---
title: "圖異常偵測（Graph Anomaly Detection）"
slug: graph-anomaly-detection
language: zh-TW
source: https://aiterms.tw/learning/what-is-graph-anomaly-detection
updated_at: 2026-07-04
tags: [知識圖譜, 異常偵測, 深度學習, 機器學習, source:arxiv]
ipas_term: false
type: deep-dive
---

# 圖異常偵測 是什麼？

> 圖異常偵測是分析圖結構與節點特徵，以識別出網路中異常節點、邊或子圖的技術，常應用於金融防詐與資安防護。

## 核心概念
圖異常偵測（Graph Anomaly Detection）主要關注於圖結構資料中尋找與整體模式不符或具有特殊意義的模式。在真實世界的應用中，許多資料都可以被表示為圖的形式，例如社交網路中的人際關係、金融交易網路中的資金流向、電腦網路中的連線紀錄，甚至生物資訊中的蛋白質交互作用。圖資料由節點與邊組成，節點代表實體，邊代表實體之間的關係。圖異常偵測的目標就是從這些節點、邊或由它們構成的子圖中，找出不符合預期行為模式的異常個體。

與傳統的異常偵測方法相比，圖異常偵測面對的資料結構更為複雜。傳統方法多半處理表格式資料，假設資料點之間是相互獨立的，僅依賴個體的特徵屬性進行分析。然而在圖結構資料中，節點之間存在著豐富的關聯性，一個節點的行為往往受到其鄰居節點的影響。因此，圖異常偵測不僅需要考量節點本身的屬性特徵，更需要深入分析網路的拓樸結構，這使得任務的挑戰性大幅提升，但也因為引入了關聯性資訊，使其在許多真實場景中能展現出更好的偵測效果。

圖異常通常可以分為幾種類型。第一種是節點異常，指的是某個節點在圖中表現出與其他節點截然不同的特徵或連結模式。例如在社群網路中，一個註冊時間極短卻擁有大量粉絲且頻繁發文的帳號，可能就是一個異常節點。第二種是邊異常，這通常代表兩個實體之間發生了不尋常的互動。例如在金融網路中，兩個平時沒有業務往來的企業之間突然發生鉅額轉帳，這條代表交易關係的邊就可能被標記為異常。第三種則是子圖異常，這涉及一群節點與它們之間的邊。在許多組織犯罪或網路攻擊事件中，攻擊者往往會協同作戰，形成一個具有特定結構的子圖。例如在電子商務平台中，一群由機器人控制的帳號互相按讚、互相評論以推升特定商品的排名，這種群體行為就會在圖資料中呈現出異常的密集子圖結構。

## 運作原理
圖異常偵測的運作原理依賴於對圖結構與節點特徵的深度建模。傳統的圖異常偵測方法多基於規則或統計特性。基於結構特徵的方法會計算節點的中心性、分群係數、網頁排名分數等指標，並將這些指標與網路整體的平均水準進行比較。若某個節點的指標嚴重偏離正常範圍，則可能被判定為異常。例如一個節點的入分度極高但出分度極低，在特定情境下就可能是異常訊號。基於群體的方法則是先利用社群發現演算法將圖劃分為多個群集，然後找出那些不屬於任何群集，或是連接多個不相關群集的邊緣節點。

隨著深度學習技術的發展，圖神經網路逐漸成為圖異常偵測的常用方法。圖神經網路能夠有效地將節點的屬性特徵與圖的拓樸結構進行融合。其核心思想是訊息傳遞機制，每個節點會收集其鄰居節點的特徵訊息，並將這些訊息與自身的特徵進行聚合，更新自身的表示向量。透過多層的網路結構，節點能夠捕捉到更廣闊範圍的局部甚至全域結構資訊。

在無監督學習的場景中，自編碼器架構常被應用於圖異常偵測。這類模型包含編碼器與解碼器。編碼器利用圖神經網路將原始的圖結構與節點屬性壓縮成低維度的潛在表示向量。解碼器則嘗試從這些潛在表示向量中重建原始的圖結構與節點屬性。模型的訓練目標是最小化重建誤差。在偵測階段，若某個節點或邊的重建誤差顯著大於其他節點，則表示模型難以用常態的模式來重構它，因此極有可能是異常。

半監督與監督學習方法則利用部分已知的異常標籤來引導模型的學習方向。這類方法通常會設計特定的損失函數，讓模型在潛在空間中將正常節點與異常節點區分開來。此外，為了應對異常樣本稀缺的類別不平衡問題，研究人員也會引入對比學習等技術。圖對比學習透過建立不同視角的圖結構，並拉近同一節點在不同視角下的表示，推開不同節點的表示，進而學習到更具鑑別力的節點特徵。這種方法在缺乏大量標記資料的情況下，依然能提取出有助於異常偵測的關鍵模式。

