Comparthing Logo
anomāliju noteikšanauz noteikumiem balstīta brīdināšanažurnālu uzraudzībaaiopsnovērojamībamākslīgais intelekts

Anomāliju noteikšana žurnālos salīdzinājumā ar uz noteikumiem balstītu brīdināšanu

Anomāliju noteikšana žurnālos izmanto mašīnmācīšanos, lai automātiski pamanītu neparastus modeļus, savukārt uz noteikumiem balstīta brīdināšana balstās uz iepriekš definētiem nosacījumiem, lai aktivizētu paziņojumus. Abas pieejas palīdz komandām uzraudzīt sistēmas, taču tās ievērojami atšķiras pēc elastības, trokšņa līmeņa un tā, kā tās apstrādā nezināmus draudus.

Iezīmes

  • Anomāliju noteikšana apgūst normālu uzvedību un atzīmē novirzes, savukārt noteikumi uztver tikai to, ko esat skaidri definējis.
  • Noteikumi ir caurspīdīgi un viegli auditējami, taču anomāliju noteikšana var atklāt draudus, par kuriem neviens nebija iedomājies rakstīt noteikumus.
  • Uz noteikumiem balstītām sistēmām ir nepieciešami pastāvīgi manuāli atjauninājumi, mainoties videi, savukārt mašīnmācīšanās modeļi var pielāgoties, pārkvalificējoties.
  • Lielākajā daļā ražošanas vides ir izdevīgi apvienot abas pieejas, nevis izvēlēties tikai vienu.

Kas ir Anomāliju noteikšana žurnālos?

Mašīnmācīšanās pieeja, kas identificē neparastus modeļus vai uzvedību žurnāldatos, nepaļaujoties uz iepriekš definētiem noteikumiem.

  • Izmanto statistiskos modeļus un algoritmus, piemēram, klasterizāciju, neironu tīklus un izolācijas mežus, lai atzīmētu novirzes no normālas uzvedības.
  • Var atklāt iepriekš nezināmus draudus, jo tas nav atkarīgs no parakstiem vai ar roku rakstītiem nosacījumiem.
  • Nepieciešams apmācības periods, kura laikā sistēma apgūst, kā izskatās “normāls” stāvoklis noteiktā vidē.
  • Parasti tiek izmantots SIEM platformās, AIOps rīkos un mākoņa novērošanas pakalpojumos, piemēram, Datadog un Splunk.
  • Bieži vien ģenerē varbūtības rādītājus, nevis bināros brīdinājumus, ļaujot komandām noteikt prioritātes pēc nopietnības pakāpes.

Kas ir Uz noteikumiem balstīta brīdināšana?

Tradicionāla uzraudzības pieeja, kas aktivizē brīdinājumus, kad žurnāla ieraksti atbilst iepriekš definētiem modeļiem vai sliekšņiem.

  • Darbojas ar inženieru izstrādātiem skaidri definētiem nosacījumiem, piemēram, “brīdinājums, ja kļūdu skaits 5 minūšu laikā pārsniedz 100”.
  • Ir bijis uzraudzības mugurkauls kopš syslog un SNMP balstītu rīku pirmsākumiem.
  • Ražo deterministiskus rezultātus, kas nozīmē, ka viena un tā pati ievade vienmēr dod vienu un to pašu brīdinājuma lēmumu.
  • Labi darbojas atbilstības pārbaudēm un labi saprotamiem kļūmju režīmiem, kas nemainās bieži.
  • Tādi rīki kā Nagios, Zabbix un tradicionālās Splunk meklēšanas lielā mērā balstās uz šo pieeju.

