Управление ML-моделями

Этот раздел содержит информацию о работе с ML-моделями, шаблонами ML-моделей и разметками.

ML-модели, шаблоны ML-моделей и разметки являются функциональными элементами иерархической структуры объекта мониторинга. Иерархическая структура отображается в виде дерева

активов

Раздел иерархической структуры, представляющий, например, завод, цех или отдельный агрегат объекта мониторинга.

В Kaspersky MLAD ML-модели могут быть импортированы, созданы вручную, скопированы или созданы по шаблону. После добавления и обучения ML-модели в Kaspersky MLAD вы можете опубликовать ее. Вы также можете запустить исторический или потоковый инференс для обученной или опубликованной ML-модели, а также просмотреть граф потока данных в ML-модели.

В разделе Модели вы можете создавать разметки для формирования

индикаторов обучения

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет обучение.

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет обучение.

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет обучение.

индикаторов инференса

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет инференс.

Совокупность критериев, на основании которых определяются интервалы времени данных, на которых ML-модель выполняет инференс.

Сценарий: работа с ML-моделями

В этом разделе приводится последовательность действий, которые требуется выполнить при работе с ML-моделями.

Сценарий работы с ML-моделями состоит из следующих этапов:

1. Добавление ML-модели

   Вы можете добавить ML-модель в Kaspersky MLAD одним из следующих способов:

   • Загрузить ML-модель, созданную специалистами "Лаборатории Касперского" или сертифицированным интегратором в рамках Услуги построения модели и внедрения Kaspersky MLAD. После загрузки ML-модели требуется ее активировать.
   • Создать ML-модель вручную. Добавьте в созданную ML-модель нейросетевые элементы и/или элементы на основе диагностических правил.
   • Создать ML-модель по шаблону. Предварительно создайте шаблон по нужной ML-модели. Если исходная ML-модель, по которой был создан шаблон, была создана вручную, вы можете добавить в новую ML-модель нейросетевые элементы и/или элементы на основе диагностических правил.
   • Скопировать ранее добавленную ML-модель. При копировании ML-модели, которая была создана вручную или по шаблону на основе ML-модели, созданной вручную, вы можете добавить в скопированную ML-модель нейросетевые элементы и/или элементы на основе диагностических правил.
2. Добавление разметок

   Если требуется определить для ML-модели интервалы времени данных, на которых ML-модель может выполнять обучение или инференс, создайте разметки. Для формирования индикатора инференса укажите созданную разметку в параметрах соответствующей ML-модели.

3. Обучение элементов ML-модели

   Для проведения инференса ML-модель должна быть обучена. Для этого все нейросетевые элементы в составе ML-модели требуется предварительно обучить. Элементы на основе диагностических правил в составе ML-модели считаются обученными.

   ML-модель, загруженная в Kaspersky MLAD, предварительно обучена специалистами "Лаборатории Касперского" или сертифицированным интегратором. ML-модели, созданные по шаблону импортированной ML-модели или созданные путем копирования импортированной ML-модели, также считаются обученными. При необходимости вы можете изменить параметры их обучения и переобучить нейросетевые элементы.

   Для формирования индикатора обучения укажите созданную разметку в параметрах обучения нейросетевого элемента.

4. Подготовка ML-модели к публикации

   После завершения обучения подготовьте ML-модель к публикации. ML-модель, подготовленная к публикации, недоступна для изменения.

5. Публикация ML-модели

   После подготовки ML-модели к публикации сообщите сотруднику, ответственному за публикацию ML-моделей, о ее готовности, или, если у вас есть необходимые права, опубликуйте ML-модель. При необходимости системный администратор может создать роль, которой предоставлено право для публикации ML-моделей, и назначить ее нужному сотруднику.

6. Запуск инференса ML-модели

   Запустите инференс ML-модели. В процессе инференса ML-модель анализирует данные телеметрии и регистрирует инциденты.

   Инференс ML-модели может быть запущен как для опубликованной, так и для обученной ML-модели.

Работа с разметками

Этот раздел содержит информацию о работе с разметками.

В разделе Модели вы можете создавать, изменять и удалять разметки. Если требуется, вы можете просмотреть на графике интервалы времени данных, на основании которых ML-модель будет выполнять обучение и/или инференс.

Разметки используются в качестве индикаторов обучения или инференса, указывая ML-модели интервалы времени данных, на которых ML-модель может выполнять обучение или инференс. Для формирования индикатора инференса вы можете выбрать ранее созданные разметки при создании или изменении параметров ML-модели. Для формирования индикатора обучения вы можете выбрать ранее созданные разметки при настройке параметров обучения нейросетевых элементов ML-модели.

Создание разметки

Вы можете использовать разметки для формирования индикаторов обучения или инференса ML-модели.

Чтобы создать разметку:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с названием актива, для которого требуется создать разметку, откройте вертикальное меню и выберите пункт Создать разметку.

   Справа отобразится список параметров.

3. В поле Название укажите название разметки.
4. В поле Описание укажите описание разметки.
5. В поле Шаг сетки (сек.) укажите период РИВС в секундах в виде десятичной дроби для разметки.
6. В поле Цвет разметки выберите цвет, которым будут выделены интервалы данных, отобранные этой разметкой.
7. Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.

   Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать заданные критерии выполненными.

8. В блоке параметров Фильтрация по времени выполните следующие действия:
   1. Нажмите на кнопку Добавить интервал.
   2. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

        Вы можете указать только начало или окончание однократного интервала.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.

   Вы можете добавить один или несколько временных интервалов.

9. Если требуется добавить критерии поведения тегов, выполните следующие действия:
   1. В блоке параметров Условия на теги нажмите на кнопку Условие.

   2. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

      Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

      Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.

   3. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
      • Выше – значение тега превышает определенный порог.
      • Ниже – значение тега опускается ниже определенного порога.
      • Растет – линия тренда значений тега растет.
      • Падает – линия тренда значений тега падает.
      • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
      • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
      • Залипание – выбранный тег передает одно и то же значение.
      • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
   4. В поле Окно укажите продолжительность интервала для анализа поведения тегов в шагах РИВС.
   5. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
      • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
      • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

        По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

        По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

      • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

      • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

        По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.

      • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

        Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

   6. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 9b по 9e.
   7. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
      • AND, если требуется отслеживать оба критерия в разметке.
      • OR, если требуется отслеживать один из заданных критериев в разметке.

10. Если требуется проверить, вызвало ли выполнение предварительного условия выполнение пост-условия, выполните следующие действия:
    1. Добавьте один из следующих темпоральных операторов:
       • Пауза, если требуется сформировать результат проверки критериев в последнем узле максимального интервала ожидания.
       • Если далее, если требуется сформировать результат проверки критериев в момент проверки предварительного условия.

       Кнопки Пауза и Если далее доступны после добавления хотя бы одного условия.

       Предварительным условием называется блок условий, предшествующий темпоральному оператору. Пост-условием называется блок условий, следующий за темпоральным оператором.

       Проверка блока предварительного условия проводится в текущем узле РИВС.

