【digiLogs 勇者指南】10.機器學習模型實作於異常檢測系統建置

上一篇【digiLogs 勇者指南】09.機器學習模型應用理論，介紹如何進行機器學習和預測分析的方法，今天我們將示範如何使用 digiLogs（以下簡稱 dgL）中，將針對預處理過的資料，達成進一步的機器學習和預測分析功能。

此處將針對上一章講到的模型類型『網路連線數異常識別』，進行操作示範案例，將資料套用至模型內設定網路連線數異常進行訓練，會按packet beats上監控主機名稱、IP進行分類訓練產出，過程中可輸入不同異常值。透過架設packet beats取得網路連線資料，針對資料進行預處理，將導入資料探勘實作半自動分析，進行分類及異常檢測的任務，試圖達成異常檢測系統規則的建立。

1.建立網路連線數異常識別機器學習模型

訓練網路連線數異常識別、異常的來源或訪問IP位置機器學習模型的資料使用 Packet-Beats，若需要匯入資料輔助機器模型建立，可匯入資料至dgl-packet-*。訓練機器模型 網路連線數異常，模組名稱為【host.name-host.ip】例如Localhost-127.0.0.1。

首先，先進入dgL『系統現況查詢 > 排程作業』按下建立，進入建立排程作業畫面。選擇大分類為『ML模型訓練』並且子項目選擇訓練模型類型(此處選擇 網路連線數異常)，按下『工作預約時間』，並且選擇預約時間，此處設定點擊時三分鐘後時間，設定好上述內容後按下『建立』。

前往『系統功能管理 > 機器學習模型維護』，查看是否有產生模型，若未產生的話稍後大約等待數分鐘模型建立完畢後再重新進入『系統功能管理 > 機器學習模型維護』。

2.與網路連線異常機器學習模型互動

進入前往『系統功能管理 > 機器學習模型維護』，此處目標為eadppsit-10.0.0.1，按下動作測試。

進入測試畫面，選擇上方『觀察模式 > 告警測試』修改任意時間段『連線數 』數值改為異常值(此處設定 1000000000)後，點擊最下方測試按鈕。

切換『觀察模式』為正確率計算，按下最下方測試按鈕；修改任意時間段 連線數數值改為異常值(此處設定 1000000000)後按下測試，當數值為異常值時，該模組會失效，並且降低準確率。

3.建立網路連線異常告警設定

與一般設定告警方式一樣，進入節點主控台於右側按編輯進入編輯模式，雙擊主機節點，按設定告警並建立告警設定。

設定告警名稱、風險等級、告警間隔，選擇告警規則為Agent-based，告警類型選擇為Network Analytics並選擇交易類型為Network Flow，告警規則選擇往路連線數異常填入主機名稱 此處填入easpaddsit與主機IP此處填入10.0.0.1，Duration 填入偵測的時間後按下下一步按紐，進入編輯寄送通知畫面，勾選Email通知並且輸入Email後按下 儲存。

將網路異常告警設定的告警狀態改為『啟用』查看使否有成功生效。

以上是關於 digiLogs v3.4版本有關機器學習模型的說明，希望能夠對您有所幫助，謝謝。