异常模式检测系统和方法与流程

相关申请的交叉引用

本申请要求于2019年3月5日向韩国知识产权局提交的申请号为10-2019-0025066的韩国专利申请的优先权，其全部内容通过引用合并于此。

各个实施例总体上涉及异常模式检测系统和方法，并且更具体地，涉及使用神经网络的异常模式检测系统和方法。

背景技术：

异常模式涉及这样的可疑数据，其呈现与其他数据(即需要与噪声数据区分开来提取的感兴趣数据)不同的样态。

异常模式检测技术在制造业中被用于计算系统和安全系统的操作以及过程数据的管理。近来，对基于统计建模和机器学习来自动地发现输入数据中的意外异常模式的技术进行了研究，以便识别异常行为。

由于正常模式和异常模式之间在出现频率上的差异，基于机器学习的异常模式检测技术难以确保训练数据。即，由于模式被定义为异常模式的情况很少，因此不能确定出能够识别异常模式的特定变量或特征，这使得难以区分正常模式和异常模式。

此外，由于需要标记出很少出现的异常模式，因此消耗大量资源。

技术实现要素：

在一个实施例中，提供一种异常模式检测系统，其包括连接到一个或更多个服务器的异常检测设备。异常检测设备可以包括异常检测器，该异常检测器被配置为通过将所有的输入数据视为正常模式来对输入数据进行建模，并且基于建模结果而从输入数据中检测异常模式。

在一个实施例中，提供一种异常检测设备的异常模式检测方法，该异常检测设备连接到一个或更多个服务器。所述异常模式检测方法可以包括以下步骤：异常检测设备通过将所有的输入数据视为正常模式来对输入数据进行建模；以及异常检测设备基于建模结果而从输入数据中检测异常模式。

附图说明

图1是示出根据实施例的异常模式检测系统的配置图。

图2是示出根据实施例的异常检测设备的配置图。

图3是示出根据实施例的异常检测器的配置图。

图4是示出根据实施例的神经网络模型的概念图。

图5是用于描述根据实施例的异常模式检测方法的流程图。

图6是示出根据实施例的异常模式检测系统的配置图。

具体实施方式

在下文中，以下将通过示例性实施例参考附图来如下描述根据本公开的异常模式检测系统和方法。

图1是示出根据实施例的异常模式检测系统的配置图。

参考图1，根据本实施例的异常模式检测系统10可以包括异常检测设备100和通过通信网络200连接到异常检测设备100的服务器300。

服务器300可以表示一个服务器或更多个服务器0至服务器n的组，并且可以包括希望检测异常模式的各种服务器。所述各种服务器可以包括金融机构服务器、医疗机构服务器、云服务器、企业服务器、以及应用服务提供服务器等。

异常检测设备100可以从服务器300接收目标监视数据，并且对接收的数据进行学习。在一个实施例中，异常检测设备100可以在假设目标监视数据全部都是正常模式的情况下，通过学习目标监视数据来生成学习模型。异常检测设备100可以利用学习模型而从目标监视数据生成输出数据，并且将目标监视数据与从目标监视数据所生成的输出数据进行比较，从而判定目标监视数据是正常模式还是异常模式。

由于假设目标监视数据全部都是正常模式，因此异常检测设备100不需要单独地学习或标记异常模式。

基于数据的人工智能学习方法被操作为对较频繁访问和输入的数据进行较多地学习。对于相似的数据，人工智能学习方法也被操作为对属于相似数据的数据进行较多地学习，因为该数据是较频繁访问的。

因此，人工智能学习方法对出现频率高的正常模式学习较多或者对正常模式学习可靠，而无法学习出现频率低的异常模式或者较少学习异常模式。

根据本实施例的异常模式检测系统可以在目标监视数据与以学习模型来表达的学习数据之间的相似度高时将目标监视数据视为正常模式，以及在相似度低时将目标监视数据视为异常模式。

图2是示出根据实施例的异常检测设备的配置图。

参考图2，异常检测设备100可以包括控制器110、存储器120、通信网络接口130、用户接口140和异常检测器150。

控制器110可以控制异常检测设备100的整体操作。

存储器120可以包括rom和ram，并且异常检测设备100的操作所需的各种系统数据、固件代码和软件代码可以被存储并加载在存储器120中。

控制器110可以对存储并加载在存储器120中的基于代码的指令或算法(诸如固件或软件)进行解码并运行，以便控制异常检测设备100的整体操作。

通信网络接口130可以提供接口，以该接口服务器300和异常检测设备100可以根据预设的协议来发送和接收数据。

用户接口140可以包括输入接口和输出接口，所述异常检测设备100的管理员或操作者可以通过输入接口来访问异常检测设备100，所述异常检测设备100的操作状态和结果可以通过输出接口被提供给管理员或操作员。输入接口可以包括一个或更多个输入设备，诸如鼠标、键盘和触摸设备，并且输出接口可以包括一个或更多个输出设备，诸如显示器、扬声器和打印机。