       Разметка с темпоральным оператором Если далее может быть использована только в индикаторах обучения.

    2. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
       • от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
       • до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).

       Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

    3. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

       В случае добавления темпорального оператора Пауза результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия. Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг). Если проводится более одной проверки условия с помощью темпорального оператора Пауза, то предварительным условием для каждой следующей проверки темпорального условия Пауза является результат проверки предыдущего темпорального условия.

       В случае добавления темпорального оператора Если далее результат проверки критериев формируется в момент проверки предварительного условия.

11. Выберите один из следующих логических операторов между блоками разметки:
    • AND, если требуется отслеживать критерии поведения тегов в обоих блоках условий.
    • OR, если требуется отслеживать критерии поведения тегов только одного из блоков условий.
12. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новая разметка отобразится в группе Разметки дерева активов. Группа Разметки создается автоматически и отображается в составе выбранного раздела дерева активов.

Просмотр графика разметок

После создания разметки вы можете просмотреть на графике интервалы времени данных, отобранные разметкой.

Чтобы просмотреть график разметок:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите разметку, график которой вы хотите просмотреть.

   Справа отобразится список параметров.

3. Нажмите на кнопку На графике.

   Справа появится панель с графиком разметки.

4. В раскрывающемся списке Пресет выберите необходимый пресет.
5. Если требуется, в поле Разметки выберите разметки для отображения интервалов данных.
6. Если требуется выбрать дату и время для отображения данных, выполните одно из следующих действий:
   • В поле Центр графика выберите дату и время, на которое требуется отображать данные на графике.

     Вертикальная черная пунктирная линия будет указывать на выбранную дату и время (центр графика).

   • Нажмите на значок Новый центр графика (), который расположен слева от оси времени, и выберите на оси времени нужную точку.

     Выбранная точка станет новым центром графика. Вертикальная черная пунктирная линия будет указывать на новые дату и время.

7. Если требуется выбрать интервал времени для отображения данных на графике, выполните одно из следующих действий:
   • Если требуется отображать данные за фиксированный интервал времени, в раскрывающемся списке Масштаб выберите необходимый интервал времени. По умолчанию доступны следующие временные интервалы:
     • 1, 5, 10, 15 и 30 минут;
     • 1, 3, 6 и 12 часов;
     • 1, 2, 15 и 30 дней;
     • 3 и 6 месяцев;
     • 1, 2 и 3 года.

     При необходимости системный администратор может создать, изменить или удалить временные интервалы.

   • Если требуется отображать данные за произвольный интервал времени, нажмите на значок Новый интервал (), который расположен слева от оси времени, выберите на оси времени нужный интервал и нажмите на кнопку Применить. Если требуется еще раз изменить масштаб, повторите это действие.

На графике отобразятся интервалы данных в цветах, заданных для выбранных разметок.

Изменение разметки

Вы можете изменить параметры разметки.

Чтобы изменить разметку:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите разметку, которую вы хотите изменить.

   Справа отобразится список параметров.

3. Нажмите на кнопку Изменить.
4. В поле Название укажите новое название разметки.
5. В поле Описание укажите новое описание разметки.
6. В поле Шаг сетки (сек.) укажите период РИВС в секундах в виде десятичной дроби для разметки.
7. В поле Цвет разметки выберите цвет, которым будут выделены интервалы данных, отобранные этой разметкой.
8. Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.

   Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать заданные критерии выполненными.

9. Если требуется изменить временные интервалы разметки в блоке параметров Фильтрация по времени, выполните следующие действия:
   1. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

        Вы можете указать только начало или окончание однократного интервала.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
   2. Если требуется добавить интервал, нажмите на кнопку Добавить интервал и выполните шаг 9a.
   3. Если требуется удалить интервал, наведите курсор мыши на строку с нужным интервалом и нажмите на значок Удалить интервал (  ).

   Вы можете добавить один или несколько временных интервалов.

10. Если требуется изменить критерии поведения тегов, выполните следующие действия:
    1. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

       Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

       Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.

    2. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
       • Выше – значение тега превышает определенный порог.
       • Ниже – значение тега опускается ниже определенного порога.
       • Растет – линия тренда значений тега растет.
       • Падает – линия тренда значений тега падает.
       • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
       • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
       • Залипание – выбранный тег передает одно и то же значение.
       • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
    3. В поле Окно укажите количество шагов РИВС.
    4. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
       • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
       • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

         По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

         По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

       • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

         По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

       • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

         По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.

       • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

         По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

         Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

    5. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 10a по 10d.
    6. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
       • AND, если требуется отслеживать оба критерия в разметке.
       • OR, если требуется отслеживать один из заданных критериев в разметке.
    7. Если требуется удалить критерий на поведение тегов из блока условий, наведите курсор мыши на строку с нужным критерием и нажмите на значок крестика ().

11. Если требуется изменить условия темпорального оператора Пауза и/или Если далее, выполните следующие действия:
    1. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
       • от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
       • до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).

       Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

    2. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

       В случае добавления темпорального оператора Пауза результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия. Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг). Если проводится более одной проверки условия с помощью темпорального оператора Пауза, то предварительным условием для каждой следующей проверки темпорального условия Пауза является результат проверки предыдущего темпорального условия.

       В случае добавления темпорального оператора Если далее результат проверки критериев формируется в момент проверки предварительного условия.

12. Выберите один из следующих логических операторов между блоками разметки:
    • AND, если требуется отслеживать критерии поведения тегов в обоих блоках условий.
    • OR, если требуется отслеживать критерии поведения тегов только одного из блоков условий.
13. В правом верхнем углу окна нажмите на кнопку Сохранить.

Удаление разметки

Вы можете удалить разметку, если она не используется для обучения или инференса какой-либо ML-модели.

Чтобы удалить разметку:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите разметку, которую вы хотите удалить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на значок корзины ().
4. В открывшемся окне подтвердите удаление разметки.

Работа с импортированными ML-моделями

Этот раздел содержит информацию о работе с импортированными ML-моделями и их элементами.

ML-модель может быть предоставлена специалистами "Лаборатории Касперского" или сертифицированным интегратором в рамках Услуги построения модели и внедрения Kaspersky MLAD. Такую ML-модель требуется загрузить в Kaspersky MLAD и активировать. Вы не можете создавать новые элементы для импортированной ML-модели, а также удалять уже существующие элементы.

ML-модель загружается в Kaspersky MLAD уже обученной. Если требуется, вы можете дополнительно обучить нейросетевые элементы в составе загруженной ML-модели перед ее публикацией и/или выполнением инференса.

Загрузка ML-модели

Если ML-модель была создана специалистами "Лаборатории Касперского" или сертифицированным интегратором, вы можете загрузить эту ML-модель в Kaspersky MLAD.

При загрузке ML-модели, размер которой превышает 1 ГБ, работа Kaspersky MLAD может замедлиться.

Загрузка ML-моделей доступна системным администраторами пользователям с правом Загрузка моделей из группы прав Управление ML-моделями.

