Об аномалиях

Аномалия – это нештатное, не предусмотренное регламентом работы и не обусловленное производственным процессом отклонение в поведении объекта мониторинга.

Kaspersky MLAD регистрирует только инциденты. Является тот или иной инцидент аномалией определяет специалист АСУ ТП после проведения анализа зарегистрированных программой инцидентов. В результате анализа инцидента может быть сделан один из следующих выводов:

• Инцидент является аномалией, требующей ответных действий со стороны специалиста АСУ ТП.
• Инцидент не является аномалией, это ложно-положительное срабатывание ML-модели.

  При устойчивом повторном ложно-положительном срабатывании ML-модели нужно определить причину ухудшения качества работы используемой ML-модели, скорректировать параметры ML-модели и/или ее элементов или дополнительно обучить элементы ML-модели.

• ML-модель отработала правильно, но инцидент не является аномалией.

  Инцидент является следствием временного перевода объекта мониторинга в нетипичный режим функционирования (профилактика, испытания) или кратковременного влияния нетипичных внешних факторов (необычных погодных условий, запуска соседней установки). В такой ситуации ответных действий со стороны специалиста АСУ ТП не требуется.

Анализ и оценка инцидентов производится предметным экспертом. В некоторых случаях (при регистрации инцидентов, выявленных диагностическими правилами, или инцидентов, случившихся повторно) возможна автоматическая оценка и группирование похожих инцидентов.

ML-модель может не обнаружить объективно существовавшую аномалию. В этом случае аномалия не будет соответствовать ни одному из зарегистрированных инцидентов и не отразится в истории Kaspersky MLAD. Если из наблюдений эксперта, специалиста АСУ ТП или сторонних источников станет известно о неоднократных фактах отсутствия срабатывания ML-модели, необходимо определить причину ухудшения качества работы ML-модели, скорректировать параметры ML-модели и/или ее элементов и провести дополнительное обучение элементов ML-модели.

На аномалию в работе объекта мониторинга также могут указывать новые события, паттерны и значения параметров событий, обнаруженные службой Event Processor (далее также "процессор событий") в потоке поступающих событий. При обнаружении новых событий, паттернов или значений параметров событий служба Event Processor не регистрирует инциденты. Для просмотра новых обнаружений в разделе Процессор событий вы можете просмотреть историю регистрации паттернов, выполнив фильтрацию по типу Новые. Вы также можете создать монитор для отслеживания новых событий, паттернов или значений параметров событий. Служба Event Processor активирует монитор при каждом выявлении событий, паттернов или значений параметров событий, соответствующих заданным критериям поиска. При достижении заданного порога количества активаций монитора на скользящем окне служба Event Processor отправит оповещение об активации монитора во внешнюю систему с помощью коннектора CEF Connector.

В начало