Содержание

Работа с ML-моделями, созданными вручную

Работа с ML-моделями, созданными вручную

Этот раздел содержит информацию о работе с ML-моделями, созданными вручную и их элементами.

В случае создания ML-модели вручную вы можете добавлять элементы ML-моделей на основе нейронных сетей и/или диагностических правил, изменять и удалять их.

Для проведения инференса ML-модель должна быть обучена. Для этого все нейросетевые элементы в составе ML-модели требуется предварительно обучить. При необходимости вы можете просмотреть результаты обучения нейросетевых элементов. Элементы на основе диагностических правил считаются обученными.

Вы также можете запустить инференс после публикации ML-модели. После запуска инференса Kaspersky MLAD будет регистрировать инциденты.

В этом разделе

Создание ML-модели

Добавление нейросетевого элемента ML-модели

Изменение нейросетевого элемента ML-модели

Добавление элемента ML-модели на основе диагностического правила

Изменение элемента ML-модели на основе диагностического правила

Удаление элемента ML-модели

В начало

Создание ML-модели

Создание ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Чтобы создать ML-модель:

В основном меню выберите раздел Модели.
В дереве активов рядом с названием актива, для которого вы хотите создать ML-модель, откройте вертикальное меню и выберите пункт Создать модель.
Справа отобразится список параметров.
В поле Название укажите название ML-модели.
Вы можете указать название ML-модели длиной не более 100 символов.
В поле Описание укажите описание ML-модели.
Если требуется применить разметки для отбора данных для выполнения инференса ML-модели, в блоке параметров Индикатор инференса выберите нужные разметки.
Если требуется просмотреть, какие данные будут отобраны разметками, нажмите на кнопку На графике.
Разметки отобразятся в цветах, выбранных при их создании.
В правом верхнем углу окна нажмите на кнопку Сохранить.

Новая ML-модель отобразится в группе Модели дерева активов. Группа Модели создается автоматически и отображается в составе выбранного раздела дерева активов. Группа Модели содержит подгруппы Нейронные сети и Правила для хранения элементов ML-модели на основе нейронных сетей и диагностических правил.

ML-модели будет присвоен статус Черновик.

В начало

Добавление нейросетевого элемента ML-модели

Добавление элементов ML-моделей доступно системным администраторам и пользователям с правом Создание моделей из группы прав Управление ML-моделями.

Чтобы добавить нейросетевой элемент ML-модели:

В основном меню выберите раздел Модели.
В дереве активов рядом с группой Нейронные сети в составе ML-модели, к которой вы хотите добавить нейросетевой элемент, откройте вертикальное меню и выберите пункт Создать элемент.
Справа отобразится список параметров.
В поле Название укажите название элемента ML-модели.
В поле Описание укажите описание элемента ML-модели.
В блоке параметров Общие параметры элемента выполните следующие действия:
1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.
  По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.
2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.
  По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).
3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде десятичной дроби.
4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
7. В поле Порог регистрации инцидентов укажите пороговое значение ошибки предсказания, при достижении которого происходит регистрация инцидента.
8. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
Выберите одну из следующих архитектур нейросетевого элемента ML-модели: Dense, RNN, CNN, TCN или Transformer.
Если требуется задать параметры архитектуры нейросетевого элемента, а также степенной показатель и значение сглаживания суммарной ошибки предсказания, включите Расширенные параметры нейронной сети с помощью переключателя.
В блоке параметров Основные параметры выполните следующие действия:
1. В раскрывающемся списке Входные теги выберите один или несколько тегов, которые служат исходными данными для предсказания значений выходных тегов.
2. В раскрывающемся списке Выходные теги выберите один или несколько тегов, поведение которых предсказывается элементом модели.
3. Если включен режим расширенной настройки, в поле Степенной показатель MSE укажите степенной показатель суммарной ошибки предсказания в виде десятичной дроби.
4. Если включен режим расширенной настройки, в поле Степень сглаживания укажите значение сглаживания суммарной ошибки предсказания в виде десятичной дроби.
В блоке параметров Параметры окон выполните следующие действия:
1. В поле Входное окно (шаги) укажите размер окна для входных значений, на основе которых элемент ML-модели предсказывает выходные значения.
2. В поле Смещение выходного окна укажите количество шагов, на которое начало выходного окна будет смещено относительно начала входного окна.
3. В поле Выходное окно (шаги) укажите длину предсказания выходных тегов, вычисляемого на основании входных тегов на входном окне.
Если вы добавляете нейросетевой элемент с Dense-архитектурой, выполните следующие действия:
1. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на каждом слое элемента ML-модели.
2. В поле Функции активации на слоях укажите одну из следующих функций активации на каждом слое элемента ML-модели через запятую без пробелов:
  - relu – нелинейная функция активации, которая преобразует входное значение в значение от 0 до положительной бесконечности.
  - selu – монотонно возрастающая функция, которая включает нормализацию, основанную на центральной предельной теореме.
  - linear – линейная функция, представляющая собой прямую линию и пропорциональная входным данным.
  - sigmoid – нелинейная функция, которая преобразует входные значения в значения от 0 до 1.
  - tanh – функция гиперболического тангенса, которая преобразует входные значения в значения от -1 до 1.
  - softmax – функция для преобразования вектора значений в вероятностное распределение, которое суммируется до 1.
  По умолчанию этот параметр имеет значение relu,relu,relu.
Если вы добавляете нейросетевой элемент с RNN-архитектурой, выполните следующие действия:
1. В поле Количество GRU-нейронов на слоях укажите количество GRU-нейронов на слоях через запятую без пробелов.
  По умолчанию этот параметр имеет значение 40,40.
2. В поле Количество распределенных по времени нейронов на слоях декодирующего блока укажите количество нейронов, распределенных по времени на слоях декодирующего блока, через запятую без пробелов.
  По умолчанию этот параметр имеет значение 40,20.
Если вы добавляете нейросетевой элемент с CNN-архитектурой, выполните следующие действия:
1. В поле Размер фильтров на слоях укажите размер фильтров для каждого слоя элемента через запятую без пробелов.
  По умолчанию этот параметр имеет значение 2,2,2.
2. В поле Количество фильтров на слоях укажите количество фильтров для каждого слоя элемента ML-модели через запятую без пробелов.
  По умолчанию этот параметр имеет значение 50,50,50.
3. В поле Размер окна выборки максимума (MaxPooling) укажите размер окна выборки максимального значения на каждом слое через запятую без пробелов.
  По умолчанию этот параметр имеет значение 2,2,2.
4. В поле Количество нейронов на слоях декодирующего блока укажите количество нейронов на слоях декодирующего блока.
Если вы добавляете нейросетевой элемент с TCN-архитектурой, выполните следующие действия:
1. В поле Регуляризация укажите коэффициент регуляризации в виде десятичной дроби для предотвращения переобучения элемента ML-модели.
  По умолчанию этот параметр имеет значение 0.1.
2. В поле Размер фильтров укажите размер фильтров элемента ML-модели.
  По умолчанию этот параметр имеет значение 2.
3. В поле Расширения на слоях (dilations) укажите экспоненциальные значения расширения выходных данных на слоях в виде списка, элементы которого перечислены через запятую.
  По умолчанию этот параметр имеет значение 1,2,4.
4. В раскрывающемся списке Функция активации выберите одну из следующих функций активации:
  - linear – линейная функция активации, результат которой пропорционален входному значению.
  - relu – нелинейная функция активации, которая преобразует входное значение в значение от нуля до положительной бесконечности. Если входное значение меньше или равно нулю, функция возвращает значение ноль, иначе функция возвращает входное значение.
  По умолчанию этот параметр имеет значение linear.
5. В поле Количество кодирующих блоков укажите количество кодирующих блоков.
  По умолчанию этот параметр имеет значение 1.
6. В поле Тип слоя перед выходным выберите один из следующих типов слоя, предшествующего выходному слою:
  - TimeDistributedDense (по умолчанию) – слой с полносвязной архитектурой.
  - GRU – слой с рекуррентной архитектурой.
Если вы добавляете нейросетевой элемент с Transformer-архитектурой, выполните следующие действия:
1. В поле Регуляризация в кодирующем блоке укажите коэффициент регуляризации в кодирующем блоке в виде десятичной дроби.
  По умолчанию этот параметр имеет значение 0.01.
2. В поле Количество голов внимания укажите количество голов внимания (англ. attention heads).
  По умолчанию этот параметр имеет значение 1.
3. В поле Количество кодирующих блоков укажите количество кодирующих блоков.
  По умолчанию этот параметр имеет значение 1.
4. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на слоях декодирующего блока.
В правом верхнем углу окна нажмите на кнопку Сохранить.

