논문| Deep Learning for Time Series Anomaly Detection: A Survey

• It provides a taxonomy
  based on anomaly detection strategies and deep learning models.

  시계열 이상탐지 기법 및 딥러닝 모델에 대한 분류 체계와 장단점을 기술하는 서베이 페이퍼.

• outlier detection: 이상치 탐지
  novelty detection: 새로운 기록 탐지

• 기법: DAEMON [33], TranAD [171], DCT-GAN [114], and Interfusion [117].

• concept drift: 정상패턴이 시간이 지나감에 따라 다른 패턴으로 변화하는 것

---

1 시계열의 종류

1) 단변수 시계열 : Univariate Time Series

• 예시) 습도를 계속 기록한다 => 피쳐 1개

𝑋 = (𝑥1, 𝑥2, . . . , 𝑥𝑡) 

2) 다변수 시계열: Mutivariate Time Series

• 예시) 이게 그냥 WAF등 로그 아냐?

X=(X1​,X2​,...,Xt​)=((x11​,x12​,...,x1d​),(x21​,x22​,...,x2d​),...,(xt1​,xt2​,...,xtd​)) 

$X_i = (x^1_i, x^2_i, ..., x^d_i)$
여기서 1~d 는 디멘션=피쳐의 갯수

2 시계열 움직임의 종류

1) 추세 : 증가, 감소 할 수 있으며, 선형일 필요는 없다
2) 계절 변화: 계절 시점에 따른 변화가 가능하다
3) 순환적 변화: 특정 주기를 기준으로 변화가 가능하다
4) 불규칙 변화

3 시계열 이상현상의 종류

1) 시간적 이상 (Temporal Anomaly)
ex) 보통 오후 3시에 갑자기 트래픽이 급증하는 웹사이트가 어느 날 오후 3시 트래픽이 평소의 10배가 되었다

2) 상호 측정적 이상 (Intermetric Anomaly): '여러 변수' 간의 관계가 이상해지는 경우

ex) 컴퓨터 서버의 'CPU 사용량'과 '온도'는 보통 함께 올라가는 경향이 있는데 어느 순간 CPU 사용량은 급증하는데 온도는 오히려 떨어지고 있다

disscorr​(Corr(Xj,Xk),Corr(Xt+δtj​:t+w+δtj​j​,Xt+δtk​:t+w+δtk​k​))>threshold
disscorr​(Corr1,Corr2)>threshold

=> 장기적인 정상 상관관계(Corr1)와 특정 시간 윈도우 내의 단기적인 상관관계(Corr2)의 차이(disscorr​)가 임계값(threshold)을 초과하는지 확인

3) 시간적-상호 측정적 이상 (Temporal-Intermetric Anomaly):

ex) 앞서 언급한 서버의 'CPU 사용량'과 '온도' 관계가, 평소에는 정상이었는데 **특정 시간대(예: 새벽 2시)**에만 둘의 관계가 비정상적으로 어긋나는 경우