1

Определение целей и параметров проекта

Выбор объекта мониторинга, определение цели внедрения и критериев успешности. Выбор варианта развертывания Kaspersky MLAD, определение задач эксплуатации детектора на предприятии. Создание рабочей группы и подписание соглашений.

2

Изучение объекта внедрения

Обсуждение особенностей и проблемных ситуаций объекта с эксплуатирующим персоналом. Сбор технологических данных для обучения ML-модели. Разработка технического решения для подключения Kaspersky MLAD к потоку телеметрии на предприятии.

3

Пилотное тестирование

Создание, обучение и проверка в работе тестовых ML-моделей для подтверждения возможности целевого использования Kaspersky MLAD. Валидация результатов работы тестовых ML-моделей с участием эксперта со стороны заказчика.

4

Принятие решения о начале опытно-промышленной эксплуатации

Презентация результатов пилотного тестирования. Уточнение целей, задач и регламентов эксплуатации Kaspersky MLAD.

5

Ввод Kaspersky MLAD в опытно-промышленную эксплуатацию

Развертывание решения на объекте, подключение к потоку телеметрии. Организация рабочих мест пользователей. Обучение сотрудников заказчика работе с Kaspersky MLAD. Анализ обнаруженных в ходе эксплуатации аномалий и донастройка ML-моделей.

6

Сопровождение Kaspersky MLAD во время промышленной эксплуатации

Техническая поддержка программного обеспечения и пользователей. Консультации по донастройке (дообучению) или по созданию новых ML-моделей.

Этап 1. Определение целей и параметров проекта

Выбор объекта мониторинга, определение критериев успешности внедрения. Выбор варианта развертывания Kaspersky MLAD. Создание рабочей группы и подписание соглашений.

Выбор объекта и постановка задачи

Эффект от использования детектора Kaspersky MLAD достигается при выявлении им малозаметных аномалий. Это аномалии, при возникновении которых значения сигналов телеметрии не выходят за пределы заранее заданного нормального коридора и, соответственно, не приводят к срабатыванию тревоги в традиционных системах мониторинга.

Соответственно, чтобы достичь наибольшей эффективности детектора, на объекте внедрения следует конкретизировать существующие или предполагаемые проблемные ситуации или угрозы, которые не (своевременно) выявляются имеющимися средствами управления и контроля.

Внедрение Kaspersky MLAD должно быть нацелено на предотвращение (раннее обнаружение) этих проблемных ситуаций. Для оценки успешности внедрения следует сформулировать количественные критерии — статистические или экономические, — соотнесенные с вышеупомянутой целью.

Для работы Kaspersky MLAD требуется телеметрия со следующими характеристиками:
1

Объект мониторинга должен выполнять стационарный или циклический технологический процесс и/или генерировать события, отражающие исполнение устоявшихся регламентов или процедур.

2

Данные телеметрии должны давать достаточно полную картину функционирования объекта мониторинга. Помимо измеренных (вычисленных) значений, желательно передавать значения уставок, поданных команд и состояний оборудования. Общее число параметров: от нескольких десятков до нескольких тысяч.

3

Период измерений (обновления данных) для параметров — физических величин должен быть много меньше характерного событийного интервала.
[: Характерный событийный интервал — это экспертная оценка степени динамичности наблюдаемого процесса, а именно – отрезок времени, необходимый для того, чтобы накопленные в системе изменения можно было квалифицировать как сущностные (а не как случайные колебания или шумы).] Например, если характерный событийный интервал оценивается в 10 минут, то измерения должны поступать хотя бы раз в минуту. Минимальный возможный период измерений — порядка 20 мс.

4

Значения параметров должны быть привязаны ко времени, а время источников телеметрии должно быть синхронизировано между собой.

5

Для обучения ML-модели потребуется архив данных телеметрии за период от нескольких недель до 1-2 лет, в зависимости от частоты сбора данных, числа производственных режимов и сезонности работы объекта. Примерный объем данных: от 10 тыс. отсчетов времени, оптимально – от 100 тыс.

6

Данные в архиве, используемом для обучения ML-модели, не обязательно должны быть полностью очищены от аномалий. Достаточно того, что данные в целом описывают нормальную работу оборудования; наличие отдельных непродолжительных аномалий не препятствует обучению модели.

Пример потока данных телеметрии

Какой вариант развертывания Kaspersky MLAD вам подходит больше всего?

Во внутренней сети или в облаке?