异常检测器150可以被配置为在控制器110的控制下学习通过通信网络接口130提供的目标监视数据，并且从目标监视数据中检测异常模式。

在一个实施例中，异常检测器150可以被配置为将所有的目标监视数据视为正常模式，并且学习目标监视数据。由于目标监视数据全部都被视为正常模式，因此异常检测器可以生成针对出现频率相对高的正常模式具有高的学习率并从而表达该正常模式的学习模型。因此，由于出现频率相对低的异常模式的建模结果不可避免地与该学习模型具有低相似度，因此异常模式能够被自动地检测。

图3是示出根据本实施例的异常检测器的配置图。

参考图3，根据本实施例的异常检测器150可以包括输入组件151、建模组件153和判定组件155。

输入组件151可以被配置为预处理所有的被输入的目标监视数据。在一个实施例中，由输入组件151执行的预处理过程可以包括归一化过程以将输入数据的特征范围校正到预设范围中。然而，本实施例不限于此。

建模组件153可以被配置为接收所有的归一化数据，并且通过学习输入数据x来生成与输入数据x相似或近似的输出数据建模组件153可以存储参数y，该参数y诸如作为学习结果而生成的权重。

在一个实施例中，建模组件153可以在学习模式中基于所有的输入数据x都是正常模式的假设来生成学习模型。即，建模组件153可以生成表达正常模式的学习模型。

在一个实施例中，建模组件153可以基于在学习模式中生成的学习模型来学习在推理模式中输入的目标监视数据，并且生成近似于该输入的目标监视数据而建模的输出数据。

在一个实施例中，建模组件153可以被配置为自动编码器。

自动编码器，作为一种基于深度神经网络的无监督学习模型，可以通过将两个神经网络彼此附接来配置。当输入侧的神经网络用作编码器、并且输出侧的神经网络用作解码器时，编码器可以提取输入数据的特征，并且解码器可以使用提取的特征来重新生成原始数据。

图4是示出根据实施例的神经网络模型的概念图，其示出了自动编码器。

输入层(in)401可以包括n个神经元(节点)以接收输入数据x。输入层401中的神经元的数量n等于输入数据的维度数。

编码器(encoder)403可以包括一个或更多个隐藏层，并且可以被配置为通过减小输入数据x的维度来输出特征数据。构成编码器403所包括的隐藏层中的每一个隐藏层的神经元的数量可以等于或大于或小于构成输入层401的神经元的数量n。

编码层(coding)405可以被配置为接收通过编码器403的维度减小而获得的特征数据。即，应用于编码层405的数据可以是通过经由编码器403减小输入数据x的维度而获得的数据。

解码器(decoder)407可以被配置为使用传送给编码层405的特征数据来重新生成输入数据，并且输出重新生成的数据作为输出数据解码器407可以包括一个或跟多个隐藏层。

解码器407可以具有与编码器403相同的结构，并且执行学习以使得编码器403和解码器407的权重(参数)具有相同的值。

输出层(out)409可以如同输入层401一样包括n个神经元，并且可以被配置为输出以与输入数据x相似的方式而建模的输出数据

根据自动编码器的原理，在输入数据经过编码器403和解码器407时，自动编码器可以执行学习以使得输入数据x和输出数据彼此尽可能相等，以便可靠地提取输入数据的特征。

这样，自动编码器是用于使输入数据和输出数据相等的神经网络，并且其特征在于输入到编码器403的输入层401的输入数据x的维度数等于从输出层409输出的输出数据的维度数，并且编码层405相比于输入层401和输出层409而将输入数据x表达为更少的维度数。

使用自动编码器的学习过程将简要描述如下。

首先，通过编码器403来减小输入数据x的维度，并且将编码数据输出到编码层405。解码器407对施加到编码层405的特征数据进行解码，并且生成输出数据所述输出数据与输入数据x具有相同的维度并且近似于输入数据x。

解码器407将输出数据中所包括的误差最小化，并且将最小化的误差值传回编码器403以调整诸如权重或偏置(bias)的参数。在若干次重复这种过程的情况下，最佳特征被提取。

