Positives：檢測過程都是正常的，但將一些系統原先就會出現的noise當成異常
False Negatives：過程中其實有檢測出異常資料，但並沒有紀錄，因為跟noise相比之下實在太過於薄弱，難以辨別究竟是noise還是outlier

Confusion Matrix

因為我們探討的是異常檢測的問題，所以 $quicklatex.com-fcb93c4e33896d4845c38c2880d4e300_l3 異常檢測的方法評估$ 表示為異常值， $quicklatex.com-33fa437403cd49c90f7cea1709f796c9_l3 異常檢測的方法評估$ 表示為正常值，並且表中還有一些符號是

a: TP(True Positive)
b: FN(False Negative)
c: FP(False Positive)
d: TN(True Negative)

以及傳統常見的分類方法計算出來：

這類計算方法使用在許多的問題上，然而在異常檢測的問題上光用這套方法會忽略掉一些東西，試想一些異常檢測在進行準確度的限制，假設negative資料的數量是9990，而positive資料的數量是10，如果model想要預測的是normal class，最後預測的結果出來是 $quicklatex.com-5da74c6f67b4c8342d244e3eb05c5f2f_l3 異常檢測的方法評估$ , 而你可以注意到這樣的結果其實已經誤導了因為根本忽略掉那些真正的異常值，以及其他常見的評估方法例如像是

Precision (P) =
Recall (R) =
F-measure (F) =
Weighted Accuracy =

如果只使用以上傳統的評估方法似乎會讓真正的異常值埋沒在資訊當中，所以之後有提出另一種方法

RankPower Metric

$quicklatex.com-d1f51d337625ac2120a077461d719afc_l3 異常檢測的方法評估$ 表示成在整個排序好的rank list當中第 $quicklatex.com-07c32326e2a7c347c1c49015f105ee79_l3 異常檢測的方法評估$ 個最可疑的異常值，在這個rank list當中越靠近前面的值要是最有特徵的異常值，使得RankPower計算成

其中 $quicklatex.com-49f6bf27ee94426161ed57c1d7211d3c_l3 異常檢測的方法評估$ 就是決定異常值最大範圍取多少出來，rank list在排序過後，希望是 $quicklatex.com-dbd2a618995b632bf9c811857bdcc446_l3 異常檢測的方法評估$ 這些越靠前面的值越像異常值，而越靠後面的代表越像正常的資料，而在取樣 $quicklatex.com-d0dc5793f9128d6169b4555659deddb1_l3 異常檢測的方法評估$ 到 $quicklatex.com-fe07c8c60718b0392325e1b9f9c32e20_l3 異常檢測的方法評估$ 代表著取出來 $quicklatex.com-5cf3b208031e9ae583cd1630732d1365_l3 異常檢測的方法評估$ 取出最多到 $quicklatex.com-49f6bf27ee94426161ed57c1d7211d3c_l3 異常檢測的方法評估$ 個資料就像

而因為會跟所有取樣的做相比，所以會map到 $quicklatex.com-cf152d51b5accec25c970ffa41d41faf_l3 異常檢測的方法評估$ ，最佳的結果是取 $quicklatex.com-49f6bf27ee94426161ed57c1d7211d3c_l3 異常檢測的方法評估$ 個位置的資料全部都是真正的異常值時可以算出來是1，RankPower如果取樣精確的話精準度會比前面幾種方法都還要來得好。

但我們舉個例子，假設dataset $quicklatex.com-28b53f23391306f718560e0451f8d53e_l3 異常檢測的方法評估$ 擁有的size $quicklatex.com-4a9f2dc769dcc618909ea9c06ce4400f_l3 異常檢測的方法評估$ ，其中裡面存在 $quicklatex.com-fdc4a10f28043bcc4b3a0bfb53ab6c84_l3 異常檢測的方法評估$ 組真正的異常值。

假設一組anomaly detection演算法偵測出 $quicklatex.com-acc786375d4914f46108a730678c6b52_l3 異常檢測的方法評估$ 組資料點是異常的，而 $quicklatex.com-fac9fb8925dadfae418d2b91b3742119_l3 異常檢測的方法評估$ 才是真正異常值，在這個條件下，讓 $quicklatex.com-28b53f23391306f718560e0451f8d53e_l3 異常檢測的方法評估$ 裡真正的異常值出現的rank位置是 $quicklatex.com-d9b5e1483037682007e5420252e35303_l3 異常檢測的方法評估$ ，我們計算一下

可以看到用RankPower並不是最佳的選擇，因為在這個問題之下我們忽略掉了其中一組異常值，使得RankPower的精確度無法達到最佳，但有時候也還是會採用，根據你的問題可以決定要不要承擔捨棄掉一些難以辨別的異常值。

另外在介紹一種curve是許多研究人員都會使用的方法，叫做

Receiver Operating Characteristic (ROC) Curve

透過True Positive Rate(表示為y軸)以及False Positive Rate(表示為x軸)互相繪製出來的曲線，其目的在於顯示當threshold的參數調整時，繪製分類出來的問題其效能曲線圖，透過TPR以及FPR作為點。

上圖使用的資料是相同的，但改變了threshold的演算法以及使用了不同的取樣分佈所以讓點的位置不同

但至於要使用哪一種分佈，由上述的圖片顯示比較兩種不同的方法，可以看到 $quicklatex.com-4f2453db7965582eca4c13871d022d73_l3 異常檢測的方法評估$ 在較低的FPR中表現較好，而 $quicklatex.com-6cae2f642b2ca83b6a9a0e7b7a6fe0db_l3 異常檢測的方法評估$ 在較大的FPR表現較好，面積下最理想是到達 $quicklatex.com-2434f71a57d32d5a70d9038bdfb35103_l3 異常檢測的方法評估$ ，而隨機預測的面積是在 $quicklatex.com-1b5f416a23b77c50d548d97ff5b468b3_l3 異常檢測的方法評估$ 。