CN110705635A - 用于生成隔离森林的方法和装置 - Google Patents
用于生成隔离森林的方法和装置 Download PDFInfo
- Publication number
- CN110705635A CN110705635A CN201910930586.4A CN201910930586A CN110705635A CN 110705635 A CN110705635 A CN 110705635A CN 201910930586 A CN201910930586 A CN 201910930586A CN 110705635 A CN110705635 A CN 110705635A
- Authority
- CN
- China
- Prior art keywords
- target
- data
- node
- feature
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
- G06F18/2155—Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the incorporation of unlabelled data, e.g. multiple instance learning [MIL], semi-supervised techniques using expectation-maximisation [EM] or naïve labelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Computer Hardware Design (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本公开的实施例公开了用于生成隔离森林的方法和装置。该方法的一具体实施方式包括:基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行以下建树步骤,获得目标数量个目标树:建立目标树的根节点作为当前节点;从特征集合中选取目标特征;获取目标特征的目标特征值;执行以下分裂步骤:将目标特征和目标特征值发送给目标数据端;获取目标数据端发送的左数据信息和右数据信息;基于左数据信息和右数据信息建立左子节点和右子节点;响应于最新获得的子节点满足停止分裂条件,将该子节点确定为叶子节点;响应于最新获得的子节点均为叶子节点,获得目标树;将所获得的目标树组合成隔离森林。该实施方式提高了隔离森林的泛化能力。
Description
技术领域
本公开的实施例涉及计算机技术领域,尤其涉及用于生成隔离森林的方法、装置和用于检测异常数据的方法和装置。
背景技术
异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测广泛应用于信用卡、电信反欺诈和网络入侵检测等领域。
隔离森林是一种无监督异常检测算法。目前,用于进行异常检测隔离森林一般基于模型训练设备本地独有的数据训练获得。
发明内容
本公开的实施例提出了用于生成隔离森林的方法、装置和用于检测异常数据的方法、装置。
第一方面,本公开的实施例提供了一种用于生成隔离森林的方法,该方法包括:基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行以下建树步骤,获得目标数量个目标树:建立目标树的根节点作为当前节点;从预设的特征集合中选取目标特征;获取目标特征的特征值作为目标特征值;基于目标特征、目标特征值和当前节点,执行以下分裂步骤:将目标特征和目标特征值发送给至少两个目标数据端;获取目标数据端发送的左数据信息和右数据信息,其中,左数据信息和右数据信息分别用于指示左数据和右数据,左数据和右数据为目标数据端基于接收的目标特征和目标特征值,对当前节点对应的样本数据进行划分所获得的数据;分别基于所获取的左数据信息和右数据信息建立以当前节点为父节点的左子节点和右子节点;响应于最新获得的子节点满足预设的停止分裂条件,将该子节点确定为叶子节点;响应于最新获得的子节点均为叶子节点,获得目标树;将所获得的目标数量个目标树组合成隔离森林。
在一些实施例中,建树步骤还包括:响应于最新获得的子节点包括不是叶子节点的子节点,将该子节点确定为当前节点,基于最新的当前节点,继续执行分裂步骤。
在一些实施例中,基于最新的当前节点,继续执行分裂步骤包括:确定最新的当前节点是否满足预设的特征用尽条件,其中,特征用尽条件包括:节点对应至少两个样本数据且所对应的至少两个样本数据对应的目标特征的特征值相同;响应于满足特征用尽条件,从特征集合中选取未被选取过的特征作为新的目标特征,获取新的目标特征的特征值作为新的目标特征值,基于最新的目标特征、目标特征值和当前节点,继续执行分裂步骤;响应于不满足特征用尽条件,基于最新的当前节点对应的样本数据对应的目标特征的特征值,生成新的目标特征值,基于目标特征、最新的目标特征值和当前节点,继续执行分裂步骤。
在一些实施例中,停止分裂条件包括以下至少一项:节点对应的深度大于或等于预设深度;节点对应的样本数据的数量为1;节点满足特征用尽条件,且特征集合中不包括未被选取过的特征。
在一些实施例中,左数据信息为用于指示左数据中不重复的左数据的信息,右数据信息为用于指示右数据中不重复的右数据的信息。
在一些实施例中,获取目标数据端发送的左数据信息和右数据信息包括:接收目标数据端发送的左数据加密信息和右数据加密信息,其中,左数据加密信息为目标数据端对左数据信息进行加密后获得的信息,右数据加密信息为目标数据端对右数据信息进行加密后获得的信息;分别对接收到的左数据加密信息和右数据加密信息进行解密,获得左数据信息和右数据信息。
第二方面,本公开的实施例提供了一种用于检测异常数据的方法,该方法包括:获取目标数据;将目标数据输入预先训练的隔离森林,获得目标数据在隔离森林包括的隔离树中的深度,其中,隔离森林采用如上述第一方面所描述的方法中的任一实施例的方法生成;基于所获得的深度,生成用于指示目标数据是否为异常数据的检测结果。
第三方面,本公开的实施例提供了一种用于生成隔离森林的装置,该装置包括:建树单元,被配置成基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行以下建树步骤,获得目标数量个目标树:建立目标树的根节点作为当前节点;从预设的特征集合中选取目标特征;获取目标特征的特征值作为目标特征值;基于目标特征、目标特征值和当前节点,执行以下分裂步骤:将目标特征和目标特征值发送给至少两个目标数据端;获取目标数据端发送的左数据信息和右数据信息,其中,左数据信息和右数据信息分别用于指示左数据和右数据,左数据和右数据为目标数据端基于接收的目标特征和目标特征值,对当前节点对应的样本数据进行划分所获得的数据;分别基于所获取的左数据信息和右数据信息建立以当前节点为父节点的左子节点和右子节点;响应于最新获得的子节点满足预设的停止分裂条件,将该子节点确定为叶子节点;响应于最新获得的子节点均为叶子节点,获得目标树;组合单元,被配置成将所获得的目标数量个目标树组合成隔离森林。
第四方面,本公开的实施例提供了一种用于检测异常数据的装置,该装置包括:获取单元,被配置成获取目标数据;输入单元,被配置成将目标数据输入预先训练的隔离森林,获得目标数据在隔离森林包括的隔离树中的深度,其中,隔离森林采用如上述第一方面所描述的方法中的任一实施例的方法生成;生成单元,被配置成基于所获得的深度,生成用于指示目标数据是否为异常数据的检测结果。