当使用自动编码器时，输入数据可以被压缩，并且噪声可以从输入数据中有效地被去除。因此，即使输入数据被添加有噪声，自动编码器也能够可靠地提取输入数据的特征。

返回参考图3，建模组件153可以在学习模式中通过学习参数来生成学习模型，以便生成与输入数据相似的输出数据，并且可以在推理模式中通过根据在学习模式中学习到的参数(即学习模型)而对目标监视数据进行建模来生成输出数据。

判定组件155可以被配置为将作为目标监视数据的输入数据x与通过建模组件153生成的输出数据进行比较，并且判定输入数据x是正常模式还是异常模式。

在一个实施例中，判定组件155可以使用用于测量生成的输出数据与输入数据x之间的相似度的各种方法中所选择的方法，来判定输入数据是否是正常模式。例如，相似度测量方法可以包括欧几里得距离测量方法(euclideandistancemeasurementmethod)、以及余弦相似度测量方法(cosinesimilaritymeasurementmethod)等。

因此，在学习模式中，异常检测器通过学习参数而经由自动编码器对输入数据进行建模，以便生成与输入数据相似的输出数据。然后，在推理模式中，异常检测器可以使用学习模型而从输入数据生成输出数据，并且将输入数据与输出数据进行比较以检测异常模式。此外，在推理模式中的输入数据也可以用于更新参数。

图5是用于描述根据实施例的异常模式检测方法的流程图。

参考图5，异常检测器150可以在学习模式和推理模式中操作。

在学习模式中，异常检测器150可以在步骤s101中接收所有的目标监视数据，并且对接收的数据进行预处理。

然后，在步骤s103中，异常检测器150可以在假设所有的预处理数据都是正常模式的情况下，通过学习预处理数据来生成学习模型。为了生成学习模型，异常检测器150可以使用上述的自动编码器对输入数据进行建模，使得输出数据具有与输入数据相似的值。

可以重复地执行学习模式以从输入数据中提取最佳特征。

在推理模式中，异常检测器150可以在步骤s105中从预处理的输入数据生成输出数据。为了生成输出数据，异常检测器150可以如同在学习模式中一样使用自动编码器来生成近似于输入数据的输出数据。

在步骤s107中，当生成了输出数据时，异常检测器150可以检查输入数据与输出数据之间的相似度是否高于预设阈值th。当检查结果指示相似度高于预设阈值th时，在步骤s109，异常检测器150可以判定输入数据是正常模式。否则，在步骤s111，异常检测器150可以判定输入数据是异常模式。

图6是根据实施例的异常模式检测系统的配置图。

参考图6，根据本实施例的异常模式检测系统20可以包括安装在服务器计算设备310中的异常检测器150-1。异常检测器150-1可以被嵌入在服务器计算设备310中、可以通过接口端口而被连接、或者可以被实现为要由服务器计算设备310运行并存储在存储介质中的应用程序。

异常检测器150-1可以接收从外部设备输入到服务器计算设备310的所有的目标监视数据、或者可以接收在服务器计算设备310中生成的所有的目标监视数据，并且在学习模式和推理模式中操作以检测异常模式。

异常检测器150-1可以具有与图3所示的异常检测器150基本相同的配置。

因此，异常检测器150-1可以在假设内部或外部生成的目标监视数据全部都是正常模式的情况下，通过经由无监督学习方法而生成与输入数据相似的输出数据来生成学习模型。异常检测器150-1可以将输入的目标监视数据与通过基于学习模型而学习目标监视数据所获得的输出数据进行比较，并且在它们之间的相似性高时判定目标监视数据是正常模式(t)，或在该相似度低时判定目标监视数据是异常模式(f)。

在本实施例中，当使用基于无监督学习方法的自动编码器时，异常检测器150-1在假设输入数据全部都是正常模式的情况下执行学习。因此，由于不需要标记异常模式，可以节省资源。

特别地，由于异常模式相比于正常模式而以较低的频率出现，因此难以学习异常模式。然而，根据本实施例，异常模式可以与正常模式区分开，而无需单独的学习异常模式的处理。

异常检测器150或150-1的功能可以被存储在介质中，并且在计算设备中运行。

根据本实施例，基于正常模式与异常模式之间在出现频率上的巨大差异的事实，异常模式检测系统和方法可以自动地检测异常模式，而无需单独地标记该异常模式。

本实施例可以应用于各种异常模式检测领域，诸如金融界的欺诈检测、预后(prognosis)、drm(数字权限管理风险监控)、以及网络入侵监控。

尽管上面已经描述了各种实施例，但是本领域技术人员将理解，所描述的实施例仅是示例。因此，本文描述的异常模式检测系统和方法不应基于所描述的实施例来限制。