Salīdzinājuma tabula

Funkcija Anomāliju noteikšana žurnālos Uz noteikumiem balstīta brīdināšana
Noteikšanas metode Mašīnmācīšanās un statistiskā modelēšana Iepriekš definēti modeļi un sliekšņi
Novērš nezināmus draudus Jā, var atzīmēt jaunas anomālijas Nē, uztver tikai zināmus stāvokļus
Iestatīšanas sarežģītība Augstāks, nepieciešami apmācības dati un regulēšana Zemāk, vienkārši uzrakstiet noteikumu
Brīdinājuma troksnis Var būt augsts sākotnējās apmācības laikā Paredzams un konsekvents
Interpretējamība Bieži vien neskaidrs, nepieciešami skaidrojoši rīki Caurspīdīgs, noteikumu loģika ir redzama
Apkopes piepūle Periodiska pārkvalifikācija, mainoties uzvedībai Nepieciešami pastāvīgi noteikumu atjauninājumi
Vislabāk piemērots Dinamiskas vides ar mainīgiem draudiem Stabilas sistēmas ar zināmiem atteices režīmiem
Atbildes laiks Gandrīz reāllaikā ar straumēšanas modeļiem Reāllaikā, kad tiek apstrādāti žurnāli

Detalizēts salīdzinājums

Kā viņi patiesībā darbojas

Uz noteikumiem balstīta brīdināšana darbojas kā kontrolsaraksts. Inženieris uzraksta nosacījumu, un, kad žurnāla dati tam atbilst, tiek aktivizēts brīdinājums. Anomāliju noteikšana to apgriež otrādi: tā vietā, lai norādītu sistēmai, ko meklēt, jūs ļaujat tai iemācīties, kā izskatās normāli, un pēc tam atzīmējat visu, kas atšķiras. Praktiskā atšķirība ir tāda, ka noteikumiem ir nepieciešams iepriekš paredzēt problēmas, savukārt anomāliju noteikšana var atklāt pārsteigumus, par kuriem nekad neesat iedomājies uzrakstīt noteikumu.

Precizitāte un kļūdaini pozitīvi rezultāti

Noteikumi mēdz būt precīzi, bet neprecīzi. Noteikums, kas rakstīts vienai videi, var pārpludināt citu ar kļūdaini pozitīviem rezultātiem. Anomāliju noteikšanas modeļi pielāgojas kontekstam, tāpēc smaile, kas ir normāla ražošanas vidē, var tikt atzīmēta izmēģinājuma versijā. Tomēr agrīnajā apmācības fāzē šie modeļi bieži rada troksni, līdz tie stabilizējas. Daudzas komandas atklāj, ka abu pieeju apvienošana nodrošina vislabāko signāla un trokšņa attiecību.

Darbības pieskaitāmās izmaksas

Noteikumu rakstīšana un uzturēšana ir nebeidzams uzdevums. Katrs jauns pakalpojums, katras infrastruktūras izmaiņas, katrs jauns apdraudējums nozīmē vēl vienu noteikumu, kas jāpievieno vai jāatjaunina. Anomāliju noteikšana pārnes šo slogu uz modeļu apmācību un pārapmācību, ko var automatizēt, taču tai joprojām ir nepieciešama uzraudzība. Neviena no šīm pieejām nav īsti "iestati un aizmirsti", lai gan anomāliju noteikšana parasti labāk mērogojama lielās, strauji mainīgās vidēs.

Kad katra pieeja spīd

Uz noteikumiem balstīta brīdināšana izceļas regulētās vidēs, kur ir jāpierāda, ka ir ieviestas īpašas pārbaudes, un tādu labi saprotamu sistēmu kā datubāzu vai tīkla ierīču uzraudzībā. Anomāliju noteikšana izceļas mikropakalpojumu arhitektūrās, mākoņplatformās un drošības operācijās, kur uzbrucēji pastāvīgi maina taktiku. Lielākā daļa nobriedušu organizāciju izmanto abus: noteikumus zināmai atbilstības pārbaudei un SLA pārbaudēm, anomāliju noteikšanu visam pārējam.

Izmaksu un resursu apsvērumi

Uz noteikumiem balstītas sistēmas sākotnēji ir lētākas ieviest, jo tām nav nepieciešama apmācības infrastruktūra vai specializētas zināšanas. Anomāliju noteikšanai ir nepieciešamas investīcijas datu cauruļvados, modeļu glabāšanā un bieži vien grafiskajā procesorā vai specializētā skaitļošanas tehnoloģijā reāllaika secinājumu veikšanai. Tomēr laika gaitā tūkstošiem noteikumu uzturēšanas darbaspēka izmaksas var pārsniegt mašīnmācīšanās noteikšanas infrastruktūras izmaksas, īpaši lielā mērogā.