第五方面,本公开的实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述第一方面和第二方面所描述的方法中任一实施例的方法。
第六方面,本公开的实施例提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面和第二方面所描述的方法中任一实施例的方法。
本公开的实施例提供的用于生成隔离森林的方法和装置,通过基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行以下建树步骤,获得目标数量个目标树:建立目标树的根节点作为当前节点;从预设的特征集合中选取目标特征;获取目标特征的特征值作为目标特征值;基于目标特征、目标特征值和当前节点,执行以下分裂步骤:将目标特征和目标特征值发送给至少两个目标数据端;获取目标数据端发送的左数据信息和右数据信息,其中,左数据信息和右数据信息分别用于指示左数据和右数据,左数据和右数据为目标数据端基于接收的目标特征和目标特征值,对当前节点对应的样本数据进行划分所获得的数据;分别基于所获取的左数据信息和右数据信息建立以当前节点为父节点的左子节点和右子节点;响应于最新获得的子节点满足预设的停止分裂条件,将该子节点确定为叶子节点;响应于最新获得的子节点均为叶子节点,获得目标树;将所获得的目标数量个目标树组合成隔离森林,从而可以基于来源于多个数据端的数据,训练生成隔离森林,以此,可以使隔离森林能够识别不同数据端的数据特征,提高了隔离森林的泛化能力,有助于利用隔离森林进行更为准确的异常检测。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1是本公开的一个实施例可以应用于其中的示例性系统架构图;
图2是根据本公开的用于生成隔离森林的方法的一个实施例的流程图;
图3是根据本公开的实施例的用于生成隔离森林的方法的一个应用场景的示意图;
图4是根据本公开的用于检测异常数据的方法的一个实施例的流程图;
图5是根据本公开的用于生成隔离森林的装置的一个实施例的结构示意图;
图6是根据本公开的用于检测异常数据的装置的一个实施例的结构示意图;
图7是适于用来实现本公开的实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开的用于生成隔离森林的方法、用于生成隔离森林的装置、用于检测异常数据的方法或用于检测异常数据的装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括数据端101、102、103,网络104和服务器105。网络104用以在数据端101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
数据端用户可以使用数据端101、102、103通过网络104与服务器105交互,以接收或发送消息等。数据端101、102、103上可以安装有各种客户端应用,例如网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
数据端101、102、103可以是硬件,也可以是软件。当数据端101、102、103为硬件时,可以是具有数据处理功能的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。当数据端101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的多个软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如可以为利用数据端101、102、103存储的样本数据组,训练生成隔离森林的模型训练服务器;或者也可以为对数据端101、102、103发送的目标数据进行异常数据检测的数据检测服务器。
需要说明的是,本公开的实施例所提供的用于生成隔离森林的方法一般由服务器105执行,相应地,用于生成隔离森林的装置一般设置于服务器105中。而本公开的实施例所提供的用于检测异常数据的方法可以由服务器105执行,也可以由数据端101、102、103,相应地,用于检测异常数据的装置可以设置于服务器105中,也可以设置于数据端101、102、103中。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务的多个软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的数据端、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的数据端、网络和服务器。
继续参考图2,示出了根据本公开的用于生成隔离森林的方法的一个实施例的流程200。该用于生成隔离森林的方法,包括以下步骤:
步骤201,基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行建树步骤,获得目标数量个目标树。
在本实施例中,用于生成隔离森林的方法的执行主体(例如图1所示的服务器)可以基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行以下建树步骤(步骤2011-步骤2015),获得目标数量个目标树:
步骤2011,建立目标树的根节点作为当前节点。
在本实施例中,目标数据端为与上述执行主体通信连接的数据端。上述执行主体可以利用通信连接的至少两个目标数据端中的样本数据组,建立目标树。目标数据端可以预先存储目标数量个样本数据组。每个样本数据组可以用于建立一颗目标树。目标树即为待建立的、用于组成隔离森林的隔离树。样本数据可以为各种样本的数据。例如可以是人物的数据、交易的数据等。需要说明的是,实践中,用于构建一个隔离森林的样本数据组所对应的样本可以相同,即上述至少两个目标数据端分别存储的目标数量个样本数据组可以为相同的样本对应的数据组。
具体的,上述执行主体可以基于至少两个目标数据端中的每个目标数据端中的一个样本数据组,建立一颗目标树。作为示例,至少两个目标数据端包括目标数据端A和目标数据端B。目标数据端A存储有两个(即目标数量个)样本数据组:样本数据组a1;样本数据组a2。目标数据端B存储有两个样本数据组:样本数据组b1;样本数据组b2。则上述执行主体可以基于目标数据端A中的样本数据组a1和目标数据端B中的样本数据组b1建立一颗目标树,以及基于目标数据端A中的样本数据组a2和目标数据端B中的样本数据组b2建立另一颗目标树,即可以建立两颗目标树。
需要说明的是,用于建立同一颗目标树的样本数据组的组合可以是任意的。例如,在上述示例中,上述执行主体还可以基于目标数据端A中的样本数据组a2和目标数据端B中的样本数据组b1建立一颗目标树,以及基于目标数据端A中的样本数据组a1和目标数据端B中的样本数据组b2建立另一颗目标树。
在本实施例中,在建树阶段,上述执行主体可以首先建立目标树的根节点作为当前节点。在这里,根节点为树的起始节点。根节点的深度为0。从根节点分裂出的下一级子节点的深度为1。根节点对应的样本数据为目标数据端的样本数据组。具体为目标数据端的哪个样本数据组,可以由技术人员预先指定。
