Добавление элемента ML-модели на основе диагностического правила

Добавление элементов ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями. Функциональность доступна после добавления лицензионного ключа.

Чтобы добавить элемент ML-модели на основе диагностического правила:

  1. В основном меню выберите раздел Модели.
  2. Для добавления диагностического правила выполните следующие действия:
    1. В дереве активов рядом с названием ML-модели, к которой вы хотите добавить диагностическое правило, откройте вертикальное меню Пиктограмма в виде трех точек, расположенных горизонтально. и выберите пункт Создать элемент.
    2. В открывшемся окне выберите тип элемента Правило.
    3. Нажмите на кнопку Создать.

    Справа отобразится список параметров.

  3. В поле Название укажите название диагностического правила.
  4. В поле Описание укажите описание диагностического правила.
  5. В блоке параметров Общие параметры элемента выполните следующие действия:
    1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

    2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

    3. В поле Интервал наблюдения за аномалией (сек.) укажите период в секундах, в течение которого отслеживается аномальное поведение тега для принятия решения о регистрации инцидента.
    4. В поле Доля длительности аномалии в интервале укажите в виде десятичной дроби долю от периода, заданного в параметре Интервал наблюдения за аномалией (сек.), при достижении которой элемент ML-модели зарегистрирует инцидент.

      Вы можете указать значение в диапазоне от 0 до 1.

    5. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История. В этом цвете также будет отображаться график артефакта, сформированный этим элементом.
    6. Если требуется, в раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
    7. Если требуется, в раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели, если эта причина заранее известна.
    8. Если требуется, в поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели, если содержание этого заключения заранее известно.
  6. В блоке параметров Параметры правила выполните следующие действия:
    1. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в целого числа или виде десятичной дроби.
    2. Если требуется, включите переключатель Интерпретировать невозможность оценки условия как выполнение правила.

      Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать правило выполненным.

  7. В блоке параметров Фильтрация по времени выполните следующие действия:
    1. Нажмите на кнопку Добавить интервал.
    2. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
    3. Если требуется добавить еще один интервал, нажмите на кнопку Добавить интервал и выполните шаг 7b.
    4. Если требуется удалить интервал, нажмите на кнопку Пиктограмма в виде крестика. справа от нужного интервала.

    Вы можете добавить один или несколько временных интервалов. Если временной интервал не указан, то диагностическое правило применяется в каждом узле РИВС.

  8. Если требуется добавить критерии поведения тегов, выполните следующие действия:
    1. В блоке параметров Условия на теги нажмите на кнопку Условие.

    2. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

      Если требуется проверить поведение, прямо противоположное выбранному критерию поведения из блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

      Например, нажмите на кнопку NOT, если требуется добавить условие отсутствия ступеньки с заданными параметрами.

    3. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
      • Выше – значение тега превышает определенный порог.
      • Ниже – значение тега опускается ниже определенного порога.
      • Растет – линия тренда значений тега растет.
      • Падает – линия тренда значений тега падает.
      • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
      • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
      • Залипание – выбранный тег передает одно и то же значение.
      • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
    4. В поле Окно укажите количество шагов РИВС.
    5. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
      • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и в поле Срабатывание минимальное количество выходов за пороговое значение в рамках окна.
      • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

        По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

        По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

      • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

        Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

      • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

      • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

        По умолчанию значение параметра Разброс равно нулю. При таком значении любое повторяющееся значение тега вызывает срабатывание критерия.

    6. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 8b по 8e.
    7. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев нажатием на кнопку логического оператора:
      • AND, если требуется, чтобы одновременно выполнялись все критерии блока.
      • OR, если достаточно выполнения хотя бы одного из критериев блока.

  9. Если требуется проверить, вызвало ли выполнение предварительного условия выполнение пост-условия в будущем узле РИВС, добавьте темпоральный оператор:
    1. В блоке параметров Условия на теги нажмите на кнопку Пауза.

      Кнопка Пауза доступна после добавления хотя бы одного условия.

    2. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
      • от – интервал между узлом проверки предварительного условия и узлом РИВС, с которого начнется проверка пост-условия (минимальный интервал ожидания).
      • до – интервал между узлом проверки предварительного условия и узлом РИВС, в котором закончится проверка пост-условия (максимальный интервал ожидания).

      Проверка пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

    3. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
      • Если требуется выполнение критериев поведения тегов из пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
      • Если требуется выполнение критериев поведения тегов из пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

      Результат проверки критериев определяется в последнем узле максимального интервала ожидания.

      Если проводится более одной проверки условия с помощью темпорального оператора, то предварительным условием для каждой следующей проверки темпорального условия является результат проверки предыдущего темпорального условия.

  10. Выберите один из следующих логических операторов между блоками правила нажатием на кнопку логического оператора:
    • AND, если требуется, чтобы были выполнены критерии обоих блоков условий.
    • OR, если требуется, чтобы был выполнен критерий хотя бы одного из блоков условий.
  11. В правом верхнем углу окна нажмите на кнопку Сохранить.

При создании первого элемента в составе ML-модели в дереве активов будет автоматически создана группа Правила. Созданный элемент отобразится в этой группе.

Если в составе ML-модели есть только элементы на основе диагностических правил, ей будет присвоен статус Обучена. Вы можете запустить инференс для такой ML-модели. Если в составе ML-модели есть необученные предиктивные элементы и/или элементы на основе эллиптического конверта, перед запуском инференса их требуется обучить.

В начало