@2009__CSUR__Anomaly Detection - A Survey

> [!abstract] 概要(abstract の日本語訳) > 異常検知は、多様な研究領域と応用ドメインで研究されてきた重要な問題である。多くの異常検知技法は特定の応用ドメイン向けに開発されてきたが、より汎用的なものもある。本サーベイは、異常検知研究の構造化された包括的概観を提供しようとするものである。既存技法を、それぞれの技法が採用する基礎的アプローチに基づいて異なるカテゴリにグループ化した。各カテゴリについて、正常な振る舞いと異常な振る舞いを区別するために技法が用いる主要な仮定を特定した。ある技法を特定ドメインに適用するとき、これらの仮定はそのドメインにおける技法の有効性を評価する指針として使える。各カテゴリについて、基本的な異常検知技法を示し、その後、そのカテゴリに属する既存技法が基本技法の変種としてどのように位置づけられるかを示す。このテンプレートにより、各カテゴリの技法をより容易かつ簡潔に理解できる。さらに、各カテゴリについて、そのカテゴリの技法の利点と欠点を特定する。実応用ドメインで重要な問題であるため、技法の計算複雑性についても議論する。本サーベイが、このトピックで研究が進められてきたさまざまな方向と、ある領域で開発された技法を当初意図されていなかったドメインへどう適用できるかについて、より良い理解を提供することを期待する。 ## 論文情報 - タイトル: Anomaly Detection: A Survey - 著者: [[Varun Chandola]]、[[Arindam Banerjee]]、[[Vipin Kumar]] - 所属: [[University of Minnesota]] - 媒体: ACM Computing Surveys, Vol. 41, No. 3, Article 15 - 発表: 2009 年 7 月、58 ページ - DOI: `10.1145/1541880.1541882` ## 概要本論文は、異常検知を「期待される振る舞いに適合しないデータ中のパターンを見つける問題」と定義し、問題設定と技法群を分離して整理した古典的サーベイである。技法そのものを列挙するだけでなく、各技法群が暗黙に置く「正常と異常の仮定」を明示し、ドメイン適用時の評価指針として使える形にしている。サイバー侵入、詐欺、医療、産業損傷、画像、テキスト、センサーネットワークなど複数ドメインを比較し、単純な点異常より文脈異常・集合異常が実応用で重要になることを示す。 ## 問題設定異常検知の定式化は、入力データ、異常の型、ラベルの有無、出力形式の 4 軸で決まる。入力データは単変量/多変量、連続/カテゴリ/混合属性、点データ/系列/空間/グラフとして異なり、使える距離、統計モデル、分類器が変わる。異常の型は 3 種に分けられる。**点異常**は個別インスタンスが残りのデータに対して異常な場合で、クレジットカードの高額取引が例である。**文脈異常**は同じ値がある文脈では正常、別の文脈では異常になる場合で、夏の低温や季節外れの高額支出が例である。**集合異常**は個々の要素は正常でも、関連するインスタンスの集合として異常になる場合で、システムコール列や ECG の異常区間が例として示される。ラベル条件は教師あり、半教師あり、教師なしに分かれる。教師あり設定は正常・異常の両ラベルを仮定するが、異常ラベルの網羅性とクラス不均衡が問題になる。半教師あり設定は正常ラベルだけから正常モデルを作るため、事故や故障のように異常例を集めにくい領域で広く使える。教師なし設定は訓練データを不要にするが、正常インスタンスが異常より十分多いという暗黙仮定に依存する。出力は、異常スコアのランキングか、正常/異常の二値ラベルである。スコア出力はドメイン固有の閾値を後から選べるため、分析者が上位候補を調べる運用と相性がよい。 ## 提案手法本論文は新アルゴリズムの提案ではなく、技法群の統一的な整理を提案する。重要なのは、各技法群を「基本技法 + 変種 + 仮定 + 計算量 + 利点/欠点」で比較するテンプレートである。 - **分類ベース**: 与えられた特徴空間で正常クラスと異常クラスを区別する分類器を学習できるという仮定に立つ。ニューラルネットワーク、ベイジアンネットワーク、SVM、ルールベース手法が含まれる。テストは高速だが、正確なラベル、とくに異常ラベルが必要になる。 - **近傍ベース**: 正常インスタンスは密な近傍に現れ、異常は最近傍から遠いという仮定に立つ。k 近傍距離や LOF のような相対密度を使う。分布仮定なしに教師なしで動くが、距離尺度と計算量に強く依存する。 - **クラスタリングベース**: 正常はクラスタに属し、異常はクラスタ外、セントロイドから遠い、または小さく疎なクラスタに属するという仮定に立つ。テストは速いが、クラスタリングが正常構造を捉えられないと失敗し、異常がまとまったクラスタを作ると正常扱いされうる。 - **統計ベース**: 正常インスタンスは確率モデルの高確率領域にあり、異常は低確率領域にあるという仮定に立つ。ガウスモデル、回帰、混合モデル、ヒストグラム、カーネル密度推定などを含む。仮定が成立すれば統計的に正当化できるが、高次元実データでは分布仮定が崩れやすい。 - **情報理論ベース**: 異常はデータ集合の情報量に不規則性を導入するという仮定に立つ。Kolmogorov 複雑性、エントロピー、相対エントロピーなどで、取り除くとデータ集合の複雑性が大きく下がる部分集合を探す。教師なしで分布仮定を置かないが、異常スコアを個別インスタンスに結びつけにくい。 - **スペクトルベース**: 正常と異常が低次元埋め込みで分離しやすいという仮定に立つ。PCA、SVD、グラフ系列のスペクトル表現などを使う。高次元性へ対応できるが、射影空間で分離できるという仮定に性能が依存する。 ## 新規性本論文の新規性は、既存サーベイに対して対象範囲と比較軸を広げた点にある。Hodge and Austin 2004 や Agyemang et al. 2006 が扱った分類・クラスタリング・近傍・統計系に加え、情報理論とスペクトル系を明示的カテゴリとして追加する。さらに、単なる技法リストではなく、各カテゴリの「正常/異常の仮定」を抽出し、ドメイン適合性を判断する軸として提示する。もう一つの貢献は、応用ドメイン側の異常概念を整理し、実ドメインでは点異常だけでなく文脈異常・集合異常が重要になると明示した点である。この観察は、後続の時系列異常検知、マイクロサービス障害診断、ログ/トレース異常検知で繰り返し現れる「文脈なしの逸脱は運用上の異常ではない」という問題意識につながる。 ## 実験設定本論文はサーベイであり、新しい実験やベンチマークを実施していない。代わりに、各応用ドメインごとに、異常の概念、データの性質、検知上の課題、適用済み技法を表で整理する。対象ドメインは侵入検知、詐欺検知、医療・公衆衛生、産業損傷検知、画像処理、テキストデータ、センサーネットワーク、その他の領域である。 ## 実験結果定量評価結果は提示されない。比較の中心は、技法カテゴリごとの仮定・利点・欠点・計算複雑性である。相対比較では、単純な 2 次元ガウス型データなら多くの技法が成立する一方、正常クラスタが円周上に並び中心に異常がある場合は一クラス分類が失敗しうる。異常インスタンスが中心で密なクラスタを形成する場合は、クラスタリングベースや近傍ベースも異常を正常とみなす可能性がある。高次元データでは、近傍・クラスタリング系は距離尺度の識別力が落ちやすく、スペクトル系は低次元射影で分離できる場合に有効である。分類ベースはラベルがあれば有力だが、異常ラベル不足とクラス不均衡が問題になる。統計ベースは低次元で分布仮定が成立する場合に有効で、情報理論系は単一異常に敏感な情報量尺度を選べないと、多数の異常がある場合にしか効きにくい。 ## 考察本論文の中心的な読みどころは、異常検知を「アルゴリズムの優劣」ではなく「仮定とドメインの整合性」として見る視点である。技法を別ドメインへ転用するときは、正常領域がどう定義されるか、異常は希少か、距離尺度は意味を持つか、文脈属性が使えるか、異常ラベルが得られるかを先に確認する必要がある。将来方向として、異なる技法が置く正常/異常仮定を統計または機械学習の統一フレームワークへまとめること、文脈異常・集合異常の新手法、分散異常検知、プライバシー保護異常検知、オンライン異常検知、複雑システムにおける構成要素間相互作用のモデル化が挙げられる。 ## 強み / 弱点・課題 - 強み: 2009 年時点の異常検知研究を、問題設定・技法仮定・応用ドメインの 3 層で整理している。現代の AIOps や時系列基盤モデルの異常検知を読むときにも、ラベル条件、文脈属性、距離尺度、分布仮定という基礎軸がそのまま使える。 - 強み: 点異常、文脈異常、集合異常の区別が明快で、運用データにおける「同じ値でも文脈で意味が変わる」問題を説明しやすい。 - 弱点: 集合異常検知は別途詳細議論が必要として本サーベイでは深く扱われない。 - 弱点: 2009 年論文であるため、深層学習、トランスフォーマー、時系列基盤モデル、LLM、マイクロサービス運用の異常検知は対象外である。 - 課題: 現代の運用異常検知では、統計的外れ値と実用上アクショナブルな異常の差が大きい。本論文の仮定ベース分類を、インシデント文脈・SLO・診断タスクとどう接続するかが後続課題になる。 ## 関連 - 概念: [[異常検知]] / [[変化点検知]] / [[時系列異常検知ベンチマーク]] / [[根本原因分析]] - MOC: [[異常検知 - MOC]] / [[AIOps - Failure Detection - MOC]] - 著者・組織: [[Varun Chandola]] / [[Arindam Banerjee]] / [[Vipin Kumar]] / [[University of Minnesota]]