继续上述示例,假设技术人员预先指定目标数据端A中的样本数据组a1和目标数据端B中的样本数据组b1用于建立第一颗目标树;目标数据端A中的样本数据组a2和目标数据端B中的样本数据组b2用于建立第二颗目标树,则在第一次建树时,所建立的根节点对应的样本数据为样本数据组a1和样本数据组b1;在第二次建树时,所建立的根节点对应的样本数据为样本数据组a2和样本数据组b2。
步骤2012,从预设的特征集合中选取目标特征。
在本实施例中,上述执行主体可以从预设的特征集合中选取特征作为目标特征。其中,特征集合可以为预先基于目标数据端的样本数据确定出的特征。具体的,特征集合中的特征可以为样本数据对应的样本所具有的特征。作为示例,样本数据为人物的数据,则特征集合可以为人物的特征,例如年龄、性别、收入等。目标特征为用于划分当前节点对应的样本数据的特征。
步骤2013,获取目标特征的特征值作为目标特征值。
在本实施例中,基于步骤2012中得到的目标特征,上述执行主体可以获取目标特征的特征值作为目标特征值。具体的,上述执行主体可以获取技术人员输入的特征值作为目标特征值;或者上述执行主体可以从预先确定的特征值范围中随机选取一个特征值作为目标特征值。在这里,目标特征值为用于划分当前节点对应的样本数据的特征值。作为示例,样本为人物,目标特征为年龄,目标特征值可以为50。
步骤2014,基于目标特征、目标特征值和当前节点,执行分裂步骤。
在这里,上述执行主体可以基于上述目标特征、目标特征值和当前节点,执行以下分裂步骤(步骤20141-步骤20144):
步骤20141,将目标特征和目标特征值发送给至少两个目标数据端。
在这里,上述执行主体可以将目标特征和目标特征值分别发送给上述至少两个目标数据端。
步骤20142,获取目标数据端发送的左数据信息和右数据信息。
在发送了目标特征和目标特征值之后,上述执行主体可以获取至少两个目标数据端分别发送的左数据信息和右数据信息。其中,左数据信息用于指示左数据。右数据信息用于指示右数据。左数据和右数据为目标数据端基于接收的目标特征和目标特征值,对当前节点对应的样本数据进行划分所获得的数据。
继续上述示例,目标特征为年龄,目标特征值为50。目标数据端A可以基于目标特征“年龄”和目标特征值“50”将当前节点对应的样本数据组a1划分为年龄大于等于50的右数据和年龄小于50的左数据,然后生成用于指示划分成的右数据的右数据信息y1和用于指示划分成的左数据的左数据信息z1,进而上述执行主体可以从目标数据端A获取所生成的右数据信息y1和左数据信息z1;相类似的,目标数据端B可以基于目标特征“年龄”和目标特征值“50”将当前节点对应的样本数据组b1划分为年龄大于等于50的右数据和年龄小于50的左数据,然后生成用于指示划分成的右数据的右数据信息y2和用于指示划分成的左数据的左数据信息z2,进而上述执行主体可以从目标数据端B获取所生成的右数据信息y2和左数据信息z2。
需要说明的是,在这里,左数据可以对应小于目标特征值的数据,进而右数据对应大于等于目标特征值的数据;或者,左数据可以对应大于等于目标特征值的数据,进而右数据对应小于目标特征值的数据,即左数据和右数据对应的数值范围可以互相置换,但不同的目标数据端的左数据和右数据需要分别对应相同的数据范围(例如目标数据端A的左数据对应大于等于50的数值范围,右数据对应小于50的数值范围,则目标数据端B的左数据也需要对应大于等于50的数值范围,右数据对应小于50的数值范围)。
实践中,数据信息(包括左数据信息和右数据信息)可以为用于指示数据(包括左数据和右数据)的各种信息,例如数据信息可以为数据本身,也可以为用于指示数据的特征的信息,例如用于指示数据的数量的信息、用于指示数据是否重复的信息等。
在本实施例的一些可选的实现方式中,左数据信息可以为用于指示左数据中不重复的左数据的信息,右数据信息可以为用于指示右数据中不重复的右数据的信息。
可以理解,由于在建树过程中,用于判断节点是否能够继续分裂的指标通常是节点对应的数据中不重复的数据的数量,所以,本实现方式可以只获取目标数据端中不重复的左数据的信息和不重复的右数据的信息,以此,可以减少目标数据端向上述执行主体传输数据的数据量,有助于提高数据传输的效率,降低数据泄露的风险。
在本实施例的一些可选的实现方式中,上述执行主体可以通过以下步骤获取目标数据端发送的左数据信息和右数据信息:
首先,上述执行主体可以接收目标数据端发送的左数据加密信息和右数据加密信息,其中,左数据加密信息为目标数据端对左数据信息进行加密后获得的信息,右数据加密信息为目标数据端对右数据信息进行加密后获得的信息。实践中,目标数据端可以采用各种加密方式对左数据信息和右数据信息进行加密,例如可以采用同态加密的方式加密。
然后,上述执行主体可以分别对接收到的左数据加密信息和右数据加密信息进行解密,获得左数据信息和右数据信息。
本实现方式通过传输加密后的数据信息,可以提高所传输的数据的安全性,降低数据泄露的风险。
步骤20143,分别基于所获取的左数据信息和右数据信息建立以当前节点为父节点的左子节点和右子节点。
具体的,上述执行主体可以基于至少两个目标数据端发送的左数据信息,建立以当前节点为父节点的左子节点,以及基于至少两个目标数据端发送的右数据信息,建立以当前节点为父节点的右子节点。在这里,左子节点对应的样本数据可以为所获取的左数据信息(即各个目标数据端发送的左数据信息)所指示的样本数据;右子节点对应的样本数据可以为所获取的右数据信息(即各个目标数据端发送的右数据信息)所指示的样本数据。
步骤20144,响应于最新获得的子节点满足预设的停止分裂条件,将该子节点确定为叶子节点。
在基于当前节点分裂出子节点之后,上述执行主体可以响应于最新获得的子节点满足预设的停止分裂条件,将该满足停止分裂条件的子节点确定为叶子节点。
实践中,树的叶子节点为不可再分的节点,即树不包括以叶子节点为父节点的子节点。
需要说明的是,在这里,最新获得的子节点为从当前节点最新分裂出的子节点。例如,当前节点为A,上述执行主体首先基于左数据信息从当前节点A分裂出左子节点a1,然后基于右数据信息从当前节点A分裂出右子节点a2,则左子节点a1和右子节点a2都为从当前节点最新分裂出的子节点在(即最新获得的子节点)。
在本实施例的一些可选的实现方式中,上述执行主体还可以响应于最新获得的子节点包括不是叶子节点的子节点,将该子节点确定为当前节点,基于最新的当前节点,继续执行分裂步骤(步骤20141-20144)。
可以理解,对于满足停止分裂条件的子节点,上述执行主体可以将该子节点确定为叶子节点,停止针对该子节点的分裂,而对于不满足上述停止分裂条件的子节点,上述执行主体可以以该子节点为分裂基准,继续针对该子节点进行分裂。
在本实施例的一些可选的实现方式中,上述可选的实现方式中的基于最新的当前节点,继续执行分裂步骤可以包括:
首先,上述执行主体可以确定最新的当前节点是否满足预设的特征用尽条件。
这里,特征用尽条件可以为预先确定的条件,用于判断当前使用的目标特征是否可以继续用于最新的当前节点的分裂。具体的,特征用尽条件可以包括:节点对应至少两个样本数据且所对应的至少两个样本数据对应的目标特征的特征值相同。
然后,上述执行主体可以响应于最新的当前节点满足上述特征用尽条件,从特征集合中选取未被选取过的特征作为新的目标特征,获取新的目标特征的特征值作为新的目标特征值,基于最新的目标特征、目标特征值和当前节点,继续执行分裂步骤(步骤20141-20144)。
作为示例,上述执行主体可以将左子节点a1确定为最新的当前节点,响应于最新的当前节点a1满足特征用尽条件,从特征集合中选取特征“收入”作为新的目标特征,随机获取目标特征“收入”的一个特征值“2000”作为新的目标特征值,进而基于最新确定的目标特征“收入”、目标特征值“2000”和当前节点a1,继续执行分裂步骤。