Kaspersky MLAD обычно разворачивается на сервере на площадке заказчика, во внутренней сети предприятия. Размещение детектора на облачных ресурсах также возможно, если политика и технические возможности заказчика позволяют доставлять поток телеметрии в соответствующе облако.

В любом случае Kaspersky MLAD как в процессе установки, так и во время своей работы взаимодействует только с корпоративными информационными системами и персоналом заказчика и не требует подключения к Интернету.

Отдельно или совместно с Kaspersky Industrial CyberSecurity for Networks?

Kaspersky MLAD является самостоятельным решением и имеет встроенную поддержку протоколов OPC UA, MQTT, AMQP и CEF для приема данных телеметрии и событий.

В случае, когда на предприятии используются другие, в том числе — проприетарные, протоколы передачи технологических данных, Kaspersky MLAD устанавливается совместно с Kaspersky Industrial CyberSecurity for Networks. Последний, дополнительно к своей основной функции по обеспечению безопасности технологической сети, служит «переводчиком» для Kaspersky MLAD, так как поддерживает множество промышленных протоколов. Взаимодействие между Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks выполняется по защищенному протоколу gRPC: Kaspersky MLAD получает от Kaspersky Industrial CyberSecurity for Networks значения технологических параметров объекта мониторинга и отправляет обратно извещения об обнаруженных аномалиях.

Организация работы

Как будет использоваться Kaspersky MLAD?

До начала продуктивного внедрения Kaspersky MLAD необходимо определить регламент использования детектора на предприятии. Кому и в каком виде будут направляться извещения о обнаруженных аномалиях? Кто будет изучать аномалии и давать рекомендации? Как эти рекомендации будут доводиться до персонала? Как будут организованы рабочие места привлеченных специалистов? Ответы на эти и подобные им организационные вопросы влияют как на выбор технических решений при внедрении Kaspersky MLAD, так и на отдачу от эксплуатации детектора в будущем.

Кто войдет в рабочую группу по внедрению?

Для внедрения Kaspersky MLAD необходимо сформировать рабочую группу из специалистов «Лаборатории Касперского» или сертифицированного системного интегратора и экспертов со стороны предприятия (в зависимости от объекта внедрения и специфики задачи: технологи, операторы, инженеры АСУ ТП, IT-инженеры или специалисты службы безопасности).
Эксперты будут привлекаться для обсуждения поставленной перед Kaspersky MLAD задачи, консультаций по особенностям объекта внедрения и получаемых данных телеметрии, а также для оценки качества работы детектора аномалий.

Передача данных и допуски

Для обеспечения возможности работы специалистов внедрения с данными телеметрии заказчика, между «Лабораторией Касперского» или сертифицированным интегратором с одной стороны и предприятием (объектом внедрения) с другой стороны подписывается соглашение о неразглашении (NDA).

Необходимо согласовать способ безопасной передачи в «Лабораторию Касперского» или сертифицированному интегратору архива данных телеметрии, который будет использован для обучения тестовых ML-моделей на этапе пилотирования. Объем данных может достигать нескольких гигабайт. Данные передаются однократно, но возможно потребуется повторная передача отдельных блоков данных с целью уточнения, дополнения или исправления недочетов.

Для развертывания и настройки ПО Kaspersky MLAD на объекте мониторинга специалистам внедрения потребуется доступ к серверам, выделенным для установки Kaspersky MLAD. Возможность удаленного доступа к серверу по протоколам SSH и HTTPS позволит значительно ускорить внедрение. При невозможности организации удаленного доступа потребуется организовать физический допуск специалистов внедрения на объект.

Этап 2. Изучение объекта внедрения

Сбор технологических данных для обучения ML-модели. Разработка проекта подключения Kaspersky MLAD

Собираем архив данных телеметрии

Анализ исторических данных телеметрии объекта внедрения помогает решить следующие задачи:

  • сформировать общее представление о ходе и свойствах технологического процесса, что поможет подобрать наиболее эффективные параметры внедрения и рекомендовать архитектурв ML-моделей;
  • провести обучение тестовых ML-моделей на этапе пилотного тестирования;
  • сформировать требования к вычислительной инфраструктуре для сервера Kaspersky MLAD.

Исторические данные должны иметь точно такой же состав (набор параметров и частоту наблюдений), как и поток телеметрии, к котором детектор будет искать аномалии в продуктивном режиме. Данные собираются во время преимущественного нормального функционирования объекта, при этом наличие незначительного числа аномалий допустимо.