Новый элемент ML-модели отобразится в группе Нейронные сети в составе выбранной ML-модели в дереве активов.

ML-модели будет присвоен статус Черновик. Для запуска инференса ML-модели требуется обучить все ее нейросетевые элементы.

В начало

Изменение нейросетевого элемента ML-модели

Вы можете изменить параметры нейросетевого элемента ML-модели.

Изменение элементов ML-моделей доступно системным администраторам и пользователям с правом Изменение черновиков моделей из группы прав Управление ML-моделями.

Чтобы изменить нейросетевой элемент ML-модели:

В основном меню выберите раздел Модели.
В дереве активов выберите нейросетевой элемент, который вы хотите изменить.
Справа отобразится список параметров.
В правом верхнем углу окна нажмите на кнопку Изменить.
В поле Название укажите новое название элемента ML-модели.
В поле Описание укажите новое описание ML-модели.
Если требуется, в блоке параметров Общие параметры элемента выполните следующие действия:
1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.
  По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.
2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.
  По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).
3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде десятичной дроби.
4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
7. В поле Порог регистрации инцидентов укажите пороговое значение ошибки предсказания, при достижении которого происходит регистрация инцидента.
8. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
Если требуется, измените архитектуру нейросетевого элемента.
Kaspersky MLAD поддерживает следующие архитектуры нейросетевого элемента ML-модели: Dense, RNN, CNN, TCN или Transformer.
Если требуется изменить параметры архитектуры нейросетевого элемента, а также степенной показатель и значение сглаживания суммарной ошибки предсказания, включите Расширенные параметры нейронной сети с помощью переключателя.
Если требуется, в блоке параметров Основные параметры выполните следующие действия:
1. В раскрывающемся списке Входные теги выберите один или несколько тегов, которые служат исходными данными для предсказания значений выходных тегов.
2. В раскрывающемся списке Выходные теги выберите один или несколько тегов, поведение которых предсказывается элементом модели.
3. Если включен режим расширенной настройки, в поле Степенной показатель MSE укажите степенной показатель суммарной ошибки предсказания в виде десятичной дроби.
4. Если включен режим расширенной настройки, в поле Степень сглаживания укажите значение сглаживания суммарной ошибки предсказания в виде десятичной дроби.
Если требуется, в блоке параметров Параметры окон выполните следующие действия:
1. В поле Входное окно (шаги) укажите размер окна для входных значений, на основе которых элемент ML-модели предсказывает выходные значения.
2. В поле Смещение выходного окна укажите количество шагов, на которое начало выходного окна будет смещено относительно начала входного окна.
3. В поле Выходное окно (шаги) укажите длину предсказания выходных тегов, вычисляемого на основании входных тегов на входном окне.
Если вы выбрали нейросетевой элемент с Dense-архитектурой, выполните следующие действия:
1. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на каждом слое элемента ML-модели.
2. В поле Функции активации на слоях укажите одну из следующих функций активации на каждом слое элемента ML-модели через запятую без пробелов:
  - relu – нелинейная функция активации, которая преобразует входное значение в значение от 0 до положительной бесконечности.
  - selu – монотонно возрастающая функция, которая включает нормализацию, основанную на центральной предельной теореме.
  - linear – линейная функция, представляющая собой прямую линию и пропорциональная входным данным.
  - sigmoid – нелинейная функция, которая преобразует входные значения в значения от 0 до 1.