## 實際應用
圖異常偵測技術在多個產業領域中發揮著關鍵作用。在金融領域，這項技術被廣泛用於詐欺偵測與洗錢防制。金融交易可以自然地建構為一個巨大的有向圖，節點代表銀行帳戶或實體，邊代表資金轉移。透過分析這個交易圖，圖異常偵測系統可以識別出複雜的洗錢網路。洗錢活動通常涉及多個帳戶之間資金的快速轉移、拆分與匯總，形成特定的環狀或星狀子圖結構。這些隱蔽的模式很難被傳統的單一交易監控規則發現，但卻能透過圖演算法進行識別。此外，在信用卡盜刷偵測中，系統也可以透過分析持卡人的歷史交易實體關係，快速識別出不符合使用者過往消費習慣的異常交易行為。

在網路安全領域，圖異常偵測被用於識別網路入侵與惡意軟體。電腦網路中的設備通訊紀錄可以被抽象為圖結構。當網路受到分散式阻斷服務攻擊或蠕蟲病毒感染時，網路流量的拓樸結構會發生顯著變化。圖異常偵測演算法可以實時監控網路通訊圖的演變，及時發現異常的連線模式，例如某個主機突然向大量其他主機發起連線請求，或是在不常見的通訊埠上產生密集的通訊子圖。這有助於資安人員在威脅擴散初期便進行阻斷與應變。

在電子商務與社群媒體平台，圖異常偵測是打擊虛假帳號、惡意評論與機器人水軍的實用工具。這些平台的使用者互動關係構成了一張龐大且複雜的圖。機器人帳號為了提升特定商品或貼文的熱度，往往會展現出高度協同的行為，例如在短時間內對同一目標進行大量按讚、轉發或評論。這種有組織的行為在圖資料中會形成異常密集的雙分圖結構。透過圖異常偵測技術，平台管理者可以識別並處理這些異常群體，維護平台的秩序與使用者的真實體驗。

在供應鏈管理中，圖異常偵測也能協助企業識別潛在的風險。現代供應鏈是一個涉及眾多供應商、製造商與經銷商的複雜網路。當某個關鍵節點出現營運異常或物流中斷時，其影響會沿著供應鏈網路蔓延。透過對供應鏈圖進行持續的異常監測，企業可以及早發現那些結構脆弱或表現異常的供應商節點，提前制定應對策略，降低供應鏈中斷帶來的經濟損失。

## 常見誤區
在應用圖異常偵測技術時，許多開發者與研究人員常會陷入一些誤區。一個常見的誤區是過度依賴圖結構而忽略了節點的屬性特徵。雖然圖的拓樸結構提供了豐富的關聯資訊，但在許多場景中，節點本身的屬性變化才是異常的根本原因。例如在社群網路中，一個使用者的社交關係可能沒有改變，但其發文內容的語義特徵發生了劇烈變化，這同樣是一個值得關注的異常訊號。因此，一個完善的圖異常偵測系統應該能夠平衡結構資訊與屬性資訊的權重，並具備處理多模態屬性特徵的能力。

另一個誤區是忽視圖資料的動態演化特性。許多早期的圖異常偵測方法將網路視為靜態的結構，並在單一時間點的圖快照上進行分析。然而，真實世界的圖往往是隨著時間不斷變化的。節點會加入或退出，邊的權重或存在與否也會改變。一個在靜態視角下看似正常的行為，在動態的時間序列中可能就顯得高度異常。例如，一個金融帳戶每個月固定轉帳一筆金額給特定對象是正常的，但如果這個行為突然在一天內發生了數十次，這就是一個明顯的時間序列異常。因此，動態圖異常偵測逐漸受到重視，系統需要能夠捕捉圖結構隨時間演化的規律，並在時間維度上識別出異常的動態變化。

第三個誤區是對評估指標的誤解與濫用。在圖異常偵測任務中，異常樣本的數量通常遠少於正常樣本，這是一個典型的類別不平衡問題。在這種情況下，傳統的準確率指標往往會給出誤導性的結果。即使模型將所有樣本都預測為正常，依然可以獲得極高的準確率，但這樣的模型實際上缺乏實用價值。因此，評估圖異常偵測模型時，應該優先使用精確率、召回率以及精確率與召回率曲線下的面積等指標。此外，由於不同的異常類型在真實場景中帶來的損失可能差異巨大，評估過程中也應考量業務端的實際成本，為不同類型的誤判設定合理的權重。