Чтобы загрузить ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с названием актива, для которого требуется импортировать ML-модель, откройте вертикальное меню и выберите пункт Импортировать модель.
3. В открывшемся окне выберите файл ML-модели.

   Файл ML-модели поставляется в виде архива формата TAR размером не более 1,5 ГБ.

ML-модель будет загружена в Kaspersky MLAD. Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Группа Модели содержит подгруппы Нейронные сети и Правила для хранения элементов ML-модели на основе нейронных сетей и диагностических правил.

После загрузки ML-модели присваивается статус Не активирована. Требуется активировать ML-модель. При повторной загрузке ML-модели, которая ранее была активирована и затем удалена, повторная активация ML-модели не требуется.

Активация импортированной ML-модели

После загрузки в Kaspersky MLAD ML-модели, подготовленной специалистами "Лаборатории Касперского" или сертифицированным интегратором, ее требуется активировать.

При потере кода для активации ML-модели требуется отправить запрос специалисту "Лаборатории Касперского" для получения нового кода.

Активация импортированных ML-моделей доступна системным администраторами пользователям с правом Активация моделей из группы прав Управление ML-моделями.

Чтобы активировать импортированную ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите импортированную ML-модель.

   Справа появится область деталей.

3. В поле Код для активации модели введите код, полученный от сотрудников "Лаборатории Касперского", и нажмите на кнопку Активировать в правом верхнем углу окна.

ML-модель активирована. Ей будет присвоен статус Обучена. Для запуска анализа данных телеметрии от объекта мониторинга вы можете запустить инференс ML-модели.

Изменение параметров элемента импортированной ML-модели

Вы можете изменить некоторые параметры элемента импортированной ML-модели.

Изменение параметров элементов импортированных ML-моделей доступно системным администраторами пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы изменить параметры элемента импортированной ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите элемент ML-модели, который вы хотите изменить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на кнопку Изменить.
4. В поле Название укажите название элемента ML-модели.
5. В поле Описание укажите описание элемента ML-модели.
6. Если требуется, в блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   4. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   5. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   6. В поле Порог регистрации инцидентов укажите пороговое значение ошибки предсказания, при достижении которого происходит регистрация инцидента.

      Значение порога регистрации инцидентов установлено по результатам обучения элемента импортированной ML-модели. Изменение этого параметра приведет к изменению чувствительности детектора.

   7. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
7. В правом верхнем углу окна нажмите на кнопку Сохранить.

Работа с ML-моделями, созданными вручную

Этот раздел содержит информацию о работе с ML-моделями, созданными вручную и их элементами.

В случае создания ML-модели вручную вы можете добавлять элементы ML-моделей на основе нейронных сетей и/или диагностических правил, изменять и удалять их.

Для проведения инференса ML-модель должна быть обучена. Для этого все нейросетевые элементы в составе ML-модели требуется предварительно обучить. При необходимости вы можете просмотреть результаты обучения нейросетевых элементов. Элементы на основе диагностических правил считаются обученными.

Вы также можете запустить инференс после публикации ML-модели. После запуска инференса Kaspersky MLAD будет регистрировать инциденты.

Создание ML-модели

Создание ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Чтобы создать ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с названием актива, для которого вы хотите создать ML-модель, откройте вертикальное меню и выберите пункт Создать модель.

   Справа отобразится список параметров.

3. В поле Название укажите название ML-модели.

   Вы можете указать название ML-модели длиной не более 100 символов.

4. В поле Описание укажите описание ML-модели.
5. Если требуется применить разметки для отбора данных для выполнения инференса ML-модели, в блоке параметров Индикатор инференса выберите нужные разметки.
6. Если требуется просмотреть, какие данные будут отобраны разметками, нажмите на кнопку На графике.

   Разметки отобразятся в цветах, выбранных при их создании.

7. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Группа Модели содержит подгруппы Нейронные сети и Правила для хранения элементов ML-модели на основе нейронных сетей и диагностических правил.

ML-модели будет присвоен статус Черновик.

Добавление нейросетевого элемента ML-модели

Добавление элементов ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Чтобы добавить нейросетевой элемент ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с группой Нейронные сети в составе ML-модели, к которой вы хотите добавить нейросетевой элемент, откройте вертикальное меню и выберите пункт Создать элемент.

   Справа отобразится список параметров.

3. В поле Название укажите название элемента ML-модели.
4. В поле Описание укажите описание элемента ML-модели.
5. В блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде десятичной дроби.
   4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   7. В поле Порог регистрации инцидентов укажите пороговое значение ошибки предсказания, при достижении которого происходит регистрация инцидента.
   8. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
6. Выберите одну из следующих архитектур нейросетевого элемента ML-модели: Dense, RNN, CNN, TCN или Transformer.
7. Если требуется задать параметры архитектуры нейросетевого элемента, а также степенной показатель и значение сглаживания суммарной ошибки предсказания, включите Расширенные параметры нейронной сети с помощью переключателя.
8. В блоке параметров Основные параметры выполните следующие действия:
   1. В раскрывающемся списке Входные теги выберите один или несколько тегов, которые служат исходными данными для предсказания значений выходных тегов.

   2. В раскрывающемся списке Выходные теги выберите один или несколько тегов, поведение которых предсказывается элементом модели.

   3. Если включен режим расширенной настройки, в поле Степенной показатель MSE укажите степенной показатель суммарной ошибки предсказания в виде десятичной дроби.
   4. Если включен режим расширенной настройки, в поле Степень сглаживания укажите значение сглаживания суммарной ошибки предсказания в виде десятичной дроби.
9. В блоке параметров Параметры окон выполните следующие действия:
   1. В поле Входное окно (шаги) укажите размер окна для входных значений, на основе которых элемент ML-модели предсказывает выходные значения.
   2. В поле Смещение выходного окна укажите количество шагов, на которое начало выходного окна будет смещено относительно начала входного окна.
   3. В поле Выходное окно (шаги) укажите длину предсказания выходных тегов, вычисляемого на основании входных тегов на входном окне.
10. Если вы добавляете нейросетевой элемент с Dense-архитектурой, выполните следующие действия:
    1. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на каждом слое элемента ML-модели.
    2. В поле Функции активации на слоях укажите одну из следующих функций активации на каждом слое элемента ML-модели через запятую без пробелов:
       • relu – нелинейная функция активации, которая преобразует входное значение в значение от 0 до положительной бесконечности.
       • selu – монотонно возрастающая функция, которая включает нормализацию, основанную на центральной предельной теореме.
       • linear – линейная функция, представляющая собой прямую линию и пропорциональная входным данным.
       • sigmoid – нелинейная функция, которая преобразует входные значения в значения от 0 до 1.
       • tanh – функция гиперболического тангенса, которая преобразует входные значения в значения от -1 до 1.
       • softmax – функция для преобразования вектора значений в вероятностное распределение, которое суммируется до 1.

       По умолчанию этот параметр имеет значение relu,relu,relu.

11. Если вы добавляете нейросетевой элемент с RNN-архитектурой, выполните следующие действия:
    1. В поле Количество GRU-нейронов на слоях укажите количество GRU-нейронов на слоях через запятую без пробелов.

