Core Concepts
Kontinuierliche Aktualisierung von Anomalie-Erkennungsmodellen ist erforderlich, um deren Leistung über die Zeit zu erhalten. Verschiedene Ansätze zur Modellaktualisierung, wie blinde und informierte Neuschulung, sowie unterschiedliche Ansätze zur Auswahl der Trainingsdaten, wie Vollhistorie und gleitendes Fenster, haben unterschiedliche Auswirkungen auf die Leistung der Anomalie-Erkennung.
Abstract
In dieser Studie untersuchen die Autoren verschiedene Techniken zur Anpassung von Anomalie-Erkennungsmodellen an sich ändernde Betriebsdaten. Sie analysieren den Einfluss unterschiedlicher Modellaktualisierungsverfahren auf die Leistung von Anomalie-Erkennungsmodellen.
Zunächst bewerten sie die Leistung gängiger Anomalie-Erkennungsmodelle auf operativen Datensätzen. Sie stellen fest, dass komplexere Modelle wie LSTM-AE und SR-CNN deutlich besser abschneiden als einfachere Modelle wie FFT, PCI und SR. Allerdings wird die Leistung von SR-CNN stark von der Größe des Testdatensatzes beeinflusst, während LSTM-AE und SR robuster sind.
Anschließend untersuchen die Autoren den Einfluss verschiedener Ansätze zur Modellaktualisierung. Sie vergleichen das Verhalten von Modellen, die nie aktualisiert werden, mit Modellen, die regelmäßig anhand der gesamten verfügbaren Daten (Vollhistorie-Ansatz) oder nur der neuesten Daten (gleitendes Fenster-Ansatz) nachtrainiert werden. Sie stellen fest, dass der gleitende Fenster-Ansatz vorteilhaft für Modelle ist, die aus dem Zeitbereich lernen (LSTM-AE), aber die Leistung von Modellen, die die Zeitreihe in einen anderen Bereich transformieren (SR, SR-CNN), beeinträchtigen kann. Das Nachtraining mit dem Vollhistorie-Ansatz erzielt in den meisten Fällen eine höhere Leistung als das Nachtraining.
Darüber hinaus vergleichen die Autoren blinde Neuschulung, bei der das Modell regelmäßig aktualisiert wird, mit informierter Neuschulung, bei der das Modell nur dann aktualisiert wird, wenn ein Konzeptdrift-Detektor Änderungen in den Daten erkennt. Sie stellen fest, dass die blinde Neuschulung in den meisten Fällen bessere Ergebnisse erzielt als die informierte Neuschulung.
Insgesamt zeigen die Ergebnisse, dass die kontinuierliche Aktualisierung von Anomalie-Erkennungsmodellen deren Leistung über die Zeit verbessern kann, aber die Wahl der Aktualisierungstechnik von den Eigenschaften des verwendeten Modells abhängt.
Stats
Die Autoren verwenden zwei öffentlich verfügbare Datensätze für ihre Experimente:
Yahoo A1: 67 Zeitreihen mit einer Auflösung von 1 Stunde über 31-61 Tage
NAB realAWSCloudwatch: 17 Zeitreihen mit einer Auflösung von 5 Minuten über 5-17 Tage
Quotes
Keine relevanten Zitate identifiziert.