  - tanh – функция гиперболического тангенса, которая преобразует входные значения в значения от -1 до 1.
  - softmax – функция для преобразования вектора значений в вероятностное распределение, которое суммируется до 1.
  По умолчанию этот параметр имеет значение relu,relu,relu.
Если вы добавляете нейросетевой элемент с RNN-архитектурой, выполните следующие действия:
1. В поле Количество GRU-нейронов на слоях укажите количество GRU-нейронов на слоях через запятую без пробелов.
  По умолчанию этот параметр имеет значение 40,40.
2. В поле Количество распределенных по времени нейронов на слоях декодирующего блока укажите количество нейронов, распределенных по времени на слоях декодирующего блока через запятую без пробелов.
  По умолчанию этот параметр имеет значение 40,20.
Если вы выбрали нейросетевой элемент с CNN-архитектурой, в блоке параметров Параметры архитектуры CNN выполните следующие действия:
1. В поле Размер фильтров на слоях укажите размер фильтров для каждого слоя элемента через запятую без пробелов.
  По умолчанию этот параметр имеет значение 2,2,2.
2. В поле Количество фильтров на слоях укажите количество фильтров для каждого слоя элемента ML-модели через запятую без пробелов.
  По умолчанию этот параметр имеет значение 50,50,50.
3. В поле Размер окна выборки максимума (MaxPooling) укажите размер окна выборки максимального значения через запятую без пробелов.
  По умолчанию этот параметр имеет значение 2,2,2.
4. В поле Количество нейронов на слоях декодирующего блока укажите количество нейронов на слоях декодирующего блока.
Если вы выбрали нейросетевой элемент с TCN-архитектурой, выполните следующие действия:
1. В поле Регуляризация укажите коэффициент регуляризации в виде десятичной дроби для предотвращения переобучения элемента ML-модели.
  По умолчанию этот параметр имеет значение 0.1.
2. В поле Размер фильтров укажите размеров фильтров элемента ML-модели.
  По умолчанию этот параметр имеет значение 2.
3. В поле Расширения на слоях (dilations) укажите экспоненциальные значения расширения выходных данных на слоях через запятую без пробелов.
  По умолчанию этот параметр имеет значение 1,2,4.
4. В раскрывающемся списке Функция активации выберите одну из следующих функций активации:
  - linear – линейная функция активации, результат которой пропорционален входному значению.
  - relu – нелинейная функция активации, которая преобразует входное значение в значение от нуля до положительной бесконечности. Если входное значение меньше или равно нулю, функция возвращает значение ноль, иначе функция возвращает входное значение.
  По умолчанию этот параметр имеет значение linear.
5. В поле Количество кодирующих блоков укажите количество кодирующих блоков.
  По умолчанию этот параметр имеет значение 1.
6. В поле Тип слоя перед выходным выберите один из следующих типов слоя, предшествующего выходному слою:
  - TimeDistributedDense (по умолчанию) – слой с полносвязной архитектурой.
  - GRU – слой с рекуррентной архитектурой.
Если вы выбрали нейросетевой элемент с Transformer-архитектурой, выполните следующие действия:
1. В поле Регуляризация в кодирующем блоке укажите коэффициент регуляризации в кодирующем блоке в виде десятичной дроби.
  По умолчанию этот параметр имеет значение 0.01.
2. В поле Количество голов внимания укажите количество голов внимания (англ. attention heads).
  По умолчанию этот параметр имеет значение 1.
3. В поле Количество кодирующих блоков укажите количество кодирующих блоков.
  По умолчанию этот параметр имеет значение 1.
4. В поле Множители для вычисления количества нейронов на слоях укажите через запятую без пробелов множители, при умножении которых на количество входных тегов будет рассчитано количество нейронов на слоях декодирующего блока.
В правом верхнем углу окна нажмите на кнопку Сохранить.

