Kaspersky Machine Learning for Anomaly Detection
- О Kaspersky Machine Learning for Anomaly Detection
- Что нового
- Архитектура Kaspersky MLAD
- Типовые схемы развертывания
- Схема потока данных телеметрии и событий
- Порты, используемые Kaspersky MLAD
- Установка и удаление программы
- Установка программы
- Обновление программы
- Проверка целостности файлов архива Kaspersky MLAD
- Резервное копирование программы
- Откат программы к предыдущей установленной версии
- Сценарий восстановления Kaspersky MLAD из резервной копии
- Подготовка к работе
- Запуск и остановка Kaspersky MLAD
- Переключение между режимами управления состоянием Kaspersky MLAD
- Обновление сертификатов Kaspersky MLAD
- Первый запуск Kaspersky MLAD
- Удаление программы
- Веб-интерфейс Kaspersky MLAD
- Подключение к Kaspersky MLAD и завершение пользовательской сессии
- Изменение пароля учетной записи
- Выбор языка локализации веб-интерфейса Kaspersky MLAD
- Лицензирование программы
- Обработка и хранение данных в Kaspersky MLAD
- Задачи системного администратора
- Управление учетными записями пользователей
- Управление ролями
- Управление уведомлениями об инцидентах
- Настройка параметров Kaspersky MLAD
- Настройка основных параметров Kaspersky MLAD
- Настройка параметров безопасности Kaspersky MLAD
- Настройка службы Anomaly Detector
- Настройка службы Keeper
- Настройка службы Mail Notifier
- Настройка службы Similar Anomaly
- Настройка службы Stream Processor
- Настройка коннектора HTTP Connector
- Настройка коннектора MQTT Connector
- Настройка коннектора AMQP Connector
- Настройка коннектора OPC UA Connector
- Настройка коннектора KICS Connector
- Настройка коннектора CEF Connector
- Настройка коннектора WebSocket Connector
- Настройка службы Event Processor
- Настройка статусов и причин инцидентов
- Настройка ведения журналов служб Kaspersky MLAD
- Настройка временных интервалов отображения данных
- Настройка отображения пунктов меню Kaspersky MLAD
- Экспорт и импорт параметров Kaspersky MLAD
- Управление активами и тегами
- Об иерархической структуре объекта мониторинга
- О тегах
- Создание актива
- Изменение параметров актива
- Создание тега
- Добавление тега в актив
- Изменение тега
- Перемещение активов и тегов
- Удаление актива или тега
- Проверка текущей структуры тегов
- Загрузка конфигурации активов и тегов в систему
- Сохранение конфигурации активов и тегов в файл
- Работа с основным меню
- Сценарий: работа с Kaspersky MLAD
- Просмотр сводных данных в разделе Информационная панель
- Просмотр поступающих данных в разделе Мониторинг
- Просмотр данных в разделе История
- Просмотр данных в разделе Временной срез
- Работа с событиями и паттернами
- Работа с инцидентами и группами инцидентов
- Об инцидентах
- Об инцидентах, обнаруженных предиктивным элементом ML-модели
- Об инцидентах, обнаруженных элементом ML-модели на основе диагностического правила
- Об инцидентах, обнаруженных элементом ML-модели на основе эллиптического конверта
- Об инцидентах, обнаруженных детектором Limit Detector
- Об инцидентах, обнаруженных службой Stream Processor
- Об аномалиях
- Сценарий: анализ инцидентов
- Просмотр инцидентов
- Просмотр технических характеристик зарегистрированного инцидента
- Просмотр групп инцидентов
- Исследование поведения объекта мониторинга в момент обнаружения инцидента
- Добавление статуса, причины, экспертного заключения и замечания к инциденту или группе инцидентов
- Экспорт инцидентов в файл
- Об инцидентах
- Управление ML-моделями
- Об ML-моделях
- О статусах и состояниях ML-моделей и их элементов
- О шаблонах ML-моделей
- О разметках
- Об условиях в составе разметок и диагностических правил
- Сценарий: работа с ML-моделями
- Поиск и фильтрация объектов в разделе Модели
- Работа с разметками
- Работа с импортированными ML-моделями
- Работа с ML-моделями, созданными вручную
- Создание ML-модели
- Добавление предиктивного элемента ML-модели
- Изменение предиктивного элемента ML-модели
- Добавление элемента ML-модели на основе диагностического правила
- Изменение элемента ML-модели на основе диагностического правила
- Добавление элемента ML-модели на основе эллиптического конверта
- Изменение элемента ML-модели на основе эллиптического конверта
- Копирование элемента ML-модели