       По умолчанию этот параметр имеет значение 40,40.

    2. В поле Количество распределенных по времени нейронов на слоях декодирующего блока укажите количество нейронов, распределенных по времени на слоях декодирующего блока, через запятую без пробелов.

       По умолчанию этот параметр имеет значение 40,20.

12. Если вы добавляете нейросетевой элемент с CNN-архитектурой, выполните следующие действия:
    1. В поле Размер фильтров на слоях укажите размер фильтров для каждого слоя элемента через запятую без пробелов.

       По умолчанию этот параметр имеет значение 2,2,2.

    2. В поле Количество фильтров на слоях укажите количество фильтров для каждого слоя элемента ML-модели через запятую без пробелов.

       По умолчанию этот параметр имеет значение 50,50,50.

    3. В поле Размер окна выборки максимума (MaxPooling) укажите размер окна выборки максимального значения на каждом слое через запятую без пробелов.

       По умолчанию этот параметр имеет значение 2,2,2.

    4. В поле Количество нейронов на слоях декодирующего блока укажите количество нейронов на слоях декодирующего блока.

13. Если вы добавляете нейросетевой элемент с TCN-архитектурой, выполните следующие действия:
    1. В поле Регуляризация укажите коэффициент регуляризации в виде десятичной дроби для предотвращения переобучения элемента ML-модели.

       По умолчанию этот параметр имеет значение 0.1.

    2. В поле Размер фильтров укажите размер фильтров элемента ML-модели.

       По умолчанию этот параметр имеет значение 2.

    3. В поле Расширения на слоях (dilations) укажите экспоненциальные значения расширения выходных данных на слоях в виде списка, элементы которого перечислены через запятую.

       По умолчанию этот параметр имеет значение 1,2,4.

    4. В раскрывающемся списке Функция активации выберите одну из следующих функций активации:
       • linear – линейная функция активации, результат которой пропорционален входному значению.
       • relu – нелинейная функция активации, которая преобразует входное значение в значение от нуля до положительной бесконечности. Если входное значение меньше или равно нулю, функция возвращает значение ноль, иначе функция возвращает входное значение.

       По умолчанию этот параметр имеет значение linear.

    5. В поле Количество кодирующих блоков укажите количество кодирующих блоков.

       По умолчанию этот параметр имеет значение 1.

    6. В поле Тип слоя перед выходным выберите один из следующих типов слоя, предшествующего выходному слою:
       • TimeDistributedDense (по умолчанию) – слой с полносвязной архитектурой.
       • GRU – слой с рекуррентной архитектурой.
14. Если вы добавляете нейросетевой элемент с Transformer-архитектурой, выполните следующие действия:
    1. В поле Регуляризация в кодирующем блоке укажите коэффициент регуляризации в кодирующем блоке в виде десятичной дроби.

       По умолчанию этот параметр имеет значение 0.01.

    2. В поле Количество голов внимания укажите количество голов внимания (англ. attention heads).

       По умолчанию этот параметр имеет значение 1.

    3. В поле Количество кодирующих блоков укажите количество кодирующих блоков.

       По умолчанию этот параметр имеет значение 1.

    4. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на слоях декодирующего блока.

15. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новый элемент ML-модели отобразится в группе Нейронные сети в составе выбранной ML-модели в дереве активов.

ML-модели будет присвоен статус Черновик. Для запуска инференса ML-модели требуется обучить все ее нейросетевые элементы.

Изменение нейросетевого элемента ML-модели

Вы можете изменить параметры нейросетевого элемента ML-модели.

Изменение элементов ML-моделей доступно системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы изменить нейросетевой элемент ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите нейросетевой элемент, который вы хотите изменить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на кнопку Изменить.
4. В поле Название укажите новое название элемента ML-модели.
5. В поле Описание укажите новое описание ML-модели.
6. Если требуется, в блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде десятичной дроби.
   4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   7. В поле Порог регистрации инцидентов укажите пороговое значение ошибки предсказания, при достижении которого происходит регистрация инцидента.
   8. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
7. Если требуется, измените архитектуру нейросетевого элемента.

   Kaspersky MLAD поддерживает следующие архитектуры нейросетевого элемента ML-модели: Dense, RNN, CNN, TCN или Transformer.

8. Если требуется изменить параметры архитектуры нейросетевого элемента, а также степенной показатель и значение сглаживания суммарной ошибки предсказания, включите Расширенные параметры нейронной сети с помощью переключателя.
9. Если требуется, в блоке параметров Основные параметры выполните следующие действия:
   1. В раскрывающемся списке Входные теги выберите один или несколько тегов, которые служат исходными данными для предсказания значений выходных тегов.

   2. В раскрывающемся списке Выходные теги выберите один или несколько тегов, поведение которых предсказывается элементом модели.

   3. Если включен режим расширенной настройки, в поле Степенной показатель MSE укажите степенной показатель суммарной ошибки предсказания в виде десятичной дроби.
   4. Если включен режим расширенной настройки, в поле Степень сглаживания укажите значение сглаживания суммарной ошибки предсказания в виде десятичной дроби.
10. Если требуется, в блоке параметров Параметры окон выполните следующие действия:
    1. В поле Входное окно (шаги) укажите размер окна для входных значений, на основе которых элемент ML-модели предсказывает выходные значения.
    2. В поле Смещение выходного окна укажите количество шагов, на которое начало выходного окна будет смещено относительно начала входного окна.
    3. В поле Выходное окно (шаги) укажите длину предсказания выходных тегов, вычисляемого на основании входных тегов на входном окне.
11. Если вы выбрали нейросетевой элемент с Dense-архитектурой, выполните следующие действия:
    1. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на каждом слое элемента ML-модели.
    2. В поле Функции активации на слоях укажите одну из следующих функций активации на каждом слое элемента ML-модели через запятую без пробелов:
       • relu – нелинейная функция активации, которая преобразует входное значение в значение от 0 до положительной бесконечности.
       • selu – монотонно возрастающая функция, которая включает нормализацию, основанную на центральной предельной теореме.
       • linear – линейная функция, представляющая собой прямую линию и пропорциональная входным данным.
       • sigmoid – нелинейная функция, которая преобразует входные значения в значения от 0 до 1.
       • tanh – функция гиперболического тангенса, которая преобразует входные значения в значения от -1 до 1.
       • softmax – функция для преобразования вектора значений в вероятностное распределение, которое суммируется до 1.

       По умолчанию этот параметр имеет значение relu,relu,relu.

12. Если вы добавляете нейросетевой элемент с RNN-архитектурой, выполните следующие действия:
    1. В поле Количество GRU-нейронов на слоях укажите количество GRU-нейронов на слоях через запятую без пробелов.

       По умолчанию этот параметр имеет значение 40,40.

    2. В поле Количество распределенных по времени нейронов на слоях декодирующего блока укажите количество нейронов, распределенных по времени на слоях декодирующего блока через запятую без пробелов.

       По умолчанию этот параметр имеет значение 40,20.