此外,上述执行主体还可以响应于最新的当前节点不满足上述特征用尽条件,基于最新的当前节点对应的样本数据对应的目标特征的特征值,生成新的目标特征值,基于目标特征、最新的目标特征值和当前节点,继续执行分裂步骤。
可以理解,若最新的当前节点满足特征用尽条件,则当前使用的目标特征无法继续用于最新的当前节点的分裂,此时则需要从特征集合中重新选取特征;而若最新的当前节点不满足特征用尽条件,则当前使用的目标特征可以继续用于最新的当前节点的分裂,此时无需从特征集合中重新选取特征,而只需重新确定一个目标特征的特征值,用于对最新的当前节点进行分裂。
在本实现方式中,在最新的当前节点不满足上述特征用尽条件的情况下,上述执行主体可以基于最新的当前节点对应的样本数据对应的目标特征的特征值,生成新的目标特征值。
具体的,基于最新的当前节点对应的样本数据对应的目标特征的特征值,上述执行主体可以采用各种方法生成新的目标特征值。作为示例,上述执行主体可以确定最新的当前节点对应的样本数据对应的目标特征的最大特征值和最小特征值,然后从最大特征值和最小特征值之间随机选取一个特征值作为新的目标特征值。
例如,最新的当前节点对应的样本数据包括对应的年龄(即目标特征)为18(即特征值)的样本数据、对应的年龄为50的样本数据和对应的年龄为34的样本数据,则上述执行主体可以确定出最大特征值50和最小特征值18,然后从18-50之间选取一个特征值(例如30)作为新的目标特征值。
在本实施例中,停止分裂条件可以为用于指示节点停止分裂的条件。具体可以为技术人员预先确定的各种条件。
在本实施例的一些可选的实现方式中,停止分裂条件可以包括但不限于以下至少一项:节点对应的深度大于或等于预设深度;节点对应的样本数据的数量为1;节点满足特征用尽条件,且特征集合中不包括未被选取过的特征。
作为示例,所生成的左子节点对应的样本数据可以为目标数据端A发送的样本数据1和目标数据端B发送的样本数据2,其中,样本数据1对应的年龄(即目标特征)可以为18(即特征值),样本数据2对应的年龄也可以为18,此时,该子节点满足特征用尽条件,同时,若特征集合中不包括除了年龄以外的特征,则可以确定该左子节点满足停止分裂条件,进而可以将该左子节点确定为叶子节点。
步骤2015,响应于最新获得的子节点均为叶子节点,获得目标树。
可以理解,当最新分裂出的子节点均为叶子节点时,建树过程中获得的各个节点均将无法继续分裂,此时则可以获得目标树。
作为示例,第一次分裂从节点A分裂出子节点a1和子节点a2,此时,最新获得的子节点a1满足停止分裂条件,a2不满足停止分裂条件,则将子节点a1确定为叶子节点,并对子节点a2继续进行分裂,例如将子节点a2分裂为a21和a22,此时最新获得的子节点a21和a22均满足停止分裂条件,则节点A、a1、a2、a21、a22均无法继续分裂,进而可以获得目标树。这里,目标树可以包括上述节点A、a1、a2、a21、a22以及节点之间的父子关系。
步骤202,将所获得的目标数量个目标树组合成隔离森林。
在本实施例中,基于步骤201中得到的目标数量个目标树,上述执行主体可以将所获得的目标数量个目标树组合成隔离森林。
继续参见图3,图3是根据本实施例的用于生成隔离森林的方法的应用场景的一个示意图。在图3的应用场景中,目标数据端301预先存储有样本数据组3011和样本数据组3012;目标数据端302预先存储有样本数据组3021和样本数据组3022。即在该应用场景中,目标数据端的数量为2。每个目标数据端包括两个(即目标数量个)样本数据组。
基于目标数据端301和302包括的样本数据组,服务器303可以重复执行两次建树步骤,获得两个目标树。
具体的,服务器301可以执行以下建树步骤:首先,服务器301可以构建目标树的根节点作为当前节点304。然后,服务器301可以从预设的特征集合305中选取目标特征3051(例如年龄)。接着,服务器301可以获取目标特征3051的特征值作为目标特征值306(例如18)。而后,服务器301可以基于目标特征3051、目标特征值306和当前节点304,执行以下分裂步骤:将目标特征3051和目标特征值306发送给目标数据端301和302;获取目标数据端301发送的左数据信息307和右数据信息308,以及目标数据端302发送的左数据信息309和右数据信息310,其中,左数据信息和右数据信息分别用于指示左数据和右数据,左数据和右数据为目标数据端301和目标数据端302分别基于接收的目标特征3051和目标特征值306,对样本数据组3011和样本数据组3021(即当前节点304对应的样本数据)进行划分所获得的数据;基于所获取的左数据信息307、309建立以当前节点304为父节点的左子节点311,以及基于所获取的右数据信息308、310建立以当前节点304为父节点的右子节点312;响应于最新获得的子节点311、312满足预设的停止分裂条件,将子节点311、312确定为叶子节点。然后,服务器301可以响应于最新获得的子节点311、312均为叶子节点,获得目标树313。
相类似的,服务器301可以基于目标数据端301中样本数据组3012和目标数据端302中样本数据组3022,重复执行上述建树步骤,获得目标树314。
最后,服务器301可以将所获得的目标树313和目标树314组合成隔离森林315。
本公开的上述实施例提供的方法可以基于来源于多个数据端的数据,训练生成隔离森林,以此,可以使隔离森林能够识别不同数据端的数据特征,提高了隔离森林的泛化能力,有助于利用隔离森林进行更为准确的异常检测。
进一步参考图4,其示出了用于检测异常数据的方法的一个实施例的流程400。该用于检测异常数据的方法的流程400,包括以下步骤:
步骤401,获取目标数据。
在本实施例中,用于检测异常数据的方法的执行主体(例如图1所示的服务器)可以通过有线连接方式或者无线连接方式远程或本地获取目标数据。其中,目标数据为待检测其是否为异常数据的数据。
步骤402,将目标数据输入预先训练的隔离森林,获得目标数据在隔离森林包括的隔离树中的深度。
在本实施例中,基于步骤401中得到的目标数据,上述执行主体可以将该目标数据输入预先训练的隔离森林,获得目标数据在上述隔离森林包括的隔离树中的深度。
在这里,隔离森林可以采用如上述图2对应的实施例中任一实施例的方法生成,具体内容可参考图2对应的实施例,此处不再赘述。
实践中,上述执行主体可以基于隔离树的各个节点对应的特征和特征值对目标数据进行分类,直至分类到不可再分的节点,此时,将不可再分的节点对应的深度作为目标数据在隔离树中的深度。需要说明的是,节点对应的特征和特征值为以该节点为基准进行分裂时所使用的目标特征和目标特征值。
可以理解,在这里,目标数据在上述隔离森林的每个隔离树中,都具有一个深度。进而,隔离森林包括目标数量个隔离树,则上述执行主体可以获得目标数量个深度。
步骤403,基于所获得的深度,生成用于指示目标数据是否为异常数据的检测结果。
在本实施例中,基于步骤402中得到的深度,上述执行主体可以生成用于指示目标数据是否为异常数据的检测结果。其中,检测结果可以包括以下至少一项:数字、文字、符号、图像。
实践中,一般认为容易被孤立的数据为异常数据。与正常数据相比,异常数据的分布更为稀疏。因此,异常数据在隔离森林中会较早地被孤立出来,进而,异常数据在隔离森林中的深度较小。本实施例可以基于步骤402中获得的深度,确定目标数据对应的深度是否小于或等于预设标准,若小于或等于预设标准,则可以确定目标数据为异常数据。
