Tecnica di rilevamento anomalie consigliata per uno scenario semplice e monodimensionale?

Question

Ho uno scenario in cui ho diverse migliaia di istanze di dati. I dati stessi sono rappresentati come un singolo valore intero. Voglio essere in grado di rilevare quando un'istanza è un valore anomalo estremo.

Ad esempio, con i seguenti dati esempio:

a = 10 
b = 14 
c = 25 
d = 467 
e = 12 

d è chiaramente un'anomalia, e vorrei per eseguire un'azione specifica sulla base di questo.

Sono stato tentato di provare solo a utilizzare la mia conoscenza del dominio particolare per rilevare le anomalie. Ad esempio, calcola una distanza dal valore medio che è utile, e controlla quello, in base all'euristica. Tuttavia, penso che sia probabilmente meglio se indago su tecniche di rilevamento delle anomalie più generali e robuste, che hanno qualche teoria dietro di esse.

Poiché la mia conoscenza pratica della matematica è limitata, spero di trovare una tecnica semplice, come l'uso della deviazione standard. Speriamo che la natura a dimensione singola dei dati renderà questo problema abbastanza comune, ma se sono necessarie più informazioni per lo scenario, si prega di lasciare un commento e darò maggiori informazioni.

---

Edit: ho pensato di aggiungere altre informazioni sui dati e quello che ho provato nel caso in cui si fa una risposta più corretta di un altro.

I valori sono tutti positivi e diversi da zero. Mi aspetto che i valori formino una distribuzione normale. Questa aspettativa si basa su un'intuizione del dominio piuttosto che attraverso l'analisi, se questa non è una cosa negativa da assumere, per favore fatemelo sapere. In termini di clustering, a meno che non ci siano anche algoritmi standard per scegliere un valore k, troverei difficile fornire questo valore ad un algoritmo k-Means.

L'azione che voglio fare per un anomalia/anomalia è presentarla all'utente e consigliare che il punto dati sia sostanzialmente rimosso dal set di dati (non entrerò nel modo in cui lo farebbero, ma ha senso per il mio dominio), quindi non sarà usato come input per un'altra funzione.

Finora ho provato il test a tre sigma e IQR sul mio set di dati limitato. I valori dei flag IQR non sono abbastanza estremi, three-sigma indica le istanze che meglio si adattano alla mia intuizione del dominio.

---

Informazioni su algoritmi, tecniche o collegamenti a risorse per conoscere questo scenario specifico sono risposte valide e benvenute.

Che cos'è una tecnica di rilevamento anomalie consigliata per dati unidimensionali semplici?

Answer 1

Partenza il three-sigma rule:

mu = mean of the data 
std = standard deviation of the data 
IF abs(x-mu) > 3*std THEN x is outlier 

Un metodo alternativo è la IQR outlier test:

Q25 = 25th_percentile 
Q75 = 75th_percentile 
IQR = Q75 - Q25   // inter-quartile range 
IF (x < Q25 - 1.5*IQR) OR (Q75 + 1.5*IQR < x) THEN x is a mild outlier 
IF (x < Q25 - 3.0*IQR) OR (Q75 + 3.0*IQR < x) THEN x is an extreme outlier 

questo esame viene di solito impiegato da Box plots (indicato dalle basette):

---

EDIT:

Per il vostro caso (semplici dati univariati 1D), penso che la mia prima risposta è adatto. Questo tuttavia non è applicabile ai dati multivariati.

@smaclell suggerito utilizzando K-mezzo per trovare i valori anomali. Oltre al fatto che si tratta principalmente di un algoritmo di clustering (non proprio una tecnica di rilevamento anomalo), il problema con k-means è che richiede in anticipo un buon valore per il numero di cluster K.

Una tecnica più adatta è il DBSCAN: un algoritmo di clustering basato sulla densità. Fondamentalmente cresce regioni con densità sufficientemente alta in gruppi che saranno il massimo insieme di punti connessi alla densità.

DBSCAN richiede due parametri: epsilon e minPoints. Inizia con un punto arbitrario che non è stato visitato. Quindi trova tutti i punti vicini entro la distanza epsilon del punto di partenza.

Se il numero di vicini è maggiore o uguale a minPoints, è formato un cluster. Il punto di partenza e i suoi vicini vengono aggiunti a questo cluster e il punto di partenza viene contrassegnato come visitato. L'algoritmo quindi ripete ricorsivamente il processo di valutazione per tutti i vicini.

Se il numero di vicini è inferiore a minPoints, il punto è contrassegnato come rumore.

Se un cluster è completamente espanso (tutti i punti a portata di mano vengono visitati), l'algoritmo procede per iterare attraverso i restanti punti non visitati fino a quando non sono esauriti.

Infine l'insieme di tutti i punti contrassegnati come rumore sono considerati valori anomali.

Answer 2

Ci sono una varietà di tecniche di clustering si potrebbe usare per cercare di identificare le tendenze centrali all'interno dei dati. Uno di questi algoritmi che abbiamo usato pesantemente nel mio corso di riconoscimento di pattern è stato K-Means. Ciò consentirebbe di identificare se esistono più set di dati correlati, ad esempio bimodal distribution. Ciò richiede di avere una certa conoscenza di quanti cluster aspettarsi, ma è abbastanza efficiente e facile da implementare.

Dopo si hanno i mezzi si potrebbe poi cercare di scoprire se un qualsiasi punto è lontano da qualsiasi dei mezzi. Puoi definire 'lontano' come vuoi ma consiglio i suggerimenti di @Amro come un buon punto di partenza.

Per una discussione più approfondita degli algoritmi di clustering fare riferimento alla voce wikipedia sul clustering.

Answer 3

Vengono spesso utilizzate sia la regola del tre-sigma che il test IQR e vi sono un paio di semplici algoritmi per rilevare le anomalie.

The three-sigma rule is correct 
mu = mean of the data 
std = standard deviation of the data 
IF abs(x-mu) > 3*std THEN x is outlier 

Il test dovrebbe essere IQR:

Q25 = 25th_percentile 
Q75 = 75th_percentile 
IQR = Q75 - Q25   // inter-quartile range 
If x > Q75 + 1.5 * IQR or x < Q25 - 1.5 * IQR THEN x is a mild outlier 
If x > Q75 + 3.0 * IQR or x < Q25 – 3.0 * IQR THEN x is a extreme outlier