13. Если вы выбрали нейросетевой элемент с CNN-архитектурой, в блоке параметров Параметры архитектуры CNN выполните следующие действия:
    1. В поле Размер фильтров на слоях укажите размер фильтров для каждого слоя элемента через запятую без пробелов.

       По умолчанию этот параметр имеет значение 2,2,2.

    2. В поле Количество фильтров на слоях укажите количество фильтров для каждого слоя элемента ML-модели через запятую без пробелов.

       По умолчанию этот параметр имеет значение 50,50,50.

    3. В поле Размер окна выборки максимума (MaxPooling) укажите размер окна выборки максимального значения через запятую без пробелов.

       По умолчанию этот параметр имеет значение 2,2,2.

    4. В поле Количество нейронов на слоях декодирующего блока укажите количество нейронов на слоях декодирующего блока.

14. Если вы выбрали нейросетевой элемент с TCN-архитектурой, выполните следующие действия:
    1. В поле Регуляризация укажите коэффициент регуляризации в виде десятичной дроби для предотвращения переобучения элемента ML-модели.

       По умолчанию этот параметр имеет значение 0.1.

    2. В поле Размер фильтров укажите размеров фильтров элемента ML-модели.

       По умолчанию этот параметр имеет значение 2.

    3. В поле Расширения на слоях (dilations) укажите экспоненциальные значения расширения выходных данных на слоях через запятую без пробелов.

       По умолчанию этот параметр имеет значение 1,2,4.

    4. В раскрывающемся списке Функция активации выберите одну из следующих функций активации:
       • linear – линейная функция активации, результат которой пропорционален входному значению.
       • relu – нелинейная функция активации, которая преобразует входное значение в значение от нуля до положительной бесконечности. Если входное значение меньше или равно нулю, функция возвращает значение ноль, иначе функция возвращает входное значение.

       По умолчанию этот параметр имеет значение linear.

    5. В поле Количество кодирующих блоков укажите количество кодирующих блоков.

       По умолчанию этот параметр имеет значение 1.

    6. В поле Тип слоя перед выходным выберите один из следующих типов слоя, предшествующего выходному слою:
       • TimeDistributedDense (по умолчанию) – слой с полносвязной архитектурой.
       • GRU  – слой с рекуррентной архитектурой.
15. Если вы выбрали нейросетевой элемент с Transformer-архитектурой, выполните следующие действия:
    1. В поле Регуляризация в кодирующем блоке укажите коэффициент регуляризации в кодирующем блоке в виде десятичной дроби.

       По умолчанию этот параметр имеет значение 0.01.

    2. В поле Количество голов внимания укажите количество голов внимания (англ. attention heads).

       По умолчанию этот параметр имеет значение 1.

    3. В поле Количество кодирующих блоков укажите количество кодирующих блоков.

       По умолчанию этот параметр имеет значение 1.

    4. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на слоях декодирующего блока.

16. В правом верхнем углу окна нажмите на кнопку Сохранить.

Добавление элемента ML-модели на основе диагностического правила

Добавление элементов ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Чтобы добавить элемент ML-модели на основе диагностического правила:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с группой Правила в составе ML-модели, к которой вы хотите добавить диагностическое правило, откройте вертикальное меню и выберите пункт Создать элемент.

   Справа отобразится список параметров.

3. В поле Название укажите название диагностического правила.
4. В поле Описание укажите описание диагностического правила.
5. В блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде десятичной дроби.
   4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   7. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
6. Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.

   Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать правило выполненным.

7. В блоке параметров Фильтрация по времени выполните следующие действия:
   1. Нажмите на кнопку Добавить интервал.
   2. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

        Вы можете указать только начало или окончание однократного интервала.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
   3. Если требуется добавить еще один интервал, нажмите на кнопку Добавить интервал и выполните шаг 7b.
   4. Если требуется удалить интервал, наведите курсор мыши на строку с нужным интервалом и нажмите на значок Удалить интервал (  ).

   Вы можете добавить один или несколько временных интервалов. Если временной интервал не указан, то диагностическое правило применяется в каждом узле РИВС.

8. Если требуется добавить критерии поведения тегов, выполните следующие действия:
   1. В блоке параметров Условия на теги нажмите на кнопку Условие.

   2. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

      Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

      Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.

   3. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
      • Выше – значение тега превышает определенный порог.
      • Ниже – значение тега опускается ниже определенного порога.
      • Растет – линия тренда значений тега растет.
      • Падает – линия тренда значений тега падает.
      • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
      • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
      • Залипание – выбранный тег передает одно и то же значение.
      • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
   4. В поле Окно укажите количество шагов РИВС.
   5. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
      • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
      • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

        По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

        По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

      • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

      • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

        По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.

      • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

        Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

   6. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 8b по 8e.
   7. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
      • AND, если требуется отслеживать оба критерия во время работы диагностического правила.
      • OR, если требуется отслеживать один из заданных критериев во время работы диагностического правила.

9. Если требуется проверить, вызвало ли выполнение предварительного условия выполнение пост-условия в будущем узле РИВС, добавьте темпоральный оператор:
   1. В блоке параметров Условия на теги нажмите на кнопку Пауза.

      Кнопка Пауза доступна после добавления хотя бы одного условия.

      Предварительным условием называется блок условий, предшествующий темпоральному оператору. Пост-условием называется блок условий, следующий за темпоральным оператором.

      Проверка блока предварительного условия проводится в текущем узле РИВС.

   2. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
      • от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
      • до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).

      Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

   3. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
      • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
      • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

      Результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия.

      Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг).

      Если проводится более одной проверки условия с помощью темпорального оператора, то предварительным условием для каждой следующей проверки темпорального условия является результат проверки предыдущего темпорального условия.

10. Выберите один из следующих логических операторов между блоками правила:
    • AND, если требуется отслеживать критерии поведения тегов в обоих блоках во время работы диагностического правила.
    • OR, если требуется отслеживать критерии поведения тегов одного из блоков во время работы диагностического правила.
11. В правом верхнем углу окна нажмите на кнопку Сохранить.

Новый элемент ML-модели отобразится в группе Правила в составе выбранной ML-модели в дереве активов.

Если в составе ML-модели есть только элементы на основе диагностических правил, ей будет присвоен статус Обучена. Вы можете запустить инференс для такой ML-модели. Если в составе ML-модели есть необученные нейросетевые элементы, перед запуском инференса их требуется обучить.

Изменение элемента ML-модели на основе диагностического правила

Вы можете изменить параметры элемента ML-модели на основе диагностического правила.

Изменение элементов ML-моделей доступно системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы изменить элемент ML-модели на основе диагностического правила:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите элемент на основе диагностического правила, который вы хотите изменить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на кнопку Изменить.
4. В поле Название укажите новое название диагностического правила.
5. В поле Описание укажите новое описание диагностического правила.
6. Если требуется, в блоке параметров Общие параметры элемента выполните следующие действия:
   1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.

      По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.

   2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.

      По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).

   3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах.
   4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
   5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
   6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
   7. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
7. Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.

   Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать правило выполненным.