具体的,上述执行主体可以确定目标数据在隔离森林包括的目标数量个隔离树中的目标数量个深度的均值,然后基于所获得的均值,生成用于指示目标数据是否为异常数据的检测结果。例如,可以确定所获得的均值是否小于或等于预设阈值,若小于或等于预设阈值,则可以生成用于指示目标数据为异常数据的检测结果(例如“1”);若大于预设阈值,则可以生成用于指示目标数据不是异常数据的检测结果(例如“0”)。
本公开的上述实施例提供的方法可以基于图2对应的实施例中生成的隔离森林进行异常数据检测,由于图2对应的实施例中的隔离森林是基于多个数据端的数据训练生成的,具有更高的泛化能力,所以本公开可以基于该隔离森林进行更为准确的异常检测。
进一步参考图5,作为对上述各图所示方法的实现,本公开提供了一种生成隔离森林的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图5所示,本实施例的用于生成隔离森林的装置500包括:建树单元501和组合单元502。其中,建树单元501被配置成基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行以下建树步骤,获得目标数量个目标树:建立目标树的根节点作为当前节点;从预设的特征集合中选取目标特征;获取目标特征的特征值作为目标特征值;基于目标特征、目标特征值和当前节点,执行以下分裂步骤:将目标特征和目标特征值发送给至少两个目标数据端;获取目标数据端发送的左数据信息和右数据信息,其中,左数据信息和右数据信息分别用于指示左数据和右数据,左数据和右数据为目标数据端基于接收的目标特征和目标特征值,对当前节点对应的样本数据进行划分所获得的数据;分别基于所获取的左数据信息和右数据信息建立以当前节点为父节点的左子节点和右子节点;响应于最新获得的子节点满足预设的停止分裂条件,将该子节点确定为叶子节点;响应于最新获得的子节点均为叶子节点,获得目标树;组合单元502被配置成将所获得的目标数量个目标树组合成隔离森林。
在本实施例中,用于生成隔离森林的装置500的建树单元501可以基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行以下建树步骤(步骤5011-步骤5015),获得目标数量个目标树:
步骤5011,建立目标树的根节点作为当前节点。
在本实施例中,目标数据端可以预先存储目标数量个样本数据组。每个样本数据组可以用于建立一颗目标树。目标树即为待建立的、用于组成隔离森林的隔离树。样本数据可以为各种样本的数据。
在本实施例中,根节点为树的起始节点。根节点的深度为0。从根节点分裂出的下一级子节点的深度为1。根节点对应的样本数据为目标数据端的样本数据组。
步骤5012,从预设的特征集合中选取目标特征。
在本实施例中,建树单元501可以从预设的特征集合中选取特征作为目标特征。其中,特征集合可以为预先基于目标数据端的样本数据确定出的特征。具体的,特征集合中的特征可以为样本数据对应的样本所具有的特征。
步骤5013,获取目标特征的特征值作为目标特征值。
步骤5014,基于目标特征、目标特征值和当前节点,执行分裂步骤。
在这里,建树单元501可以基于上述目标特征、目标特征值和当前节点,执行以下分裂步骤(步骤50141-步骤50144):
步骤50141,将目标特征和目标特征值发送给至少两个目标数据端。
步骤50142,获取目标数据端发送的左数据信息和右数据信息。
在本实施例中,左数据信息用于指示左数据。右数据信息用于指示右数据。左数据和右数据为目标数据端基于接收的目标特征和目标特征值,对当前节点对应的样本数据进行划分所获得的数据。
步骤50143,分别基于所获取的左数据信息和右数据信息建立以当前节点为父节点的左子节点和右子节点。
在这里,左子节点对应的样本数据可以为所获取的左数据信息(即各个目标数据端发送的左数据信息)所指示的样本数据;右子节点对应的样本数据可以为所获取的右数据信息(即各个目标数据端发送的右数据信息)所指示的样本数据。
步骤50144,响应于最新获得的子节点满足预设的停止分裂条件,将该子节点确定为叶子节点。
实践中,树的叶子节点为不可再分的节点,即树不包括以叶子节点为父节点的子节点。需要说明的是,在这里,最新获得的子节点为从当前节点最新分裂出的子节点。
在本实施例中,停止分裂条件可以为用于指示节点停止分裂的条件。具体可以为技术人员预先确定的各种条件。
步骤5015,响应于最新获得的子节点均为叶子节点,获得目标树。
在本实施例中,基于建树单元501得到的目标数量个目标树,组合单元502可以将所获得的目标数量个目标树组合成隔离森林。
在本实施例的一些可选的实现方式中,建树步骤还可以包括:响应于最新获得的子节点包括不是叶子节点的子节点,将该子节点确定为当前节点,基于最新的当前节点,继续执行分裂步骤。
在本实施例的一些可选的实现方式中,基于最新的当前节点,继续执行分裂步骤还可以包括:确定最新的当前节点是否满足预设的特征用尽条件,其中,特征用尽条件包括:节点对应至少两个样本数据且所对应的至少两个样本数据对应的目标特征的特征值相同;响应于满足特征用尽条件,从特征集合中选取未被选取过的特征作为新的目标特征,获取新的目标特征的特征值作为新的目标特征值,基于最新的目标特征、目标特征值和当前节点,继续执行分裂步骤;响应于不满足特征用尽条件,基于最新的当前节点对应的样本数据对应的目标特征的特征值,生成新的目标特征值,基于目标特征、最新的目标特征值和当前节点,继续执行分裂步骤。
在本实施例的一些可选的实现方式中,停止分裂条件可以包括以下至少一项:节点对应的深度大于或等于预设深度;节点对应的样本数据的数量为1;节点满足特征用尽条件,且特征集合中不包括未被选取过的特征。
在本实施例的一些可选的实现方式中,左数据信息为用于指示左数据中不重复的左数据的信息,右数据信息为用于指示右数据中不重复的右数据的信息。
在本实施例的一些可选的实现方式中,获取目标数据端发送的左数据信息和右数据信息包括:接收目标数据端发送的左数据加密信息和右数据加密信息,其中,左数据加密信息为目标数据端对左数据信息进行加密后获得的信息,右数据加密信息为目标数据端对右数据信息进行加密后获得的信息;分别对接收到的左数据加密信息和右数据加密信息进行解密,获得左数据信息和右数据信息。
可以理解的是,该装置500中记载的诸单元与参考图2描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于装置500及其中包含的单元,在此不再赘述。
本公开的上述实施例提供的装置500可以基于来源于多个数据端的数据,训练生成隔离森林,以此,可以使隔离森林能够识别不同数据端的数据特征,提高了隔离森林的泛化能力,有助于利用隔离森林进行更为准确的异常检测。
进一步参考图6,作为对上述各图所示方法的实现,本公开提供了一种用于检测异常数据的装置的一个实施例,该装置实施例与图4所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图6所示,本实施例的用于检测异常数据的装置600包括:获取单元601、输入单元602和生成单元603。其中,获取单元601被配置成获取目标数据;输入单元602被配置成将目标数据输入预先训练的隔离森林,获得目标数据在隔离森林包括的隔离树中的深度,其中,隔离森林采用如上述图2对应的实施例中任一实施例的方法生成;生成单元603被配置成基于所获得的深度,生成用于指示目标数据是否为异常数据的检测结果。
