О сдвиге концепций

На сегодняшний день самой большой проблемой в обнаружении вредоносных программ на основе машинного обучения является поддержание высоких показателей обнаружения в процессе эволюции образцов. Хотя в многочисленных работах были предложены детекторы дрейфа и конвейеры с поддержкой переобучения, работающие с разумной эффективностью, ни один из этих детекторов и конвейеров в настоящее время не поддается объяснению, что ограничивает наше понимание эволюции угроз и эффективности детектора. Несмотря на предыдущие работы, в которых была представлена таксономия событий дрейфа концепций, до этой работы не существовало практического решения для объяснимого обнаружения дрейфа в конвейерах вредоносных программ. Наша идея изменить этот сценарий заключается в разделении знаний классификатора на два: (1) знания о границе между вредоносным ПО (M) и полезным ПО (G); и (2) знания о концепции классов (M и G). Таким образом, мы можем понять, изменилась ли концепция или граница классификации, измеряя изменения в этих двух областях. Мы реализуем этот подход на практике, развернув конвейер с метаклассификаторами для измерения этих подклассов основного детектора вредоносных программ. Мы демонстрируем с помощью более 5 тысяч прогонов экспериментов жизнеспособность нашего решения, (1) иллюстрируя, как оно объясняет каждую точку дрейфа в наборах данных DREBIN и AndroZoo, и (2) как детектор объяснимого дрейфа выполняет онлайн-переобучение для достижения более высоких скоростей и требует меньшего количества точек переобучения. - Towards Explainable Drift Detection and Early Retrain in ML-based Malware Detection Pipelines

Интересная работа по практическому определению сдвига концепций в моделях ML