Priekšrocības un trūkumi

Anomāliju noteikšana žurnālos

Iepriekšējumi

  • + Notver nezināmus draudus
  • + Pielāgojas mainīgajai videi
  • + Samazina manuālu noteikumu rakstīšanu
  • + Mērogojams sarežģītām sistēmām

Ievietots

  • Augstākas sākotnējās iestatīšanas izmaksas
  • Necaurspīdīga lēmumu pieņemšana
  • Treniņu perioda troksnis
  • Nepieciešama mašīnmācīšanās pieredze

Uz noteikumiem balstīta brīdināšana

Iepriekšējumi

  • + Viegli saprotams
  • + Ātri izvietojams
  • + Deterministiskas izejas
  • + Lieliski piemērots atbilstības nodrošināšanai

Ievietots

  • Nepamana jaunus draudus
  • Augsta uzturēšanas slodze
  • Trausls dažādās vidēs
  • Slikti mērogojas ar sarežģītību

Biežas maldības

Mīts

Anomāliju noteikšana pilnībā aizstās uz noteikumiem balstītu brīdināšanu.

Realitāte

Praksē lielākā daļa organizāciju izmanto abus. Noteikumi apstrādā precīzi definētas pārbaudes, piemēram, atbilstību un SLA uzraudzību, savukārt anomāliju noteikšana aptver visu pārējo. Noteikumu aizstāšana ar visiem noteikumiem zaudētu caurspīdīgumu un paredzamību, kas vispār padara noteikumus vērtīgus.

Mīts

Uz noteikumiem balstīta brīdināšana ir novecojusi un novecojusi.

Realitāte

Noteikumi joprojām ir būtiski daudzos lietošanas gadījumos, īpaši regulētās nozarēs un zināmu kļūmju režīmu uzraudzībai. Šī pieeja ir vienkārša, auditējama un ātra. Mainīta ir tā, ka ar noteikumiem vien nepietiek modernai, dinamiskai infrastruktūrai.

Mīts

Anomāliju noteikšana vienmēr rada mazāk viltus pozitīvu rezultātu nekā noteikumi.

Realitāte

Apmācības fāzē anomāliju noteikšana bieži rada vairāk trokšņa nekā noteikumi. Pat pēc stabilizācijas modeļi var atzīmēt labdabīgas uzvedības izmaiņas kā anomālijas. Sliekšņu un atgriezeniskās saites cilpu regulēšana ir ļoti svarīga, lai saglabātu kļūdaini pozitīvo rezultātu biežumu pārvaldāmu.

Mīts

Lai izmantotu anomāliju noteikšanu, ir nepieciešama datu zinātnes komanda.

Realitāte

Daudzas modernas novērojamības platformas tagad piedāvā iebūvētu anomāliju noteikšanu, kas darbojas uzreiz pēc instalēšanas. Tādi rīki kā Datadog, New Relic un Splunk ir automatizējuši smago darbu, padarot to pieejamu bez īpašas mašīnmācīšanās komandas.

Mīts

Noteikumi vienmēr ir ātrāki nekā anomāliju noteikšana.

Realitāte

Lai gan noteikumi tiek novērtēti ātri, anomāliju noteikšana, izmantojot straumēšanas modeļus, var darboties arī reāllaikā. Latentuma atšķirība mūsdienu sistēmās bieži vien ir niecīga, īpaši, ja abas apstrādā žurnālus, izmantojot vienu un to pašu cauruļvadu.

