【論文筆記】MIDAS:Microcluster-Based Detector of Anomalies in Edge Streams

已于 2022-02-21 12:14:49 修改
阅读量535 收藏 1
点赞数
分类专栏: Deep Learning 文章标签: 深度学习 机器学习 图搜索算法 知识图谱 人工智能
于 2022-02-17 19:54:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44108363/article/details/122983166
版权

文章目录

MIDAS: Microcluster-Based Detector of Anomalies in Edge Streams

0 前言

基於動態圖譜 dynamic graph 來做異常偵測 anomaly detection,像是財務詐欺、網路入侵或是社群垃圾郵件。至2020年止,現有的方法大多專注於 individually surprising edges,但是這種方式將可能錯失大量可疑活動。因此,在本篇中提出MIDAS,主要專注於microcluster anomalies(後續將詳細解說何為microcluster),像是DNS attack, lockstep behavior。而本篇的三大貢獻在於:

  1. 提出False Positive probability的理論上限與下限
  2. 在合理的記憶體與時間內,較 sota(state-of-the-art)快上108 - 505倍
  3. 能夠提升比 sota 高出 46 ~ 52% 的準確度(AUC)

以下將由問題定義出發,解說MIDAS演算法,最後講解實驗與結論。

1 問題

Comparison of relevant edge stream anomaly detection approaches.

1.1 三大目標

相較於上圖中的前兩篇論文,除了先前研究就已經能達到在洽當的記憶體使用量與運算時間達成異常偵測,更多了microcluster detection 和 False positive probability,以下有詳細定義。

  1. Microcluster Detection: 這裡的 microcluster 定義為短時間內爆量的活動,含有重複的 edge / node。
  2. Guarantees on False Positive Probability(提出偽陽性的範圍): 給予任何一個使用者定義的probability level ϵ {ϵ} ϵ (e.g. 1%)。
  3. Constant Memory and Update Time: 記憶體的使用量和計算時間,不可隨拓樸的node 或 edge 漸多而增加。

1.2 符號定義

首先,會有一個隨時間演進的 graph 記作 G \mathcal{G} G, 所有 node 的集合記作 ν {\nu} ν ,至於 stream edges 記作 ξ = { e 1 , e 2 , e 3 , . . . } {\xi =\{e_1, e_2, e_3, ...\}} ξ={ e1,e2,e3,...} ,而每個 edge 記作 e i = ( u i , v i , t i ) {e_i = (u_i, v_i, t_i)} ei=(ui,vi,ti) u ∈ ν {u \in {\nu}} uν 表示source node, v ∈ ν {v \in {\nu}} vν 表示destination node, t {t} t 則表示這個 edge 加入的時間。因此這個 ν {\nu} ν 並非事先就定義好的,有可能因為後續有新的 node 或是 edge 加入而擴增。

若是要實作的話,可以實作於 directed graph,undirected graph 以及 multigraph。只是套用在undirected graph 必須先自行將一條 edge 生成雙向的資料,而這裡的 multigraph 指的是 edge可以被同一個 pair 的 sourceIp 和 destinationIp 多次生成。另外,在不同時間點的 edge 是可以同時給予的,因為在很多應用中時間都是以離散方式處理的。

2 MIDAS演算法

2.0 三大前提

  1. 假設使用的都是 streaming 資料且是 hypothesis testing based
  2. 事先定義好什麼樣算是 anomalous,並且設定 probability level ϵ {ϵ} ϵ
  3. 除了上述兩點,額外考量Incorporating Relations 像是:時序關係 (temporally) 與空間關係(spatially) 在此稱作:MIDAS-R。其中空間關係指的是相鄰的nodes

基於 MIDAS: Streaming Hypothesis Testing Approach,以下舉例一個microcluster的例子
Microcluster舉例
上圖中觀察單一的 edge,可以看到在 t = 10 {t=10} t=10 出現一個較大型短時間內暴增的活動量。以上圖為例子,當時間到達 t = 10 {t=10} t=10 時,以 S u v {S_{uv}} Suv 來表示 t < = 10 t<=10 t<=10 之前所累積的 edge 內容,另外以 a u v {a_{uv}} auv 紀錄每一個單一時刻的 edge,像是 t = 10 t=10 t=10 這一時間點的 edge內容,並且在下一個時間點重置 a u v {a_{uv}}