- Удаление элемента ML-модели
- Копирование ML-модели
- Работа с шаблонами ML-моделей
- Изменение параметров ML-модели
- Обучение предиктивного элемента ML-модели
- Обучение элемента ML-модели на основе эллиптического конверта
- Просмотр результатов обучения элемента ML-модели
- Запуск и остановка инференса ML-модели
- Просмотр графа потока данных в ML-модели
- Подготовка ML-модели к публикации
- Публикация ML-модели
- Удаление ML-модели
- Управление пресетами
- Управление службами
- Устранение неисправностей
- При подключении к Kaspersky MLAD браузер выводит предупреждение о сертификате
- Заканчивается свободное пространство на жестком диске
- Непредвиденная перезагрузка операционной системы
- Не удается подключиться к веб-интерфейсу Kaspersky MLAD
- Не отображаются графики данных или графические области в разделах История и Мониторинг
- Не выполняется передача событий между Kaspersky MLAD и внешними системами
- Невозможно загрузить данные для просмотра в разделе Процессор событий
- Неправильно обрабатываются данные в разделе Процессор событий
- Не отображаются события в разделе Процессор событий
- Не отображаются ранее созданные мониторы и заданные параметры конфигурации внимания в разделе Процессор событий
- Не отображается результат применения разметки
- Отображается сообщение об остановленной службе Trainer
- Обучение элемента ML-модели завершилось с ошибкой
- Не приходят уведомления об инцидентах по электронной почте
- Требуется изменить язык локализации Справки
- Обращение в Службу технической поддержки
- Список ограничений
- Приложения
- Параметры конфигурационного файла .env
- Параметры и пример Excel-файла, содержащего конфигурацию активов и тегов
- Параметры и пример JSON-файла, описывающего пресеты
- Параметры и пример JSON-файла, содержащего конфигурацию параметров для службы Event Processor
- Просмотр журнала Kaspersky MLAD
- Специальные символы регулярных выражений
- Наборы шифров для защищенного TLS-соединения
- Глоссарий
- ML-модель
- Актив
- Аномалия
- Артефакт
- АСУ ТП
- Внимание
- Градиентный бустинг
- Графическая область
- Иерархическая структура объекта мониторинга
- Индикатор инференса
- Индикатор обучения
- Инференс
- Инцидент
- Коннектор
- Монитор
- Паттерн
- Пресет
- Равноинтервальная временная сетка (РИВС)
- Разметка
- Роль учетной записи
- Семплирование
- Событие
- Тег
- Топ-тег
- Топик AMQP
- Топик MQTT
- Уведомление
- Информация о стороннем коде
- Уведомления о товарных знаках
Работа с основным меню > Управление ML-моделями > Об ML-моделях > Об элементах ML-модели на основе эллиптического конверта
Об элементах ML-модели на основе эллиптического конверта
Об элементах ML-модели на основе эллиптического конверта
Эллиптические конверты используются для выявления аномальных состояний объекта мониторинга.
В отличие от предиктивного элемента эллиптический конверт не пытается установить, как поведение входных тегов ML-модели влияет на поведение выходных тегов. Эллиптический конверт использует предположение, что совокупность тегов, включенных в ML-модель, в каждый конкретный момент времени описывает состояние объекта мониторинга, и наблюдаемые состояния имеют нормальное распределение (далее также "распределение по Гауссу") в фазовом пространстве.
Во время обучения эллиптический конверт подбирает параметры этого нормального распределения с учетом того, что обучающая выборка может содержать некоторый процент аномальных состояний. В результате обучения ML-модели в фазовом пространстве формируется эллиптическая область такая, что состояния, попадающие в эту область, считаются нормальными, а все остальные считаются выбросами (аномалией). Чем дальше от границ эллипса находится состояние, тем более аномальным оно является. Тег, значение которого в составе аномального состояния, внесло наибольший вклад в удаление от эллипса, считается топ-тегом.
Эллиптический конверт более прост в построении, чем предиктивный элемент, быстро обучается и требует меньше ресурсов по время инференса. Однако эллиптический конверт показывает хороший результат только при применении к стационарному режиму работы оборудования, не предполагающему множественности рабочих диапазонов и резкого изменения значений тегов.
Идентификатор статьи: 275286, Последнее изменение: 21 нояб. 2024 г.