Bieži uzdotie jautājumi

Kāda ir galvenā atšķirība starp anomāliju noteikšanu un uz noteikumiem balstītu brīdināšanu?
Anomāliju noteikšana izmanto mašīnmācīšanos, lai apgūtu, kā izskatās normāla žurnāla darbība, un atzīmē novirzes, savukārt uz noteikumiem balstīta brīdināšana tiek aktivizēta tikai tad, ja žurnāla dati atbilst nosacījumiem, ko cilvēks ir skaidri definējis. Galvenā atšķirība ir tā, ka anomāliju noteikšana var atklāt nezināmas problēmas, savukārt noteikumi atklāj tikai to, ko esat paredzējis.
Kura pieeja rada mazāk viltus pozitīvu rezultātu?
Tas ir atkarīgs no vides un regulēšanas. Labi uzrakstīti noteikumi var būt ļoti precīzi, taču tie bieži rada troksni, ja tos piemēro mainīgām sistēmām. Anomāliju noteikšana laika gaitā, modeļiem nobriestot, samazina viltus pozitīvos rezultātus, taču sākotnējās apmācības laikā tā var būt trokšņaina. Vislabākos rezultātus parasti dod abu apvienošana.
Vai anomāliju noteikšanu un uz noteikumiem balstītu brīdināšanu var izmantot kopā?
Pilnīgi noteikti, un lielākā daļa nobriedušu organizāciju rīkojas tieši tā. Noteikumi apstrādā atbilstības pārbaudes, SLA uzraudzību un zināmos kļūmju režīmus, savukārt anomāliju noteikšana aptver visu pārējo. Daudzas SIEM un novērošanas platformas atbalsta abas pieejas vienlaikus.
Vai anomāliju noteikšana ir dārgāka nekā uz noteikumiem balstīta brīdināšana?
Jā, uzreiz. Anomāliju noteikšanai ir nepieciešami ieguldījumi datu cauruļvados, modeļu apmācībā un dažreiz specializētā skaitļošanas tehnoloģijā. Tomēr pastāvīgās darbaspēka izmaksas, kas saistītas ar tūkstošiem noteikumu uzturēšanu, laika gaitā var pārsniegt mašīnmācīšanās infrastruktūras izmaksas, īpaši lielās vidēs.
Vai man ir nepieciešamas mašīnmācīšanās zināšanas, lai ieviestu anomāliju noteikšanu?
Ne obligāti. Daudzi mūsdienīgi uzraudzības rīki, piemēram, Datadog, Splunk, Dynatrace un New Relic, ietver iebūvētu anomāliju noteikšanu, kas darbojas bez pielāgota modeļa izstrādes. Pielāgotiem risinājumiem būs nepieciešams datu zinātnes atbalsts, taču arvien vairāk ir pieejamas standarta iespējas.
Cik ilgs laiks nepieciešams anomāliju noteikšanas modeļa apmācībai?
Apmācības ilgums ir atkarīgs no datu apjoma un sarežģītības, taču lielākajai daļai ražošanas sistēmu ir nepieciešamas vismaz vienas līdz divu nedēļu reprezentatīvi dati, lai izveidotu uzticamu bāzes līniju. Dažas platformas izmanto iepriekš apmācītus modeļus, kas ātri pielāgojas, savukārt pielāgotiem modeļiem var būt nepieciešams ilgāks kalibrēšanas periods.
Kādi žurnālu veidi vislabāk darbojas anomāliju noteikšanā?
Anomāliju noteikšana labi darbojas ar liela apjoma, strukturētiem žurnāliem, piemēram, lietojumprogrammu žurnāliem, infrastruktūras rādītājiem un drošības notikumiem. Jo konsekventāks ir žurnāla formāts un bagātāki ir vēsturiskie dati, jo labāk modelis var apgūt normālus modeļus un pamanīt novirzes.
Vai noteikumi joprojām ir noderīgi mūsdienu mākoņdatošanas vidēs?
Jā, noteikumi joprojām ir vērtīgi pat mākoņpakalpojumos. Tie ir īpaši noderīgi atbilstības auditam, SLA uzraudzībai un konkrētu zināmu problēmu noteikšanai. Izaicinājums ir to atjaunināšana, pakalpojumiem mērogojot un mainoties, un tieši šajā jomā anomāliju noteikšana tos labi papildina.
Kura pieeja ir labāka drošības uzraudzībai?
Drošības ziņā anomāliju noteikšanai ir nepārprotamas priekšrocības, jo uzbrucēji pastāvīgi attīsta savu taktiku. Noteikumi vien nepamana jaunus uzbrukumu modeļus, savukārt anomāliju noteikšana var atzīmēt neparastas pieteikšanās vietas, datu noplūdes mēģinājumus vai sānu pārvietošanos, ko neviens noteikums neparedzēja. Lielākā daļa drošības operāciju centru izmanto abus.
Vai uz noteikumiem balstīta brīdināšana var apstrādāt dinamiskos sliekšņus?
Daļēji. Tādi rīki kā Nagios un Zabbix atbalsta adaptīvos sliekšņus, kas pielāgojas atkarībā no diennakts laika vai vēsturiskiem modeļiem. Tomēr tie joprojām pamatā ir balstīti uz noteikumiem un ir ierobežoti, salīdzinot ar pilnīgu mašīnmācīšanās modeļu elastību, kas vienlaikus ņem vērā desmitiem mainīgo.