在本实施例中,用于检测异常数据的装置600的获取单元601可以通过有线连接方式或者无线连接方式远程或本地获取目标数据。其中,目标数据为待检测其是否为异常数据的数据。
在本实施例中,基于获取单元601得到的目标数据,输入单元602可以将该目标数据输入预先训练的隔离森林,获得目标数据在上述隔离森林包括的隔离树中的深度。
在这里,隔离森林可以采用如上述图2对应的实施例中任一实施例的方法生成,具体内容可参考图2对应的实施例,此处不再赘述。
在本实施例中,基于输入单元602得到的深度,生成单元603可以生成用于指示目标数据是否为异常数据的检测结果。其中,检测结果可以包括以下至少一项:数字、文字、符号、图像。
可以理解的是,该装置600中记载的诸单元与参考图4描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于装置600及其中包含的单元,在此不再赘述。
本公开的上述实施例提供的装置600可以基于图2对应的实施例中生成的隔离森林进行异常数据检测,由于图2对应的实施例中的隔离森林是基于多个数据端的数据训练生成的,具有更高的泛化能力,所以本公开可以基于该隔离森林进行更为准确的异常检测。
下面参考图7,其示出了适于用来实现本公开实施例的电子设备(例如图1中的服务器)700的结构示意图。图7示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700可以包括处理装置(例如中央处理器、图形处理器等)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储装置708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有电子设备700操作所需的各种程序和数据。处理装置701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
通常,以下装置可以连接至I/O接口705:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置706;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置707;包括例如磁带、硬盘等的存储装置708;以及通信装置709。通信装置709可以允许电子设备700与其他设备进行无线或有线通信以交换数据。虽然图7示出了具有各种装置的电子设备700,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置709从网络上被下载和安装,或者从存储装置708被安装,或者从ROM 702被安装。在该计算机程序被处理装置701执行时,执行本公开实施例的方法中限定的上述功能。
需要说明的是,本公开所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行以下建树步骤,获得目标数量个目标树:建立目标树的根节点作为当前节点;从预设的特征集合中选取目标特征;获取目标特征的特征值作为目标特征值;基于目标特征、目标特征值和当前节点,执行以下分裂步骤:将目标特征和目标特征值发送给至少两个目标数据端;获取目标数据端发送的左数据信息和右数据信息,其中,左数据信息和右数据信息分别用于指示左数据和右数据,左数据和右数据为目标数据端基于接收的目标特征和目标特征值,对当前节点对应的样本数据进行划分所获得的数据;分别基于所获取的左数据信息和右数据信息建立以当前节点为父节点的左子节点和右子节点;响应于最新获得的子节点满足预设的停止分裂条件,将该子节点确定为叶子节点;响应于最新获得的子节点均为叶子节点,获得目标树;将所获得的目标数量个目标树组合成隔离森林。
此外,也可以使得该电子设备:获取目标数据;将目标数据输入预先训练的隔离森林,获得目标数据在隔离森林包括的隔离树中的深度,其中,隔离森林采用如图2对应的实施例中的任一实施例的方法生成;基于所获得的深度,生成用于指示目标数据是否为异常数据的检测结果。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定,例如,获取单元还可以被描述为“获取目标数据的单元”。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (11)
1.一种用于生成隔离森林的方法,包括:
基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行以下建树步骤,获得目标数量个目标树:
建立目标树的根节点作为当前节点;从预设的特征集合中选取目标特征;获取目标特征的特征值作为目标特征值;基于目标特征、目标特征值和当前节点,执行以下分裂步骤:将目标特征和目标特征值发送给所述至少两个目标数据端;获取目标数据端发送的左数据信息和右数据信息,其中,左数据信息和右数据信息分别用于指示左数据和右数据,左数据和右数据为目标数据端基于接收的目标特征和目标特征值,对当前节点对应的样本数据进行划分所获得的数据;分别基于所获取的左数据信息和右数据信息建立以当前节点为父节点的左子节点和右子节点;响应于最新获得的子节点满足预设的停止分裂条件,将该子节点确定为叶子节点;
响应于最新获得的子节点均为叶子节点,获得目标树;
将所获得的目标数量个目标树组合成隔离森林。
2.根据权利要求1所述的方法,其中,所述建树步骤还包括:响应于最新获得的子节点包括不是叶子节点的子节点,将该子节点确定为当前节点,基于最新的当前节点,继续执行所述分裂步骤。
3.根据权利要求2所述的方法,其中,所述基于最新的当前节点,继续执行所述分裂步骤包括:
确定最新的当前节点是否满足预设的特征用尽条件,其中,特征用尽条件包括:节点对应至少两个样本数据且所对应的至少两个样本数据对应的目标特征的特征值相同;
响应于满足所述特征用尽条件,从所述特征集合中选取未被选取过的特征作为新的目标特征,获取新的目标特征的特征值作为新的目标特征值,基于最新的目标特征、目标特征值和当前节点,继续执行所述分裂步骤;
响应于不满足所述特征用尽条件,基于最新的当前节点对应的样本数据对应的目标特征的特征值,生成新的目标特征值,基于目标特征、最新的目标特征值和当前节点,继续执行所述分裂步骤。
4.根据权利要求1所述的方法,其中,所述停止分裂条件包括以下至少一项:
节点对应的深度大于或等于预设深度;
节点对应的样本数据的数量为1;
节点满足特征用尽条件,且所述特征集合中不包括未被选取过的特征。
5.根据权利要求1所述的方法,其中,左数据信息为用于指示左数据中不重复的左数据的信息,右数据信息为用于指示右数据中不重复的右数据的信息。
6.根据权利要求1所述的方法,其中,所述获取目标数据端发送的左数据信息和右数据信息包括:
接收目标数据端发送的左数据加密信息和右数据加密信息,其中,左数据加密信息为目标数据端对左数据信息进行加密后获得的信息,右数据加密信息为目标数据端对右数据信息进行加密后获得的信息;
分别对接收到的左数据加密信息和右数据加密信息进行解密,获得左数据信息和右数据信息。
7.一种用于检测异常数据的方法,包括:
获取目标数据;
将所述目标数据输入预先训练的隔离森林,获得所述目标数据在所述隔离森林包括的隔离树中的深度,其中,所述隔离森林采用如上述权利要求1-6之一的方法生成;