8. Если требуется, в блоке параметров Фильтрация по времени выполните следующие действия:
   1. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
      • Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.

        Вы можете указать только начало или окончание однократного интервала.

      • Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
   2. Если требуется добавить еще один интервал, нажмите на кнопку Добавить интервал и выполните шаг 8a.
   3. Если требуется удалить интервал, наведите курсор мыши на строку с нужным интервалом и нажмите на значок Удалить интервал (  ).

   Вы можете добавить один или несколько временных интервалов. Если временной интервал не указан, то диагностическое правило применяется в каждом узле РИВС.

9. Если требуется изменить критерии поведения тегов, выполните следующие действия:
   1. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.

      Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.

      Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.

   2. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
      • Выше – значение тега превышает определенный порог.
      • Ниже – значение тега опускается ниже определенного порога.
      • Растет – линия тренда значений тега растет.
      • Падает – линия тренда значений тега падает.
      • Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
      • Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
      • Залипание – выбранный тег передает одно и то же значение.
      • Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
   3. В поле Окно укажите количество шагов РИВС.
   4. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
      • Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
      • Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.

        По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.

        По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.

      • Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

      • Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.

        По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.

      • Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.

        По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.

        Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.

   5. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 9a по 9d.
   6. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
      • AND, если требуется отслеживать оба критерия во время работы диагностического правила.
      • OR, если требуется отслеживать один из заданных критериев во время работы диагностического правила.

10. Если требуется изменить темпоральный оператор:
    1. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
       • от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
       • до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).

       Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.

    2. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
       • Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.

       Результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия.

       Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг).

       Если проводится более одной проверки условия с помощью темпорального оператора, то предварительным условием для каждой следующей проверки темпорального условия является результат проверки предыдущего темпорального условия.

11. Выберите один из следующих логических операторов между блоками правила:
    • AND, если требуется отслеживать критерии поведения тегов в обоих блоках во время работы диагностического правила.
    • OR, если требуется отслеживать критерии поведения тегов одного из блоков во время работы диагностического правила.
12. В правом верхнем углу окна нажмите на кнопку Сохранить.

Удаление элемента ML-модели

При удалении элемента ML-модели Kaspersky MLAD также удаляет результаты работы выбранного элемента ML-модели.

Удаление элементов ML-моделей доступно системным администраторам и пользователям с правом Удаление моделей из группы прав Управление ML-моделями.

Чтобы удалить элемент ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите элемент ML-модели, который вы хотите удалить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на значок корзины ().
4. В открывшемся окне подтвердите удаление элемента ML-модели.

Копирование ML-модели

Копирование ML-моделей доступно системным администраторам и пользователям с правом Копирование моделей из группы прав Управление ML-моделями.

Вы можете создать ML-модель, скопировав ранее добавленную ML-модель. При копировании будет создана ML-модель, в которой состав элементов, параметры ML-модели и ее элементов, а также состояние обучения нейросетевых элементов будут идентичны составу элементов, параметрам ML-модели и ее элементов, состоянию обучения нейросетевых элементов ML-модели в момент ее копирования.

При копировании ML-модели, которая была создана вручную или по шаблону на основе ML-модели, созданной вручную, вы можете добавлять в скопированную ML-модель нейросетевые элементы и/или элементы на основе диагностических правил, изменять и удалять их.

При копировании ML-модели, которая была импортирована в программу или создана по шаблону на основе импортированной ML-модели, вы не можете изменять состав элементов скопированной ML-модели.

Перед выполнением инференса вы можете изменить параметры обучения и переобучить нейросетевые элементы скопированной ML-модели. Вы также можете запустить инференс ML-модели после ее публикации.

Чтобы скопировать ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, которую вы хотите скопировать.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на значок Копировать модель ().

   Справа появится панель Копирование модели.

4. В поле Название укажите название ML-модели.

   Вы можете указать название ML-модели длиной не более 100 символов.

   По умолчанию ML-модели присваивается название в формате <название исходной ML-модели>_Cloned_<дата и время копирования>.

5. В раскрывающемся списке Актив выберите актив, к которому вы хотите отнести новую ML-модель.
6. Нажмите на кнопку Сохранить.

Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Группа Модели содержит подгруппы Нейронные сети и Правила для хранения элементов ML-модели на основе нейронных сетей и диагностических правил.

Работа с шаблонами ML-моделей

Этот раздел содержит информацию о работе с шаблонами ML-моделей.

Вы можете создать шаблон существующей ML-модели для многократного переиспользования ее структуры алгоритма, набора элементов и состояния обучения в момент создания шаблона. Вы можете использовать созданный шаблон для добавления новых ML-моделей.

Если исходная ML-модель, по которой был создан шаблон, была создана вручную, то вы можете добавлять в ML-модель, созданную по такому шаблону, нейросетевые элементы и/или элементы на основе диагностических правил, изменять и удалять их.

Если исходная ML-модель, по которой был создан шаблон, была импортирована в Kaspersky MLAD, то вы не можете изменять состав элементов ML-модели, созданной по такому шаблону.

Перед инференсом ML-модели требуется обучить все ее нейросетевые элементы. Вы также можете запустить инференс ML-модели, если она была опубликована.

Создание шаблона по ML-модели

Создание шаблонов по ML-моделям доступно системным администраторами пользователям с правом Создание шаблонов моделей из группы прав Управление ML-моделями.

Вы можете создать шаблон ML-модели на основе ранее добавленной ML-модели. В созданных шаблонах будет сохранена структура алгоритма, набор элементов, состав тегов и состояние обучения исходной ML-модели.

Вы можете создать шаблон по ранее добавленной ML-модели, если в составе этой ML-модели есть нейросетевой элемент, для которого заданы входные и выходные теги, и/или элемент на основе диагностического правила, для которого сформированы условия правила.

Чтобы создать шаблон по ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с названием ML-модели, по которой вы хотите создать шаблон, откройте вертикальное меню и выберите пункт Создать шаблон.

   Справа отобразится список параметров.

3. В поле Название укажите имя шаблона.

   Вы можете ввести не более 100 символов.

   По умолчанию шаблону присваивается название в формате Шаблон_<название ML-модели>_<дата и время создания шаблона>.

4. Если требуется изменить имена тегов шаблона, в столбце Имя тега шаблона укажите новые имена для нужных тегов.

   Если теги, используемые в ML-модели, по которой вы создаете шаблон, были загружены или созданы в разделе Активы в меню администратора, их имена автоматически присваиваются тегам шаблона. Если тег, используемый в ML-модели, не обнаружен в Kaspersky MLAD, этому тегу присваивается имя по умолчанию в формате Tag <ID тега модели>.

   Вы можете указать имя тега шаблона, отличное от имен тегов в разделе Активы в меню администратора. Сопоставление тегов шаблона и тегов в разделе Активы происходит по идентификаторам тегов ML-модели, которые вы можете указать при создании ML-модели по шаблону.

5. Нажмите на кнопку Сохранить.

Новый шаблон ML-модели отобразится в группе Шаблоны дерева активов. Группа Шаблоны создается автоматически и отображается в составе выбранного раздела дерева активов.