В начало

Добавление элемента ML-модели на основе диагностического правила

Чтобы добавить элемент ML-модели на основе диагностического правила:

В основном меню выберите раздел Модели.
В дереве активов рядом с группой Правила в составе ML-модели, к которой вы хотите добавить диагностическое правило, откройте вертикальное меню и выберите пункт Создать элемент.
Справа отобразится список параметров.
В поле Название укажите название диагностического правила.
В поле Описание укажите описание диагностического правила.
В блоке параметров Общие параметры элемента выполните следующие действия:
1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.
  По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.
2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.
  По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).
3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах в виде десятичной дроби.
4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
7. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.
Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать правило выполненным.
В блоке параметров Фильтрация по времени выполните следующие действия:
1. Нажмите на кнопку Добавить интервал.
2. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
  - Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.
    Вы можете указать только начало или окончание однократного интервала.
  - Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
3. Если требуется добавить еще один интервал, нажмите на кнопку Добавить интервал и выполните шаг 7b.
4. Если требуется удалить интервал, наведите курсор мыши на строку с нужным интервалом и нажмите на значок Удалить интервал ( ).
Вы можете добавить один или несколько временных интервалов. Если временной интервал не указан, то диагностическое правило применяется в каждом узле РИВС.
Если требуется добавить критерии поведения тегов, выполните следующие действия:
1. В блоке параметров Условия на теги нажмите на кнопку Условие.
2. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.
  Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.
  
  Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.
3. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
  - Выше – значение тега превышает определенный порог.
  - Ниже – значение тега опускается ниже определенного порога.
  - Растет – линия тренда значений тега растет.
  - Падает – линия тренда значений тега падает.
  - Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
  - Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
  - Залипание – выбранный тег передает одно и то же значение.
  - Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
4. В поле Окно укажите количество шагов РИВС.
5. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
  - Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
  - Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.
    По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.
    
    По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.
  - Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.
    По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.
  - Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.
    По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.
  - Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.
    По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.
    
    Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.
6. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 8b по 8e.
7. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
  - AND, если требуется отслеживать оба критерия во время работы диагностического правила.
  - OR, если требуется отслеживать один из заданных критериев во время работы диагностического правила.
Если требуется проверить, вызвало ли выполнение предварительного условия выполнение пост-условия в будущем узле РИВС, добавьте темпоральный оператор:
1. В блоке параметров Условия на теги нажмите на кнопку Пауза.
  Кнопка Пауза доступна после добавления хотя бы одного условия.
  
  Предварительным условием называется блок условий, предшествующий темпоральному оператору. Пост-условием называется блок условий, следующий за темпоральным оператором.
  
  Проверка блока предварительного условия проводится в текущем узле РИВС.
2. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
  - от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
  - до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).
  Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.
3. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
  - Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
  - Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.
  Результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия.
  
  Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг).
  
  Если проводится более одной проверки условия с помощью темпорального оператора, то предварительным условием для каждой следующей проверки темпорального условия является результат проверки предыдущего темпорального условия.
Выберите один из следующих логических операторов между блоками правила:
- AND, если требуется отслеживать критерии поведения тегов в обоих блоках во время работы диагностического правила.
- OR, если требуется отслеживать критерии поведения тегов одного из блоков во время работы диагностического правила.
В правом верхнем углу окна нажмите на кнопку Сохранить.

Новый элемент ML-модели отобразится в группе Правила в составе выбранной ML-модели в дереве активов.

Если в составе ML-модели есть только элементы на основе диагностических правил, ей будет присвоен статус Обучена. Вы можете запустить инференс для такой ML-модели. Если в составе ML-модели есть необученные нейросетевые элементы, перед запуском инференса их требуется обучить.

В начало

Изменение элемента ML-модели на основе диагностического правила

Вы можете изменить параметры элемента ML-модели на основе диагностического правила.

Чтобы изменить элемент ML-модели на основе диагностического правила:

В основном меню выберите раздел Модели.
В дереве активов выберите элемент на основе диагностического правила, который вы хотите изменить.
Справа отобразится список параметров.
В правом верхнем углу окна нажмите на кнопку Изменить.
В поле Название укажите новое название диагностического правила.
В поле Описание укажите новое описание диагностического правила.
Если требуется, в блоке параметров Общие параметры элемента выполните следующие действия:
1. В поле Период напоминания (сек.) укажите период в секундах, при достижении которого ML-модель сгенерирует повторный инцидент при сохранении аномального поведения в каждом узле РИВС.
  По умолчанию этот параметр имеет значение 0, что соответствует отсутствию напоминаний.
2. В поле Период подавления повторных срабатываний (сек.) укажите период в секундах, в течение которого ML-модель не регистрирует повторные инциденты от одного и того же элемента.
  По умолчанию этот параметр имеет значение 0 (повторные инциденты не подавляются).
3. В поле Шаг сетки (сек.) укажите период РИВС для элемента в секундах.
4. В раскрывающемся списке Статус инцидента выберите статус инцидента, который будет автоматически присвоен инцидентам, зарегистрированным элементом ML-модели.
5. В раскрывающемся списке Причина инцидента выберите причину инцидента, которая будет автоматически задана для инцидентов, зарегистрированных элементом ML-модели.
6. В поле Цвет точек-индикаторов инцидентов выберите цвет точек-индикаторов инцидентов, зарегистрированных элементом ML-модели, на графиках в разделах Мониторинг и История.
7. В поле Экспертное заключение укажите экспертное заключение, которое будет автоматически создано для инцидентов, зарегистрированных элементом ML-модели.
Если требуется, включите параметр Интерпретировать невозможность оценки условия как выполнение правила с помощью переключателя.
Если Kaspersky MLAD не может однозначно оценить выполнение критериев, заданных в блоках параметров Фильтрация по времени и Условия на теги, например, вследствие отсутствия наблюдений по тегам, то при включенном параметре программа будет считать правило выполненным.
Если требуется, в блоке параметров Фильтрация по времени выполните следующие действия:
1. В раскрывающемся списке Тип интервала выберите один из следующих типов временного интервала:
  - Однократный. При выборе этого типа интервала укажите дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными критериями.
    Вы можете указать только начало или окончание однократного интервала.
  - Повторяющийся. При выборе этого типа интервала укажите годы, даты, дни недели и интервал времени суток, в течение которого требуется периодически проверять входные данные в соответствии с заданными критериями.
2. Если требуется добавить еще один интервал, нажмите на кнопку Добавить интервал и выполните шаг 8a.
3. Если требуется удалить интервал, наведите курсор мыши на строку с нужным интервалом и нажмите на значок Удалить интервал ( ).
Вы можете добавить один или несколько временных интервалов. Если временной интервал не указан, то диагностическое правило применяется в каждом узле РИВС.
Если требуется изменить критерии поведения тегов, выполните следующие действия:
1. В раскрывающемся списке Тег выберите тег, для которого вы хотите добавить критерий поведения тега.
  Если требуется исключить использование выбранного критерия поведения из добавляемого блока условий, нажмите на кнопку NOT слева от выбранного тега. Надпись NOT в кнопке выделится жирным.
  
  Например, нажмите на кнопку NOT, если требуется добавить условие, в котором отсутствуют ступеньки с заданными параметрами.
2. В раскрывающемся списке Поведение выберите одно из следующих поведений тега, которое требуется отслеживать:
  - Выше – значение тега превышает определенный порог.
  - Ниже – значение тега опускается ниже определенного порога.
  - Растет – линия тренда значений тега растет.
  - Падает – линия тренда значений тега падает.
  - Без динамики – в линии тренда значений тега отсутствуют выраженные изменения.
  - Ступенька – в линии тренда выбранного тега наблюдаются резкие смещения вверх или вниз.
  - Залипание – выбранный тег передает одно и то же значение.
  - Разброс – вокруг линии тренда выбранного тега наблюдаются резкие изменения разброса значений.
3. В поле Окно укажите количество шагов РИВС.
4. В зависимости от значения выбранного для параметра Поведение выполните одно из следующих действий:
  - Если вы выбрали Выше или Ниже, в поле Порог укажите пороговое значение тега и минимальное количество выходов за пороговое значение в рамках отдельного окна в поле Срабатывание.
  - Если вы выбрали Растет, Падает или Без динамики, в поле Пороговый уклон укажите значение уклона тренда в процентах, при превышении которого тренд считается растущим или падающим, и интервал времени между соседними оценками тренда в поле Период оценки.
    По умолчанию параметр Пороговый уклон не задан. Если значение параметра не задано, Kaspersky MLAD определит направление тренда автоматически.
    
