时间序列异常检测的5种方法：从统计阈值到深度学习

时间序列数据随处可见：网站每分钟的访问量、传感器读数、股票价格、人流计数、服务器 CPU 使用率，都是典型场景。

多数时候这类数据遵循某种规律。异常检测的目标就是找到规律被打破的那些时刻。

什么是时间序列数据中的异常？

异常指的是与正常行为产生明显偏离的数据点或数据序列。举几个例子：凌晨 3 点网站流量突然飙升；传感器因设备故障出现读数骤降；已关门的商店内人流量异常激增。

为什么时间序列异常检测很困难

时间序列数据天然包含趋势（缓慢的上升或下降）、季节性（日级或周级的周期模式）以及噪声（随机波动）。这三个成分叠加在一起，让"正常"本身就在不断变化。

一个值的高低本身不构成异常，它是否异常取决于出现的时间点。中午有 1000 个访客是正常的，凌晨 3 点有 1000 个访客就不正常了。

学习"正常"的样子

在检测异常之前，系统需要先建立对正常行为的认知——预期的数值范围、长期趋势走向以及重复出现的季节性模式。

不同的数据特征对应不同的检测策略。

方法 1：统计阈值法（Z-Score）

最简单的做法，假设数据服从正态分布。

import numpy as np
def z_score_anomaly(data, threshold=3):
mean = np.mean(data)
std = np.std(data)
z_scores = (data - mean) / std
anomalies = np.abs(z_scores) > threshold
return anomalies

适用场景：没有趋势的平稳数据。

方法 2：移动平均 + 残差

适用于带有平滑趋势的数据。

import pandas as pd
def moving_average_anomaly(series, window=10, threshold=2):
rolling_mean = series.rolling(window).mean()
residual = series - rolling_mean
std = residual.std()
return abs(residual) > threshold * std

它的优势在于，每个数据点比较的是自身的局部上下文而非全局均值。

方法 3：季节性分解

周期性模式明显的数据最适合用这个方法。

from statsmodels.tsa.seasonal import seasonal_decompose
def seasonal_anomaly(series, period=24):
result = seasonal_decompose(series, model='additive', period=period)
residual = result.resid
threshold = 3 * residual.std()
return abs(residual) > threshold

季节性分解把原始序列拆成趋势、季节性和残差三个分量，异常通常藏在残差里。

方法 4：机器学习（Isolation Forest）

不依赖任何分布假设，直接隔离罕见模式。

from sklearn.ensemble import IsolationForest
def isolation_forest_anomaly(data, contamination=0.02):
model = IsolationForest(contamination=contamination)
preds = model.fit_predict(data.reshape(-1, 1))
return preds == -1

适用场景：模式未知、数据不规则，或者多变量时间序列。

方法 5：深度学习（自编码器）

自编码器学习重建正常序列，重建误差高的部分即为异常。

import numpy as np
def reconstruction_error(original, reconstructed):
return np.mean((original - reconstructed) ** 2)

适合处理模式复杂、维度较多、存在长期依赖关系的时间序列。

示例：人流量分析

import pandas as pd
import numpy as np
from statsmodels.tsa.seasonal import seasonal_decompose
# 生成商店人流量数据（1 周，每小时）
hours = pd.date_range('2024-01-01', periods=24*7, freq='H')
hour_of_day = hours.hour
# 正常：上午 9 点到晚上 9 点繁忙，夜间安静
base = 100 + 80 * ((hour_of_day >= 9) & (hour_of_day <= 21))
traffic = pd.Series(base + np.random.normal(0, 10, len(hours)), index=hours)
# 注入异常
traffic.iloc[15] = 200 # 凌晨 3 点飙升（摄像头问题）
traffic.iloc[75] = 5 # 营业时间下降（故障）
# 检测
result = seasonal_decompose(traffic, model='additive', period=24)
residual = result.resid
anomalies = abs(residual) > 3 * residual.std()
print(f"Detected {anomalies.sum()} anomalies")

减少误报

误报是异常检测在生产环境中最常见的痛点。三种思路可以缓解。

调整灵敏度：控制标记比例：

model = IsolationForest(contamination=0.02) # 仅标记 2%

要求持续性：只有连续多个点都表现异常时才触发告警：

# 仅当异常持续 3 个及以上连续点时才标记
consecutive_count >= 3

集成投票：多种方法同时判断，取多数一致的结果：

# 投票：如果 2 个及以上方法一致则标记
votes = method1 + method2 + method3
anomalies = votes >= 2

总结

异常检测的核心不在于找出"奇怪的数字"，而在于理解每个时间点上什么才算正常。先对数据做可视化探索，从移动平均或季节性分解入手；如果数据模式复杂，引入 Isolation Forest；生产系统中建议组合多种方法以降低误判。

异常检测要做的，是识别那些偏离了时间、趋势和行为规律的数据点。

https://avoid.overfit.cn/post/a6de4ac94dd64768a768593e39b6c7cb

by Bhargavi Guddati