基于所获得的深度,生成用于指示所述目标数据是否为异常数据的检测结果。
8.一种用于生成隔离森林的装置,包括:
建树单元,被配置成基于至少两个目标数据端预先存储的目标数量个样本数据组,重复执行以下建树步骤,获得目标数量个目标树:
建立目标树的根节点作为当前节点;从预设的特征集合中选取目标特征;获取目标特征的特征值作为目标特征值;基于目标特征、目标特征值和当前节点,执行以下分裂步骤:将目标特征和目标特征值发送给所述至少两个目标数据端;获取目标数据端发送的左数据信息和右数据信息,其中,左数据信息和右数据信息分别用于指示左数据和右数据,左数据和右数据为目标数据端基于接收的目标特征和目标特征值,对当前节点对应的样本数据进行划分所获得的数据;分别基于所获取的左数据信息和右数据信息建立以当前节点为父节点的左子节点和右子节点;响应于最新获得的子节点满足预设的停止分裂条件,将该子节点确定为叶子节点;
响应于最新获得的子节点均为叶子节点,获得目标树;
组合单元,被配置成将所获得的目标数量个目标树组合成隔离森林。
9.一种用于检测异常数据的装置,包括:
获取单元,被配置成获取目标数据;
输入单元,被配置成将所述目标数据输入预先训练的隔离森林,获得所述目标数据在所述隔离森林包括的隔离树中的深度,其中,所述隔离森林采用如上述权利要求1-6之一的方法生成;
生成单元,被配置成基于所获得的深度,生成用于指示所述目标数据是否为异常数据的检测结果。
10.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
11.一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910930586.4A CN110705635B (zh) | 2019-09-29 | 2019-09-29 | 用于生成隔离森林的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910930586.4A CN110705635B (zh) | 2019-09-29 | 2019-09-29 | 用于生成隔离森林的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110705635A true CN110705635A (zh) | 2020-01-17 |
| CN110705635B CN110705635B (zh) | 2020-11-03 |
Family
ID=69197231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910930586.4A Active CN110705635B (zh) | 2019-09-29 | 2019-09-29 | 用于生成隔离森林的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110705635B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111340121A (zh) * | 2020-02-28 | 2020-06-26 | 支付宝(杭州)信息技术有限公司 | 目标特征的确定方法及装置 |
| CN114172630A (zh) * | 2021-12-24 | 2022-03-11 | 湖南大学 | 一种基于加法同态加密与多高位嵌入的可逆信息隐藏方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6836475B2 (en) * | 2000-12-01 | 2004-12-28 | Nokia Corporation | Method and apparatus for traffic shaping for IP router queues/egress |
| WO2016182582A1 (en) * | 2015-05-12 | 2016-11-17 | Extreme Networks, Inc. | Methods, systems, and non-transitory computer readable media for generating a tree structure with nodal comparison fields and cut values for rapid tree traversal and reduced numbers of full comparisons at leaf nodes |
| CN106846806A (zh) * | 2017-03-07 | 2017-06-13 | 北京工业大学 | 基于Isolation Forest的城市道路交通异常检测方法 |
| CN107657288A (zh) * | 2017-10-26 | 2018-02-02 | 国网冀北电力有限公司 | 一种基于孤立森林算法的电力调度流数据异常检测方法 |
| CN108877949A (zh) * | 2018-06-11 | 2018-11-23 | 吉林大学 | 基于孤立森林算法和投票机制的唐氏综合症筛查方法 |
| CN108900476A (zh) * | 2018-06-07 | 2018-11-27 | 桂林电子科技大学 | 基于Spark与隔离森林的并行网络流量异常检测方法 |
| CN109753960A (zh) * | 2018-12-24 | 2019-05-14 | 西安理工大学 | 基于分形理论的孤立森林水下人工目标检测方法 |
| CN109765332A (zh) * | 2018-12-05 | 2019-05-17 | 国网辽宁省电力有限公司信息通信分公司 | 基于隔离森林的变压器异常值实时检测和故障诊断方法 |
| CN109782261A (zh) * | 2018-12-27 | 2019-05-21 | 西北工业大学 | 对水下入侵目标引起接收信号变化的无监督学习检测方法 |
| CN109902721A (zh) * | 2019-01-28 | 2019-06-18 | 平安科技(深圳)有限公司 | 异常点检测模型验证方法、装置、计算机设备及存储介质 |
| US20190279097A1 (en) * | 2018-03-07 | 2019-09-12 | General Electric Company | Systems and methods for decision tree ensembles for selecting actions |
-
2019
- 2019-09-29 CN CN201910930586.4A patent/CN110705635B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6836475B2 (en) * | 2000-12-01 | 2004-12-28 | Nokia Corporation | Method and apparatus for traffic shaping for IP router queues/egress |