    По умолчанию параметр Период оценки имеет значение 1. При этом значении оценка тренда происходит в каждом узле РИВС.
  - Если вы выбрали Ступенька, в поле Порог изменения укажите минимальное значение, на которое может сместиться линия тренда, и выберите одно из следующих направлений изменения значений тега в раскрывающемся списке Направление: Любое, Вверх или Вниз.
    По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.
  - Если вы выбрали Залипание, в поле Значение укажите значение, которое должен передавать тег, и допустимый разброс значений тега в поле Разброс.
    По умолчанию параметр Значение не задан. Если значение параметра не задано, то любое повторяющееся значение тега вызывает срабатывание критерия.
  - Если вы выбрали Разброс, в поле Порог изменения укажите минимальное значение, на которое может измениться разброс значений тега вокруг линии тренда, и выберите одно из следующих направлений изменения разброса в раскрывающемся списке Направление: Любое, Увеличение, Уменьшение.
    По умолчанию параметр Порог изменения не задан. Если значение параметра не задано, Kaspersky MLAD определит его автоматически.
    
    Критерий поведения тега будет выполнен в момент увеличения и/или уменьшения разброса значения тега вокруг линии тренда.
5. Если требуется добавить критерий поведения тегов в блок условий, нажмите на значок плюса в нижней части блока условий и повторите шаги с 9a по 9d.
6. Если блок условий содержит более одного критерия поведения тегов, выберите один из следующих логических операторов между строками критериев:
  - AND, если требуется отслеживать оба критерия во время работы диагностического правила.
  - OR, если требуется отслеживать один из заданных критериев во время работы диагностического правила.
Если требуется изменить темпоральный оператор:
1. В поле Продолжительность (шаги) укажите следующие интервалы ожидания:
  - от – интервал между текущим узлом РИВС и первым будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (минимальный интервал ожидания).
  - до – интервал между текущим узлом РИВС и последним будущим узлом РИВС, в котором будет выполняться проверка блока пост-условия (максимальный интервал ожидания).
  Проверка блока пост-условия проводится в узлах РИВС между минимальным и максимальным интервалом ожидания.
2. В раскрывающемся списке Проверить выберите один из следующих групповых операторов:
  - Если требуется проверить выполнение критериев поведения тегов из блока пост-условия во всех узлах РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Все шаги.
  - Если требуется проверить выполнение критериев поведения тегов из блока пост-условия хотя бы в одном узле РИВС между минимальным и максимальным интервалом ожидания, выберите групповой оператор Любой шаг.
  Результат проверки критериев определяется в последнем узле максимального интервала ожидания. Если проверка блока предварительного условия в текущем узле РИВС дала отрицательный результат FALSE или неопределенный результат UNDEFINED, то это же значение будет результатом проверки блока пост-условия.
  
  Если проверка блока предварительного условия в текущем узле РИВС дала положительный результат TRUE, то проверка блока пост-условия проводится в каждом узле РИВС между минимальным и максимальным интервалом ожидания. Результат проверки определяется выполнением условия в зависимости от выбранного группового оператора (Все шаги или Любой шаг).
  
  Если проводится более одной проверки условия с помощью темпорального оператора, то предварительным условием для каждой следующей проверки темпорального условия является результат проверки предыдущего темпорального условия.
Выберите один из следующих логических операторов между блоками правила:
- AND, если требуется отслеживать критерии поведения тегов в обоих блоках во время работы диагностического правила.
- OR, если требуется отслеживать критерии поведения тегов одного из блоков во время работы диагностического правила.
В правом верхнем углу окна нажмите на кнопку Сохранить.

В начало

Удаление элемента ML-модели

При удалении элемента ML-модели Kaspersky MLAD также удаляет результаты работы выбранного элемента ML-модели.

Удаление элементов ML-моделей доступно системным администраторам и пользователям с правом Удаление моделей из группы прав Управление ML-моделями.

Чтобы удалить элемент ML-модели:

В основном меню выберите раздел Модели.
В дереве активов выберите элемент ML-модели, который вы хотите удалить.
Справа отобразится список параметров.
В правом верхнем углу окна нажмите на значок корзины ().
В открывшемся окне подтвердите удаление элемента ML-модели.

В начало