Изменение шаблона ML-модели

Вы можете изменить параметры созданного шаблона ML-модели.

Изменение шаблона ML-модели доступно системным администраторам и пользователям с правом Изменение шаблонов моделей из группы прав Управление ML-моделями.

Чтобы изменить шаблон ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите шаблон, который вы хотите изменить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на кнопку Изменить.
4. В поле Название укажите новое имя шаблона.

   Вы можете ввести не более 100 символов.

   По умолчанию шаблону присваивается название в формате Шаблон_<название ML-модели>_<дата и время создания шаблона>.

5. Если требуется изменить имена тегов шаблона, в столбце Имя тега шаблона укажите новые имена для нужных тегов.

   Вы можете указать имя тега шаблона, отличное от имен тегов в разделе Активы в меню администратора. Сопоставление тегов шаблона и тегов в разделе Активы происходит по идентификаторам тегов ML-модели, которые вы можете указать при создании ML-модели по шаблону.

6. Нажмите на кнопку Сохранить.

Создание ML-модели по шаблону

Создание ML-моделей по шаблонам доступно системным администраторами пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Вы можете создать новую ML-модель на основе доступных шаблонов. При создании ML-модели вы можете указать идентификаторы тегов, которые требуется использовать в новой ML-модели.

Чтобы создать ML-модель по шаблону:

1. В основном меню выберите раздел Модели.
2. В дереве активов рядом с названием шаблона, по которому вы хотите создать ML-модель, откройте вертикальное меню и выберите пункт Создать модель.

   Справа откроется панель Создание модели.

3. В поле Имя модели укажите имя новой ML-модели.

   Вы можете указать имя ML-модели длиной не более 100 символов.

4. В столбце Имя тега модели выберите имена тегов для каждого тега ML-модели, которые будут использоваться создаваемой ML-моделью.

   Сопоставление тегов шаблона и тегов в разделе Активы в меню администратора происходит по именам тегов ML-модели.

5. Нажмите на кнопку Сохранить.

Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Группа Модели содержит подгруппы Нейронные сети и Правила для хранения элементов ML-модели на основе нейронных сетей и диагностических правил.

Состояние созданной ML-модели будет соответствовать состоянию обучения исходной ML-модели в момент создания ее шаблона.

Удаление шаблона ML-модели

Удаление шаблонов ML-моделей доступно системным администраторами пользователям с правом Удаление шаблонов моделей из группы прав Управление ML-моделями.

Вы можете удалить шаблон ML-модели из Kaspersky MLAD. Удаление шаблона не приводит к удалению ML-моделей, созданных на основе этого шаблона.

Чтобы удалить шаблон ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите шаблон ML-модели, который требуется удалить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на значок корзины ().
4. Подтвердите удаление шаблона ML-модели.

Выбранный шаблон ML-модели будет удален из Kaspersky MLAD.

Изменение параметров ML-модели

Вы можете изменить параметры ML-модели, созданной вручную, импортированной в Kaspersky MLAD, созданной по шаблону, а также скопированной ML-модели.

Изменение параметров ML-моделей доступно системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы изменить параметры ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, параметры которой требуется изменить

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на кнопку Изменить.
4. В поле Название укажите название ML-модели.

   Вы можете указать название ML-модели длиной не более 100 символов.

5. В поле Описание укажите описание ML-модели.
6. Если ML-модель не была импортирована в программу или создана на основе импортированной ML-модели, в блоке параметров Индикатор инференса выберите разметки для проведения инференса.
7. Если требуется просмотреть, какие данные отобраны разметками, нажмите на кнопку На графике.

   Разметки отобразятся в цветах, выбранных при их создании.

8. В правом верхнем углу окна нажмите на кнопку Сохранить.

Обучение нейросетевого элемента ML-модели

Kaspersky MLAD позволяет выполнить обучение нейросетевого элемента для ML-модели, созданной вручную, загруженной в Kaspersky MLAD, созданной по шаблону, а также для скопированной ML-модели.

Обучение элементов ML-моделей доступно системным администраторам и пользователям с правом Обучение моделей из группы прав Управление ML-моделями.

Чтобы обучить элемент ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите нейросетевой элемент, который вы хотите обучить.

   Справа отобразится список параметров.

3. Откройте вкладку Обучение и нажмите на кнопку Изменить в правом верхнем углу окна.
4. В поле Интервал отбора данных укажите интервал времени данных, на которых требуется обучить ML-модель.
5. Если требуется применить разметки для отбора данных для обучения ML-модели в рамках выбранного интервала, в поле Разметки выберите одну или несколько разметок.

   Выбранные разметки сформируют индикатор обучения.

6. Если требуется просмотреть, какие данные будут отобраны разметками, нажмите на кнопку На графике.

   Разметки отобразятся в указанных при создании цветах.

7. Если требуется, включите параметр Расширенные параметры обучения и выполните следующие действия:
   1. В поле Максимальная продолжительность обучения (сек.) укажите максимально время, которое сервер Kaspersky MLAD может затратить на обучение ML-модели в секундах.
   2. В поле Размер валидационной выборки укажите в виде десятичной дроби долю валидационной выборки относительно всего набора данных для обучения ML-модели.

      Вы можете указать значение в диапазоне от 0 до 1.

      По умолчанию этот параметр имеет значение 0.2.

   3. В поле Максимальное количество эпох укажите максимальное количество эпох для обучения ML-модели.

      По умолчанию этот параметр имеет значение 500.

   4. В поле Количество эпох для ранней остановки обучения укажите количество эпох, в течение которых качество обучения не улучшается для ранней остановки обучения ML-модели.

      Ранняя остановка обучения ML-модели применяется для избежания переобучения модели. При этом обучение ML-модели считается успешно завершившимся.

      По умолчанию этот параметр имеет значение 15.

   5. В поле Разрешение графиков результатов обучения укажите в виде десятичной дроби разрешение графиков для отображения результатов обучения на вкладке Результаты обучения.

      Вы можете указать значение в диапазоне от 0 до 1.

   6. В поле Размер батча укажите количество элементов выборки, которое требуется передать на обучение в рамках итерации.

      По умолчанию этот параметр имеет значение 16.

   7. В поле Количество блоков укажите количество блоков, на которое требуется разбить набор данных для обучения ML-модели.

      По умолчанию этот параметр имеет значение 4.

   8. В раскрывающемся списке Режим инференса выберите одно из следующих значений:
      • Если требуется загрузить все батчи в оперативную память, выберите Быстрый инференс.

        Этот режим инференса позволяет выполнить инференс быстрее.

      • Если требуется загружать в оперативную память по одному батчу данных, выберите Экономия памяти.

        Этот режим инференса позволяет выполнить инференс с минимальными затратами оперативной памяти, но медленнее, чем в режиме Быстрый инференс.

      Выбранный режим инференса применяется только в процессе обучения нейросетевого элемента ML-модели.

