ML-модели
ML-модель – это алгоритм, основанный на методах машинного обучения, задачей которого является анализ телеметрии объекта мониторинга и обнаружение аномалий.
ML-модель создается для конкретного объекта мониторинга с учетом особенностей объекта и характеристик данных телеметрии. При создании ML-модели формируется общая структура алгоритма (архитектура), после чего ML-модель обучается на исторических данных телеметрии, таким образом настраиваясь на особенности поведения конкретного объекта.
ML-модель состоит из одного или нескольких элементов, каждый из которых представляет собой самостоятельную ML-модель, а общий результат работы службы Anomaly Detector складывается из объединения результатов инференса элементов ML-модели. Как правило, чем сложнее технологические процессы объекта мониторинга, тем больше элементов будет содержать ML-модель.
Инференс – это работа ML-модели с данными телеметрии для выявления аномального поведения. В Kaspersky MLAD инференс ML-модели может выполняться как на исторических данных (исторический инференс), так и данных телеметрии, поступающих в режиме реального времени (потоковый инференс). В случае запуска исторического инференса для нескольких ML-моделей, Kaspersky MLAD выполняет инференс этих ML-модели в порядке очереди их запуска. Длительность выполнения исторического инференса определяется интервалом времени данных, которые анализирует ML-модель. В случае запуска потокового инференса для нескольких ML-моделей, Kaspersky MLAD выполняет инференс этих ML-моделей одновременно. Выполнение исторического и потокового инференса происходит параллельно и независимо друг от друга.
В процессе инференса ML-модель регистрирует инциденты, которые можно просмотреть в разделе Инциденты.
ML-модели могут быть созданы специалистами "Лаборатории Касперского" или сертифицированным интегратором в рамках Услуги построения модели и внедрения Kaspersky MLAD. Для использования таких ML-моделей требуется загрузить их в Kaspersky MLAD. Вы также можете самостоятельно создавать ML-модели и добавлять в них нужные элементы с помощью конструктора моделей.
ML-модель может включать в себя следующие элементы, работающие параллельно:
В Kaspersky MLAD ML-модели может быть присвоен один из следующих статусов:
- Не активирована – ML-модель импортирована, но не активирована.
- Черновик – ML-модель активирована или ML-создана вручную и в составе этой модели есть необученные нейросетевые элементы.
- Обучена – Все элементы в составе ML-модели обучены. Для обученной ML-модели может быть запущен инференс.
- Готова к публикации – ML-модель подготовлена к публикации и недоступна для изменений.
- Опубликована – ML-модель опубликована. Для опубликованной ML-модели может быть запущен инференс.