ML-модели

ML-модель – это алгоритм, основанный на методах машинного обучения, задачей которого является анализ телеметрии объекта мониторинга и обнаружение аномалий.

ML-модель создается для конкретного объекта мониторинга с учетом особенностей объекта и характеристик данных телеметрии. При создании ML-модели формируется общая структура алгоритма (архитектура), после чего ML-модель обучается на исторических данных телеметрии, таким образом настраиваясь на особенности поведения конкретного объекта.

ML-модель состоит из одного или нескольких элементов, каждый из которых представляет собой самостоятельную ML-модель, а общий результат работы службы Anomaly Detector складывается из объединения результатов инференса элементов ML-модели. Как правило, чем сложнее технологические процессы объекта мониторинга, тем больше элементов будет содержать ML-модель.

Инференс – это работа ML-модели с данными телеметрии для выявления аномального поведения. В Kaspersky MLAD инференс ML-модели может выполняться как на исторических данных (исторический инференс), так и данных телеметрии, поступающих в режиме реального времени (потоковый инференс). В случае запуска исторического инференса для нескольких ML-моделей, Kaspersky MLAD выполняет инференс этих ML-модели в порядке очереди их запуска. Длительность выполнения исторического инференса определяется интервалом времени данных, которые анализирует ML-модель. В случае запуска потокового инференса для нескольких ML-моделей, Kaspersky MLAD выполняет инференс этих ML-моделей одновременно. Выполнение исторического и потокового инференса происходит параллельно и независимо друг от друга.

В процессе инференса ML-модель регистрирует инциденты, которые можно просмотреть в разделе Инциденты.

ML-модели могут быть созданы специалистами "Лаборатории Касперского" или сертифицированным интегратором в рамках Услуги построения модели и внедрения Kaspersky MLAD. Для использования таких ML-моделей требуется загрузить их в Kaspersky MLAD. Вы также можете самостоятельно создавать ML-модели и добавлять в них нужные элементы с помощью конструктора моделей.

ML-модель может включать в себя следующие элементы, работающие параллельно:

• Элемент на основе нейронной сети;
• Элемент на основе диагностического правила.

В Kaspersky MLAD ML-модели может быть присвоен один из следующих статусов:

• Не активирована – ML-модель импортирована, но не активирована.
• Черновик – ML-модель активирована или ML-создана вручную и в составе этой модели есть необученные нейросетевые элементы.
• Обучена – Все элементы в составе ML-модели обучены. Для обученной ML-модели может быть запущен инференс.
• Готова к публикации – ML-модель подготовлена к публикации и недоступна для изменений.
• Опубликована – ML-модель опубликована. Для опубликованной ML-модели может быть запущен инференс.