Spriedums

Izvēlieties uz noteikumiem balstītu brīdināšanu, ja nepieciešamas paredzamas, auditējamas pārbaudes zināmiem apstākļiem un stabila vide. Izvēlieties anomāliju noteikšanu, ja jūsu sistēmas ir sarežģītas un attīstās, un jums ir jāpamana neparedzami draudi vai kļūmes. Praksē spēcīgākās uzraudzības stratēģijas apvieno abus, izmantojot atbilstības noteikumus un anomāliju noteikšanu atklāšanai.

Saistītie salīdzinājumi

A/B testēšana modeļu rādīšanā salīdzinājumā ar viena modeļa ieviešanu

A/B testēšana modeļu apkalpošanā novirza trafiku starp konkurējošām modeļu versijām, lai novērtētu reālo veiktspēju, savukārt viena modeļa ieviešana visiem lietotājiem nosūta vienu modeli. Komandas izvēlas starp tiem, pamatojoties uz riska toleranci, trafika apjomu un statistiskās validācijas nepieciešamību pirms pilnīgas ieviešanas.

A/B testēšana satura izlaidumos salīdzinājumā ar vienreizējiem satura izlaidumiem

A/B testēšana satura izlaidumos ietver variāciju ieviešanu dažādiem auditorijas segmentiem un veiktspējas mērīšanu, savukārt vienreizēji satura izlaidumi vienlaikus nodrošina vienu versiju visiem lietotājiem. Katra pieeja atbilst dažādiem mērķiem, A/B testēšanai dodot priekšroku uz datiem balstītai optimizācijai, bet vienreizējiem izlaidumiem prioritāte ir ātrums un vienkāršība.

Adaptīvā izguve salīdzinājumā ar statisko izguves cauruļvadiem

Adaptīvā izguve dinamiski pielāgo, kā un kādu informāciju sistēma izgūst, pamatojoties uz vaicājumu, savukārt statiskās izguves cauruļvadi ievēro fiksētus noteikumus neatkarīgi no konteksta. Abas nodrošina modernas mākslīgā intelekta lietojumprogrammas, taču tās ievērojami atšķiras pēc elastības, izmaksām un precizitātes. Izvēle starp tām ir atkarīga no darba slodzes sarežģītības un budžeta.

Adaptīvais intelekts pret fiksētas uzvedības sistēmām

Šajā detalizētajā salīdzinājumā tiek pētītas adaptīvo intelekta dzinēju arhitektūras atšķirības, darbības ierobežojumi un reālā veiktspēja salīdzinājumā ar fiksētas uzvedības automatizācijas sistēmām. Mēs aplūkojam, kā sistēmas, kas nepārtraukti mācās no jauniem vides datiem, atbilst stingrām, paredzamām, uz noteikumiem balstītām sistēmām.

Aģentu apmācība vidēs salīdzinājumā ar bezsaistes datu kopu apmācību

Aģentu apmācība vidēs ietver mācīšanos, izmantojot reāllaika mijiedarbību ar simulētu vai fizisku vidi, savukārt bezsaistes datu kopu apmācība balstās uz iepriekš apkopotiem datiem bez papildu piekļuves videi. Abas pieejas apmāca mašīnmācīšanās modeļus, taču būtiski atšķiras tas, kā aģenti apkopo pieredzi un uzlabo veiktspēju.