Об инцидентах, обнаруженных предиктивным элементом ML-модели
Предиктивный элемент ML-модели обучен на определенном подмножестве тегов и может прогнозировать поведение тегов в текущий момент. Инцидентом в этом случае считается существенное расхождение между наблюдаемыми (фактическими) значениями тегов и прогнозируемыми значениями тегов, полученными в результате работы элемента ML-модели. В параметрах элемента модели вы можете просмотреть, какие теги анализируются элементом ML-модели (параметр Входные теги) и поведение каких тегов прогнозируется (параметр Выходные теги).
ML-модель может включать в себя один или несколько элементов, функционирующих параллельно. В разделах История и Мониторинг вы можете выбрать определенный элемент ML-модели для отображения инцидентов, зарегистрированных в результате работы определенного элемента модели. Зарегистрированные инциденты отображаются в нижней части графика артефакта элемента ML-модели в виде цветных точек-индикаторов.
На графике артефакта отображается общая ошибка прогноза выбранного элемента ML-модели. Общая ошибка прогноза – это показатель отличия прогнозируемых значений от фактических, суммарно по всем тегам, включенным в выбранный элемент ML-модели. Чем выше значение ошибки прогноза, тем сильнее поведение тегов отличается от ожидаемого (нормального). Порог ошибки прогноза – это критический уровень значения общей ошибки прогноза, при достижении которого предиктивный элемент ML-модели регистрирует инцидент. Общая ошибка прогноза на графике артефакта отображается в виде красной линии, а порог ошибки прогноза отображается в виде оранжевой линии. Область графика, в которой ошибка прогноза превышает заданный порог, окрашивается в красный цвет.
График артефакта элемента ML-модели отображается в нижней части раздела История (см. рисунок ниже).
График артефакта элемента ML-модели в разделе История
Для каждого инцидента автоматически определяются теги с наибольшими отклонениями фактических значений от прогнозируемых ML-моделью. Из этих тегов формируется пресет Теги инцидента #<идентификатор инцидента>, который отображается в разделе История при переходе в него из таблицы инцидентов по нажатию на дату и время регистрации конкретного инцидента. Теги в составе пресета Теги инцидента #<идентификатор инцидента> отсортированы в порядке убывания отклонения их поведения от ожидаемого. Тег с наибольшим отклонением от прогнозируемого значения выводится в таблице инцидентов в разделе Инциденты. В таблице инцидентов также указывается порог ошибки прогноза и фактическое значение ошибки прогноза в момент регистрации инцидента.
Информация, полученная при просмотре пресета Теги инцидента #<идентификатор инцидента>, не является диагностической с точки зрения определения причин инцидента, но ее можно использовать при анализе значений тегов с наибольшими отклонениями в поведении. Тег, поведение которого первым отклонилось от нормы и повлекло дальнейшие отклонения в других тегах, является тегом-причиной. В некоторых случаях тег-причина может находиться не на первом месте в пресете Теги инцидента #<идентификатор инцидента> или отсутствовать в нем. Это может произойти по следующим причинам:
- Незначительные по амплитуде изменения в поведении тега-причины произвели мультипликативный эффект и вызвали существенные отклонения других тегов, которые попали в пресет Теги инцидента #<идентификатор инцидента>.
- Тег-причина не анализируется ML-моделью, и Kaspersky MLAD регистрирует вторичные изменения поведения тегов, вызванные отклонением тега-причины.
- Изменения в поведении тега-причины имели отложенный эффект, и к моменту возникновения аномалии в работе объекта мониторинга поведение тега-причины вернулось в нормальный режим.