VAE與GAN做異常檢測的原理

2021-10-09 03:30:44 字數 654 閱讀 4073

近幾年,有大量的人用vae和gan來做異常檢測,用這兩個模型做異常檢測的假設都是一樣的,即假定正常資料是服從某一種分布的,而異常資料是不能夠擬合進這個分布的,因此我們可以用vae和gan來找到正常資料的分布,從而用這個分布來做異常檢測。

1、vae

vae是變分自編碼器的簡稱,該模型最開始提出的目的是為了找到訓練資料的分布,從而用這個分布來生成資料。從另乙個角度而言,如果我們能夠找到正常資料的分布,那麼我們就可以用這個分布來做異常檢測。具體來說,我們在訓練資料上訓練好乙個vae,該vae的encoder能夠將輸入資料x對映到隱變數z,decoder將隱變數z再對映回x,當我們訓練好乙個vae之後,如果我們輸入乙個異常資料,該模型很大概率會將該異常資料重構成乙個正常資料,因此我們就可以判別輸入資料是否是乙個正常資料。用一句話概括,就是正常資料重構成正常資料的概率會很高,而異常資料重構成異常資料的概率會很低,而且一般來說我們輸入乙個異常資料,vae也會將其重構成乙個正常資料。

2、gan

gan做異常檢測的原理和vae是一樣的,只不過這兩者得到正常資料的分布的方式不同,vae通過變分推斷來得到訓練資料的分布,而gan直接使用生成器來模擬資料的分布,用判別器來判斷生成器模擬的分布的好壞。

這兩者都可以用來做異常檢測,也都是基於訓練資料的分布,但是vae的魯棒性比gan更好,但是gan在調優之後效果比vae更好。

tcp異常報文攻擊與檢測原理

tcp報文標誌位包括 urgack pshrst synfin 攻擊者通過傳送非法tcp flag組合的報文對主機造成危害。檢查tcp報文的各個標誌位urg ack psh rst syn fin,如果標誌位異常,則認為是tcp異常報文。內建規則將所有tcp異常報文全部丟棄,記錄攻擊日誌。異常檢測如...

馬氏距離與異常點檢測

馬氏距離的定義相關資料太多了,我這裡直接截圖維基百科上的定義。馬氏距離具有以下特點 馬氏距離與歐氏距離的主要區別點在於 上面的內容,很多部落格也總結過了。其實看完後對馬氏距離並沒有乙個很直觀的認識。這裡總結一下馬氏距離的意義和解釋為什麼馬氏距離比歐式距離更好的檢測異常點。這裡的內容主要總結自如何理解...

異常檢測與故障診斷的區別

異常檢測就是尋找不符合期望行為的資料異常點或者離群點。在現實世界中有著廣泛的應用場景,例如信用卡欺詐檢測,保險欺詐檢測,醫療健康輔助診斷,網路入侵檢測,安全關鍵系統錯誤檢測,軍事偵察等。在異常檢測中,由於異常點少之又少,大部分是正常樣本,異常只是相對小概率事件,並且異常點的特徵表現非常不集中,即異常...