Sum functions
当存储桶中字段的总和出现异常时,求和函数会检测到异常。
如果您想监控异常高的总额,请使用高侧函数。
如果您想关注总额的下降,请使用低侧函数。
如果您的数据稀疏,请使用 non_null_sum 函数。没有值的存储桶将被忽略;值为零的存储桶将被分析。
机器学习功能包括以下求和函数:
sum 函数在存储桶中字段的总和出现异常时检测异常。
如果您想监控异常高的总和值,请使用 high_sum 函数。
如果您想监控异常低的总和值,请使用 low_sum 函数。
这些函数支持以下属性:
field_name(必需)by_field_name(可选)over_field_name(可选)partition_field_name(可选)
有关这些属性的更多信息,请参阅 创建异常检测作业 API。
{
"function" : "sum",
"field_name" : "expenses",
"by_field_name" : "costcenter",
"over_field_name" : "employee"
}
如果您在异常检测作业的检测器中使用此 sum 函数,它将为每个成本中心建模每个员工的总费用。对于每个时间存储桶,它会检测与同一成本中心内的其他员工相比,某个员工的费用是否异常。
{
"function" : "high_sum",
"field_name" : "cs_bytes",
"over_field_name" : "cs_host"
}
如果您在异常检测作业的检测器中使用此 high_sum 函数,它将对总 cs_bytes 进行建模。它会检测与其他 cs_hosts 相比传输异常高流量的 cs_hosts。此示例着眼于从客户端到互联网服务器传输的数据量,并与来自其他客户端的数据量进行比较。此场景可用于检测数据泄露或查找滥用互联网权限的用户。
如果您的数据稀疏,non_null_sum 函数非常有用。没有值的存储桶将被忽略,值为零的存储桶将被分析。
如果您想监控异常高的总额,请使用 high_non_null_sum 函数。
如果您想关注总额的下降,请使用 low_non_null_sum 函数。
这些函数支持以下属性:
field_name(必需)by_field_name(可选)partition_field_name(可选)
有关这些属性的更多信息,请参阅 创建异常检测作业 API。
总体分析(即使用 over_field_name 属性)不适用于此函数。
{
"function" : "high_non_null_sum",
"field_name" : "amount_approved",
"by_field_name" : "employee"
}
如果您在异常检测作业的检测器中使用此 high_non_null_sum 函数,它将为每个员工建模批准的 amount_approved 总额。它会忽略任何金额为空的存储桶。它会检测与他们过去的表现相比,批准异常高金额的员工。