| WO2016182582A1 (en) * | 2015-05-12 | 2016-11-17 | Extreme Networks, Inc. | Methods, systems, and non-transitory computer readable media for generating a tree structure with nodal comparison fields and cut values for rapid tree traversal and reduced numbers of full comparisons at leaf nodes |
| CN106846806A (zh) * | 2017-03-07 | 2017-06-13 | 北京工业大学 | 基于Isolation Forest的城市道路交通异常检测方法 |
| CN107657288A (zh) * | 2017-10-26 | 2018-02-02 | 国网冀北电力有限公司 | 一种基于孤立森林算法的电力调度流数据异常检测方法 |
| US20190279097A1 (en) * | 2018-03-07 | 2019-09-12 | General Electric Company | Systems and methods for decision tree ensembles for selecting actions |
| CN108900476A (zh) * | 2018-06-07 | 2018-11-27 | 桂林电子科技大学 | 基于Spark与隔离森林的并行网络流量异常检测方法 |
| CN108877949A (zh) * | 2018-06-11 | 2018-11-23 | 吉林大学 | 基于孤立森林算法和投票机制的唐氏综合症筛查方法 |
| CN109765332A (zh) * | 2018-12-05 | 2019-05-17 | 国网辽宁省电力有限公司信息通信分公司 | 基于隔离森林的变压器异常值实时检测和故障诊断方法 |
| CN109753960A (zh) * | 2018-12-24 | 2019-05-14 | 西安理工大学 | 基于分形理论的孤立森林水下人工目标检测方法 |
| CN109782261A (zh) * | 2018-12-27 | 2019-05-21 | 西北工业大学 | 对水下入侵目标引起接收信号变化的无监督学习检测方法 |
| CN109902721A (zh) * | 2019-01-28 | 2019-06-18 | 平安科技(深圳)有限公司 | 异常点检测模型验证方法、装置、计算机设备及存储介质 |
Non-Patent Citations (4)
| Title |
|---|
| FEI TONY LIU,ET.AL,: "Isolation Forest", 《2008 EIGHTH IEEE INTERNATIONAL CONFERENCE ON DATA MINING》 * |
| 刘凯: "基于数据挖掘的个人信用评分建模与分析", 《中国优秀硕士学位论文全文数据库》 * |
| 李庆君: "Hadoop架构下海量空间数据存储与管理", 《中国优秀硕士学位论文全文数据库》 * |
| 黄福兴: "基于孤立森林算法的电能量异常数据检测", 《华东师范大学学报(自然科学版) 》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111340121A (zh) * | 2020-02-28 | 2020-06-26 | 支付宝(杭州)信息技术有限公司 | 目标特征的确定方法及装置 |
| CN111340121B (zh) * | 2020-02-28 | 2022-04-12 | 支付宝(杭州)信息技术有限公司 | 目标特征的确定方法及装置 |
| CN114172630A (zh) * | 2021-12-24 | 2022-03-11 | 湖南大学 | 一种基于加法同态加密与多高位嵌入的可逆信息隐藏方法 |
| CN114172630B (zh) * | 2021-12-24 | 2024-05-17 | 湖南大学 | 一种基于加法同态加密与多高位嵌入的可逆信息隐藏方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110705635B (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10547618B2 (en) | Method and apparatus for setting access privilege, server and storage medium | |
| US10412032B2 (en) | Techniques for scam detection and prevention | |
| CN115599640B (zh) | 异常供应端告警方法、电子设备和介质 | |
| CN108595448B (zh) | 信息推送方法和装置 | |
| CN112434620B (zh) | 场景文字识别方法、装置、设备和计算机可读介质 | |
| CN110705635B (zh) | 用于生成隔离森林的方法和装置 | |
| CN116361121A (zh) | 异常接口告警方法、装置、电子设备和计算机可读介质 | |
| CN110765490A (zh) | 用于处理信息的方法和装置 | |
| CN111787041A (zh) | 用于处理数据的方法和装置 | |
| US11470167B2 (en) | Method and apparatus for generating information | |
| CN110830306B (zh) | 确定网络用户影响力的方法、装置、存储介质及电子设备 | |
| CN116389583A (zh) | 信息传输方法、装置、电子设备及存储介质 | |
| CN113765692B (zh) | 限流方法、装置、电子设备和计算机可读介质 | |
| US10963319B2 (en) | Enhancing privacy of sensor data from devices using ephemeral cohorts | |
| CN113486968A (zh) | 摄像机生命周期的监控方法、装置、设备和介质 | |
| CN113742593A (zh) | 用于推送信息的方法和装置 | |
| CN112434619A (zh) | 病例信息提取方法、装置、设备和计算机可读介质 | |
| CN107203578B (zh) | 建立用户标识的关联的方法和装置 | |
| CN113807530B (zh) | 信息处理系统、方法和装置 | |
| CN112068917B (zh) | 界面呈现方法、装置、电子设备和计算机可读介质 | |
| CN117633848B (zh) | 用户信息联合处理方法、装置、设备和计算机可读介质 | |
| CN110896374B (zh) | 生成用户信息、发送请求信息的方法和设备 | |
| CN116226888B (zh) | 基于隐私保护的电力数据交互加密方法、系统与设备 | |
| CN114826707B (zh) | 处理用户威胁的方法、装置、电子设备和计算机可读介质 | |
| CN114003188B (zh) | 信息加密显示方法、装置、电子设备和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |