相关工作(Related Work)

2.1 连续时间动态图(CTDG)上的异常检测

连续时间动态图(Continuous-Time Dynamic Graph, 简称 CTDG)是一种边流(edge stream)结构,其输入为带时间戳的边序列。CTDG 通常用于建模现实中随时间连续演化的图结构。

无监督异常检测方法

目前大多数无监督异常检测技术主要针对某类特定异常。代表性方法包括:

  • Sedanspot [12]:专注于识别突发行为(bursts)和桥接边(连接稀疏子图的边);
  • MIDAS [4]:发现特定节点群体中交互的突增;
  • F-FADE [6]:检测节点对之间交互的突然上升或社区结构的快速改变;
  • AnoGraph [5]:识别稠密子图以及其中的异常边。

这些方法通常通过增量计算提升效率,但缺乏可学习模块,因此难以捕捉复杂的异常行为模式,也难以推广到非预定义的异常类型。

表示学习方法

CTDG 中的表示学习旨在为每个新到达的边更新节点的表示,从而动态反映节点随时间演化的行为模式。

代表性方法包括:

  • JODIE [20]:基于 RNN 实现动态节点表示;
  • DyRep [34]:结合深度时间点过程与 RNN;
  • TGAT [39]:利用时间编码和图注意力机制建模邻居之间的时间依赖;
  • DDGCL [33]:基于时间平滑性,通过对比学习获取节点表示;
  • TGN [29]:引入 memory 模块记录节点历史行为并基于 RNN 更新;
  • DGTCC [13]:通过前后状态的 memory 对比进行训练,假设 memory 更新过程是逐渐演化的。

上述方法多数将表示学习结果输入到有监督分类器中,需要异常标签进行训练。而 SAD [32] 使用伪标签与对比学习结合,但依然依赖标签数据。

静态图异常检测

许多方法专注于静态图上的异常检测,常采用图自监督学习以弥补标签缺失。典型方法包括:

  • ANEMONE [14]:比较由特征和由图结构+特征所学习的表示,若两者差异大则为异常;
  • DOMINANT [10]:基于图自动编码器重构图结构与属性,通过重构误差判断异常。

这些方法虽然能在静态图中表现良好,但难以扩展到动态图场景,因为节点表示需要随时间动态演化。

离散时间动态图(DTDG)

DTDG(Discrete-Time Dynamic Graph)是另一种动态图形式,其输入为一系列离散时间点的图快照 $G_1, G_2, …, G_T$。

代表性方法包括:

  • Netwalk [40]:结合随机游走和自动编码器,识别表示差异显著的节点对;
  • AddGraph [41]:使用 GCN 提取当前图中短期结构特征,结合 GRU 获取长期模式;
  • TADDY [25]:利用 Transformer 进行多尺度图结构建模。

这类方法以图快照为单位,存在一定延迟,因此不适合需要即时响应的任务(如安全监测)。此外,它们通常关注边的异常性,而非节点的动态状态演变。而本文的目标是检测节点在连续时间上的状态漂移,因此更适合使用 CTDG 结构。