最低0.47元/天 解锁文章
刻苦耐勞的研究生
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
delphi midas_Midas异常检测
weixin_26636643的博客
08-13 483
delphi midasAnomaly detection in graphs is a severe problem finding strange behaviors in systems, like intrusion detection, fake ratings, and financial fraud. To minimize the effect of malicious activ...
Graph Anomaly Detection with Deep Learning——边检测
Anooyman的博客
01-16 2746
与针对单个节点的异常节点检测不同,异常边缘检测 (Anomalous edge detection,ANOS ED)旨在识别异常链路,这些链接通常会通知真实对象之间的意外或异常关系。
SEDANSPOT Detecting Anomalies in Edge Streams阅读记录
一只不争气的蒸汽机的博客
03-07 431
Why: 先前的工作表明,在许多应用程序中,欺诈或重要事件的确确实发生了尖峰或活动爆发。(比如网络安全问题,诈骗,重大节日(节日产生比平常更长的通话时间))。尽管异常活动倾向于突发,但突发性不一定表示异常:在诸如网络流量之类的动态情况下,正常活动也可能是突发性的。因此,为了进行可靠的检测,我们需要结合时间和结构信息。 同时蓄水池采样和随机游走重新启动(RWR)算法对现在这个突发问题的局限。 III. Introduction 我们考虑在这种边缘流中实时实时检测异常的问题,其目的是在当边来时候,检测它是否异常
CCF A类会议或期刊----近两年聚类相关论
Thincor的博客
03-21 5591
会议/期刊 论 sigmod2021 Fast Density-Peaks Clustering: Multicore-based Parallelization Approach. sigmod2021 SharPer: Sharding Permissioned Blockchains Over Network Clusters. sigmod2021 Dynamic Structural Clustering on Graphs. sigmod2021 On Saving....
深入分析KubeEdge的kubectl logs---cloudstream 和 edgestream 的实现
xialingming的博客
10-23 3463
章目录前言背景一、总体架构二、edgestream 启动 创建websocket1. 读取本地的证书配置2. 连接cloud 端的 tunnel server三. 监听该 Websocket四. cloud的tunnel 保存session五. tunnel 监听上一步接收的wss connection六. 创建stream server 时引用了tunnel 指针七. API Server 发起`/containerLogs`八. 从api server 的请求中提取 session并往session
时序数据异常检测工具/数据集大列表
lizz2276的博客
11-14 2167
awesome-TS-anomaly-detection List of tools & datasets foranomaly detection ontime-seriesdata. All lists are in alphabetical order. A repository is considered "not maintained" if the latest commit is > 1 year old, or explicitly mentioned by th...
MIDAS:IITD-RA测试
04-17
MIDAS-编码问题任务2 知识库是试图解决MIDAS为其实习计划带来的挑战。 所有代码都在character_classification.ipynb ,而其他一些尝试过的项目则在experiment_log.ipynb提到事先要求env.yml件中全部提到了运行...
GARCH-MIDAS、DDC-MIDAS模型MATLAB代码
01-03
标题中的"GARCH-MIDAS、DDC-MIDAS模型MATLAB代码"指的是在金融计量领域中,使用MATLAB编程实现的两种重要的模型:GARCH-MIDAS(Generalized Autoregressive Conditional Heteroskedasticity with Mixed Data ...
A Visual Attention-based Method to Address the Midas Touch Problem Existing in Gesture-based Interaction
02-10
The “Midas Touch” problem has long been a difficult problem existing in gesture-based interaction. This paper proposes a visual attention-based method to address this problem from the ...
MIDAS入门教程-MAIDAS入门教程
07-22
MIDAS入门教程-MAIDAS入门教程
MIDAS-2021-Internship-Task:MIDAS @ IIITD Summer InternshipRA Task 2021
04-09
MIDAS-2021-实习-NLP任务概述使用给定的数据集构建模型以使用描述预测类别。 用python编写代码。 鼓励使用Jupyter笔记本。 显示如何清理和处理数据显示如何可视化数据显示如何测量模型的准确性您需要什么想法来提高...
remark-midas:插件以使用midas突出显示CSS代码块
05-10
笔记! 此插件已准备就绪,可用于remark中的新解析器( )。 无需更改:它现在的工作原理与以前完全相同!安装 : npm install remark-midas用假设我们有以下件example.md : ```cssh1 { color : red ;}``` 我们的...