## 與相關技術的比較
圖異常偵測與傳統異常偵測技術最大的差異在於處理資料的維度與關聯性。傳統異常偵測方法，如孤立森林或基於密度的分群演算法，通常假設資料樣本之間是獨立同分布的。這類方法在處理表格式資料時表現良好，但較難捕捉複雜實體之間的互動關係。當我們將這些傳統方法應用於網路資料時，往往需要透過繁瑣的特徵工程，將鄰居節點的資訊人工聚合為當前節點的特徵，這不僅耗時，而且容易流失高階的拓樸資訊。相比之下，圖異常偵測技術原生地支援關聯性資料的建模，能夠自動地在全域網路中傳遞與整合資訊，這使其在處理具有網路結構的複雜問題時具有獨特的特點。

與知識圖譜推理技術相比，兩者的目標有所不同。知識圖譜推理主要關注於預測知識圖譜中缺失的連結，或是推導出隱含的實體關係，其核心目的是補全知識或進行邏輯推理。而圖異常偵測的核心目標是從現有的網路結構中找出不合理、不尋常的部分。儘管兩者在底層可能都會使用圖神經網路或圖嵌入等相似的技術，但訓練目標函數與應用場景存在差異。不過，這兩項技術也具有互補性，在某些進階的應用中，可以先利用知識圖譜推理技術補全資料，再進行圖異常偵測，或是將異常偵測的結果作為知識圖譜品質控制的重要環節。

與時序異常偵測相比，圖異常偵測側重於空間或拓樸結構上的關聯分析，而時序異常偵測則專注於時間維度上的序列變化。時序異常偵測模型擅長捕捉季節性、趨勢性以及突發性的時間點異常。然而，在許多現代應用系統中，異常往往是時空交織的。例如在智慧城市的交通網路中，某個路口的壅塞不僅與該路口歷史的車流量時間序列有關，也與周邊路口的即時交通狀況圖結構息息相關。因此，將圖異常偵測與時序異常偵測相結合，發展出動態時空圖異常偵測技術，正成為學術界與產業界共同探索的方向。這類融合技術能夠同時處理圖的拓樸結構與時間序列特徵，提供更全面的分析視角。

## 常見問題

### 圖異常偵測與傳統異常偵測的主要差異是什麼？

圖異常偵測與傳統異常偵測的核心差異在於對資料關聯性的處理能力。傳統方法通常假設資料樣本之間相互獨立，僅依賴單一個體的屬性特徵來判斷異常。然而，在真實世界的許多場景中，實體之間存在著複雜的互動關係。圖異常偵測技術專門為處理具有網路結構的資料而設計，它不僅分析節點本身的屬性，更深入探討節點之間的連結模式與網路拓樸。這種原生處理關聯性資訊的能力，使其能夠發現那些在單一特徵上看似正常，但整體行為與周圍環境極不協調的隱蔽異常，特別適用於複雜金融網路或社群平台。

### 在建構圖異常偵測系統時，面臨的最大挑戰有哪些？

建構圖異常偵測系統時面臨多重挑戰。首先是類別不平衡問題，在龐大的圖資料中，異常節點或邊通常只佔極小比例，這使得模型難以充分學習異常特徵，容易產生偏誤。其次是異常的隱蔽性與偽裝性，特別是在金融詐欺與網路攻擊中，惡意行為者會刻意模仿正常行為，甚至利用技術手段規避偵測規則，增加辨識難度。最後是計算效率問題，當圖的規模達到百萬甚至億級節點時，計算全域結構特徵或訓練複雜的圖神經網路需要消耗巨大的運算資源。因此，如何設計兼具高偵測精準度與大規模資料可擴展性的演算法，一直是產業界持續努力解決的難題。

### 圖神經網路如何應用於圖異常偵測？

圖神經網路在圖異常偵測中扮演著強大特徵提取器的角色。它透過訊息傳遞機制運作，每個節點會迭代地收集並聚合其鄰居節點的特徵訊息。經過多層網路的計算，節點的最終表示向量將同時包含其自身的屬性以及局部乃至更廣泛的網路結構資訊。在無監督學習架構下，常結合自編碼器，透過重建圖結構與節點屬性來計算重建誤差，誤差偏高者即視為異常。在半監督或監督學習中，則利用少量標註資料與特定的對比學習損失函數，讓模型在潛在特徵空間中最大化正常與異常節點的距離，進而實現精準的分類與預測。

---

深度解說頁：https://aiterms.tw/learning/what-is-graph-anomaly-detection
快查頁：https://aiterms.tw/terms/graph-anomaly-detection
最後更新：2026/07/04