   9. В раскрывающемся списке Режим обучения выберите одно из следующих значений:
      • Если требуется загрузить весь набор данных для обучения модели в оперативную память, выберите Загрузить весь датасет в оперативную память.
      • Если требуется загружать в оперативную память по одному блоку данных и сформировать валидационные блоки из конца набора данных, выберите Сформировать валидационные блоки из конца датасета.
      • Если требуется загружать в оперативную память по одному блоку данных без формирования валидационных блоков, выберите Проводить валидацию в каждом блоке обучающих данных.

        Валидационные данные формируются из каждого обучающего блока данных.

   10. В раскрывающемся списке Режим распределения памяти выберите один из следующих параметров:
       • Зарезервировать минимальный объем свободной памяти. При выборе этого параметра при обучении ML-модели служба Trainer будет оставлять свободным минимальный объем памяти, указанный в поле Объем памяти, МБ.
       • Зарезервировать максимальный объем памяти на обучение модели. При выборе этого параметра для обучения ML-модели служба Trainer будет использовать максимальный объем оперативной памяти, указанный в поле Объем памяти, МБ.
   11. Если требуется учесть результаты предыдущего обучения при обучении ML-модели на новых данных, включите параметр Инициализировать веса модели значениями из результатов предыдущего обучения.
   12. Если требуется перемешать данные для улучшения качества обучения ML-модели, включите параметр Перемешать данные.
8. В правом верхнем углу окна нажмите на кнопку Сохранить.
9. В информационном блоке, расположенном над параметрами обучения, нажмите на кнопку Обучить элемент.

В информационном блоке будет отображаться номер текущей эпохи обучения элемента ML-модели. После завершения обучения вы можете просмотреть результаты обучения элемента ML-модели на вкладке Результаты обучения.

После обучения всех нейросетевых элементов в составе ML-модели ей будет присвоен статус Обучена. Если требуется, вы можете повторно обучить элемент ML-модели, нажав на кнопку Перезапустить обучение.

Просмотр результатов обучения элемента ML-модели

Вы можете просмотреть результаты обучения нейросетевых элементов ML-модели.

Просмотр результатов обучения элементов ML-моделей доступно системным администраторам и пользователям с правом Обучение моделей из группы прав Управление ML-моделями.

Чтобы просмотреть результаты обучения элемента ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите элемент ML-модели, результат обучения которого вы хотите просмотреть.

   Справа отобразится панель с параметрами выбранного элемента.

3. Выберите вкладку Результаты обучения.

В случае успешного обучения элемента ML-модели на вкладке Результаты обучения отображаются следующие сведения о результатах обучения:

• Сообщение об успешном завершении обучения элемента ML-модели.

  Если требуется просмотреть параметры обучения элемента, указанные при его создании, нажмите на ссылку Параметры обучения.

• Пользователь – имя пользователя, который запустил обучение элемента ML-модели.
• Общий интервал времени – время, которое было потрачено сервером Kaspersky MLAD на обучение элемента ML-модели.
• Начало обучения – дата и время начала обучения элемента ML-модели службой Trainer.
• Окончание обучения – дата и время окончания обучения элемента ML-модели. Веса элемента ML-модели обновлены службой Trainer.
• Продолжительность интервалов – суммарная продолжительность интервалов времени данных с учетом разметок в обучающей выборке.
• Число узлов РИВС – количество узлов РИВС, входящих в обучающую выборку.
• Ошибки обучения и валидации – график, отображающий ошибки обучения и валидации в зависимости от эпохи обучения.
• Прогноз обученной модели – графики, отображающие прогнозы обученной модели для выходных тегов и общую ошибку предсказаний.

Подготовка ML-модели к публикации

После обучения ML-модели вы можете подготовить ее к публикации. ML-модель, подготовленная к публикации, будет недоступна для изменения.

Подготовка ML-модели к публикации доступно системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы подготовить ML-модель к публикации:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, которую вы хотите подготовить к публикации.

   Справа отобразится список параметров.

3. Нажмите на кнопку Подготовить к публикации.

ML-модели будет присвоен статус Готова к публикации. Сообщите сотруднику, ответственному за публикацию ML-моделей, о ее готовности, или, если у вас есть необходимые права, опубликуйте ML-модель.

Если требуется внести изменения в ML-модель перед ее публикацией, нажмите на кнопку Вернуться в режим правки. ML-модели будет возвращен статус Обучена.

Публикация ML-модели

Вы можете опубликовать ML-модель для регистрации инцидентов на рабочих данных от объекта мониторинга.

Публикация ML-моделей доступна системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы опубликовать ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, которую вы хотите опубликовать.

   Справа отобразится список параметров.

3. Нажмите на кнопку Опубликовать.

ML-модели будет присвоен статус Опубликована.

После запуска инференса ML-модель будет регистрировать инциденты.

Запуск и остановка инференса ML-модели

Вы можете запускать и останавливать инференс ML-модели со статусами Обучена или Опубликована на исторических или вновь поступающих данных телеметрии.

Чтобы запустить инференс ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, инференс которой вы хотите запустить.

   Справа отобразится список параметров.

3. Выберите вкладку Инференс.
4. В раскрывающемся списке Вид инференса выберите одно из следующих значений:
   • Исторический для запуска инференса ML-модели на исторических данных телеметрии. При выборе этого значения укажите интервал времени данных для работы ML-модели.
   • Потоковый для выполнения инференса ML-модели на данных телеметрии, поступающих в режиме реального времени.
5. Нажмите на кнопку Запустить.

Если был запущен исторический инференс, Kaspersky MLAD добавит ML-модель в очередь на инференс.

Чтобы остановить инференс ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, инференс которой вы хотите остановить.

   Справа отобразится список параметров.

3. Выберите вкладку Инференс.
4. Нажмите на кнопку Остановить.

Kaspersky MLAD остановит инференс для выбранной ML-модели.

Просмотр графа потока данных в ML-модели

Вы можете просматривать граф потока данных в ML-моделях.

Чтобы просмотреть граф потоков данных в ML-модели:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите нейросетевой элемент, граф потока данных который вы хотите просмотреть.

   Справа отобразится список параметров.

3. Выберите вкладку Граф потока данных.

   Справа отобразится граф потока данных в ML-модели.

4. Если требуется просмотреть параметры ML-модели, наведите на него курсор мыши.

   Отобразится окно, в котором перечислены значения параметров выбранного элемента.

   

   Граф потока данных в ML-модели

Удаление ML-модели

Вы можете удалить одну или несколько ML-моделей из Kaspersky MLAD.

После удаления ML-модели ее артефакты (например, предсказания, индивидуальные ошибки, ошибки предсказаний, индикаторы выполнения правила), а также инциденты, зарегистрированные ML-моделью, будут удалены.

Удаление ML-моделей доступно системным администраторами пользователям с правом Удаление моделей из группы прав Управление ML-моделями.

Чтобы удалить ML-модель:

1. В основном меню выберите раздел Модели.
2. В дереве активов выберите ML-модель, которую требуется удалить.

   Справа отобразится список параметров.

3. В правом верхнем углу окна нажмите на значок корзины ().
4. Подтвердите удаление ML-модели.

Выбранная ML-модель будет удалена из Kaspersky MLAD.