时间序列分析之GARCH模型介绍与应用
weixin_43577256的博客
12-19 1万+
时间序列分析之GARCH模型介绍与应用前言一:ARCH模型的相关性质二:ARCH实验过程三:GARCH模型的轮廓介绍四:GARCH实验过程五:总结 前言 在ARIMA模型中,我们一般假设干扰项的方差为常数,然而在很多情况下,时序波动的干扰项方差并不为常数。因此我们有必要刻画方差(波动率)这一特征来研究时序模型,本篇的(G)ARCH模型就是刻画随时间变化的方差模型。 岁月如云,匪我思存,写作不易,望路 过的朋友们点赞收藏加关注哈,在此表示感谢! 一:ARCH模型的相关性质 底层由来 我们还是从AR(p)A
基于机器学习和深度学习的图数据异常检测综述
AI蜗牛车
01-08 3169
背景「图」 (Graph) 普遍用于建模结构/关系性数据,「节点」 (vertices/nodes) 表示实体,「边」 (edges) 表示实体间存在的关系。「异常检测」(Anomaly ...
GARCH模型案例分析
热门推荐
littlely_ll的博客
02-04 4万+
   read data library(quantmod)  # 加载包 getSymbols('^HSI', from='1989-12-01',to='2013-11-30')  # 从Yahoo网站下载恒生指数日价格数据 dim(HSI)   # 数据规模 names(HSI)  # 数据变量名称 chartSeries(HSI,theme='white')  # 画出价格与交易的时...
arma模型_R语言: GARCH模型股票交易量的研究道琼斯股票市场指数
weixin_39842955的博客
11-22 663
链接:R语言: GARCH模型股票交易量的研究道琼斯股票市场指数​tecdat.cn我将建立道琼斯工业平均指数(DJIA)日交易量对数比的ARMA-GARCH模型。 获取数据load(file='DowEnvironment.RData') 日交易量 每日交易量内发生的 变化。 plot(dj_vol)​ 首先,我们验证具有常数均值的线性回归在统计上是显着的。 ​在休息时间= 6时达到最小...
的garch预测_精品细读|使用乘法组件GARCHMIDAS模型进行波动性预测
weixin_42350506的博客
01-13 2837
这是“高频数据”第118篇推送编辑:刘国山(西南交通大学数学学院)审稿:唐瑜穗(西南交通大学经济管理学院)仅用于学术交流,原本版权归原作者和原发刊所有导读contents本期为大家推送一篇基于GARCH‐MIDAS的乘法波动模型的论,题目是Two are better than one: Volatility forecasting using multiplicative compo...
深度学习中的超参数及超参数搜索算法
最新发布
qlkaicx的博客
07-08 596
在深度学习中,超参数(Hyperparameters)是指在训练模型时需要预先设置的参数,它们不会在训练过程中自动更新,而是通过手动调整来优化模型的性能。超参数的设置对模型的训练效果有着至关重要的影响。
DCC-MIDAS-X模型构建方法
08-02
### 回答1: DCC-MIDAS-X模型构建方法是一种基于时间序列数据的动态相关性模型,通过将MIDAS(Mixed Data Sampling)方法与DCC(Dynamic Conditional Correlation)模型相结合,可以对不同频率的数据进行联合建模,从而更准确地捕捉它们之间的动态相关性。具体构建方法可以参考相关献和资料。 ### 回答2: DCC-MIDAS-X模型是一种用于预测金融市场波动率的方法。该模型结合了动态条件相关(DCC)模型和多标准插值动态自回归(MIDAS-X)模型的特点。 首先,我们需要采集相关的金融时间序列数据,如股票收益率数据、指数数据等。这些数据通常包括短期和长期的信息,以考虑市场的不同变动趋势。 然后,我们根据时间序列数据计算各个变量的波动率。这可以通过计算收益率的方差或标准差来实现。在这个过程中,我们需要考虑波动率的滞后效应。 接下来,我们使用MIDAS-X模型来捕捉不同变动趋势的影响。MIDAS-X模型使用滞后变量来描述长期和短期的关系。具体而言,该模型使用不同滞后期的权重来衡量这种关系。 最后,我们使用DCC模型来建立相关变量之间的条件相关性。DCC模型可以捕捉到变量之间的时间变化和波动性的相关性。通过这种方式,我们可以考虑到不同时间点的相关性变化。 综上所述,DCC-MIDAS-X模型通过结合DCC模型和MIDAS-X模型的特点,能够有效地预测金融市场的波动率。该模型可以适应不同时间尺度的市场变动趋势,并考虑到不同变量之间的相关性变化。这使得该模型在金融市场波动率预测中具有广泛应用的潜力。 ### 回答3: DCC-MIDAS-X模型是一种用于建模金融时间序列数据的方法。它的构建方法包括以下几个步骤。 首先,DCC-MIDAS-X模型是基于两个核心模型:DCC模型和MIDAS模型。DCC模型用于建模多元时间序列数据的条件方差,而MIDAS模型则用于处理不同频率的时间序列数据。因此,构建DCC-MIDAS-X模型的第一步是根据数据性质选择相应的DCC和MIDAS模型。 第二步是确定数据的频率。DCC-MIDAS-X模型能够处理不同频率的时间序列数据,但需要对数据进行相应的处理。常见的频率包括日频、周频和月频。根据数据的特点和研究目的,选择适当的频率。 第三步是设定模型的参数。DCC-MIDAS-X模型的参数包括条件方差模型和时间延迟模型的参数。条件方差模型用于估计和预测时间序列数据的条件方差,时间延迟模型用于处理不同频率的数据之间的关系。根据实际情况,设定合适的参数。 第四步是估计模型。根据设定的参数,使用合适的估计方法对模型进行估计。常见的估计方法包括极大似然估计和贝叶斯估计。 最后一步是模型的检验和评估。根据数据的拟合情况、参数的显著性以及模型的表现,评估模型的拟合度和预测性能。如果模型不符合要求,可以进行相应的调整和改进。 总之,DCC-MIDAS-X模型的构建方法包括选择核心模型、确定数据频率、设定参数、估计模型以及模型的检验和评估。这些步骤能够帮助研究人员建立可靠的金融时间序列模型,并进行相应的数据分析和预测。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值