Аномалии

Развернуть все | Свернуть все

Аномалия – это нештатное, не предусмотренное регламентом работы и не обусловленное производственным процессом отклонение в поведении объекта мониторинга.

Kaspersky MLAD регистрирует только инциденты. Является тот или иной инцидент аномалией определяет специалист АСУ ТП после проведения анализа зарегистрированных программой инцидентов. В результате анализа инцидента может быть сделан один из следующих выводов:

• Инцидент является аномалией, требующей ответных действий со стороны оператора объекта мониторинга.
• Инцидент не является аномалией, это ложно-положительное срабатывание детектора.

  При устойчивом повторном ложно-положительном срабатываниях детектора нужно определить причину ухудшения качества работы используемого в ML-модели детектора, провести дополнительную настройку или дополнительное обучение ML-модели. Дополнительную настройку детектора или дополнительное обучение ML-модели осуществляют специалисты "Лаборатории Касперского" в рамках Услуги построения модели и внедрения Kaspersky MLAD.

• Используемый в ML-модели детектор отработал корректно, но инцидент не является аномалией.

  Инцидент является следствием временного перевода объекта мониторинга в нетипичный режим функционирования (профилактика, испытания) или кратковременного влияния нетипичных внешних факторов (необычные погодные условия, запуск соседней установки). В такой ситуации ответных действий со стороны оператора объекта мониторинга не требуется.

Анализ и оценка инцидентов производится предметным экспертом. В некоторых случаях (при регистрации инцидентов, выявленных диагностическими правилами или инцидентов, случившихся повторно) возможна автоматическая оценка и группирование похожих инцидентов.

Используемый в ML-модели детектор может не обнаружить объективно существовавшую аномалию. В этом случае аномалия не будет соответствовать ни одному из зарегистрированных инцидентов и не отразится в истории Kaspersky MLAD. Если из наблюдений эксперта, оператора или сторонних источников станет известно о неоднократных фактах отсутствия срабатывания детектора, необходимо определить причину ухудшения качества работы детектора и провести дополнительную настройку или дополнительное обучение ML-модели. Дополнительное обучение ML-модели могут выполнять только специалисты "Лаборатории Касперского" или сертифицированные интеграторы.

На аномалию в работе объекта мониторинга также могут указывать новые события, паттерны и значения параметров событий, обнаруженные службой Event Processor (далее также "процессор событий") в потоке поступающих событий. При обнаружении новых событий, паттернов или значений параметров событий служба Event Processor не регистрирует инциденты. Для просмотра новых обнаружений в разделе Процессор событий вы можете просмотреть историю регистрации паттернов, выполнив фильтрацию по типу Новые. Вы также можете создать монитор для отслеживания новых событий, паттернов или значений параметров событий. Служба Event Processor активирует монитор при каждом выявлении событий, паттернов или значений параметров событий, соответствующих заданным критериям поиска. При достижении заданного порога количества активаций монитора на скользящем окне служба Event Processor отправит оповещение об активации монитора во внешнюю систему с помощью коннектора CEF Connector.

Последовательность событий или других паттернов, на которые разбивается поток событий от объекта мониторинга.

Набор значений, описывающих изменение состояния объекта мониторинга по заранее заданному перечню параметров, с указанием момента времени, когда произошло изменение.