Объем и формат представления исторических данных согласуется на каждом объекте индивидуально. Желательно использование формата CSV.

Изучаем сведения об объекте

Кроме собственно архива телеметрии, желательно, чтобы специалистам по внедрению Kaspersky MLAD были предоставлены общие сведения об объекте (функциональные схемы, краткие описания и т.п.) и консультации экспертов по технологическим процессам, оборудованию объекта и составу передаваемых данных телеметрии.

Разрабатываем техническое решение для подключения Kaspersky MLAD

Учитывая свойства потока данных телеметрии, расположение источников данных, политику безопасности предприятия и различные технические факторы, определяются

  • точка подключения к источнику (источникам) данных;
  • протокол для приема данных и его параметры;
  • необходимость использования дополнительных конверторов протоколов и других вспомогательных средств;
  • требования к серверу (виртуальной машине) для установки Kaspersky MLAD;
  • место размещения сервера;
  • необходимость защиты канала передачи данных между источником данных и Kaspersky MLAD;
  • возможность организации удаленного доступа к серверу Kaspersky MLAD для настройки и сопровождения.

Планируются необходимые сетевые подключения для сервера.

Минимальные требования к серверу (виртуальной машине) Kaspersky MLAD

  • Процессор Intel Xeon, Intel Core i5 или выше, или аналог (необходима поддержка набора инструкций avx2)
  • Ядра CPU: 8
  • Оперативная память RAM: 32 ГБ
  • Жесткий диск SSD
  • Объем жесткого диска: от 200 ГБ
  • Графический процессор (GPU) не требуется

Требования к серверу уточняются при разработке технического решения.

Этап 3. Пилотное тестирование

Создание, обучение и проверка тестовых ML-моделей

Тестовые ML-модели разрабатываются для специально отобранного небольшого набора типовых агрегатов. Во время пилота определяются области применения различных видов аналитических процессоров, выстраивается общая схема предобработки и анализа данных в зависимости от поставленной задачи, характеристик объекта внедрения и свойств данных телеметрии.

Для обучения и проверки тестовых ML-моделей подключение к потоку телеметрии в реальном времени не обязательно, пилотное тестирование может проводиться оффлайн.

Для оценки результатов работы тестовых моделей привлекаются эксперты объекта внедрения, входящие в рабочую группу. Этот процесс — итеративный: тестовые модели при необходимости корректируются, обучаются и валидируются повторно.

На следующих этапах внедрения наработки пилотного тестирования будут использоваться в качестве основы для продуктивных моделей.

Этап 4. Принятие решения о начале опытно-промышленной эксплуатации

На этом этапе проводится презентация результатов пилотного тестирования. С учетом проделанной работы и вновь выявленных обстоятельств уточняются цели, задачи внедрения и регламенты будущей промышленной эксплуатации детектора аномалий. Принимается решение о развертывании Kaspersky MLAD на предприятии, его подключении к потокам телеметрии реального времени и начале опытно-промышленной эксплуатации.

Этап 5. Ввод Kaspersky MLAD в опытно-промышленную эксплуатацию

Развертывание решения на объекте. Организация рабочих мест и обучение пользователей. Анализ обнаруженных аномалий и донастройка ML-моделей.

Развертывание Kaspersky MLAD в сети предприятия и подключение к потоку данных телеметрии происходит в соответствии с техническим решением, разработанным на этапе 2.

Совместно с заказчиком разрабатываются регламенты эксплуатации Kaspersky MLAD на предприятии. Организуются рабочие места пользователей. Проводится обучение пользователей работе с программой.

Совместно со специалистами предприятия создаются и запускаются продуктивные ML-модели, анализируются выявленные аномалии, формируется экспертная база знаний, собирается обратная связь от пользователей. При необходимости проводится донастройка или дообучение ML-моделей.

По результатам опытно-промышленной эксплуатации создаются отчет и презентация; при необходимости корректируются регламенты работы.

Этап 6. Сопровождение Kaspersky MLAD во время промышленной эксплуатации

Техническая поддержка программного обеспечения и консультации пользователей

В техподдержку программного обеспечения Kaspersky MLAD входит диагностика и устранение ошибок, предоставление и установка обновлений и новых версий ПО.

Если на объекте развернуты ML-модели, разработанные специалистами «Лаборатории Касперского» или сертифицированного интегратора в рамках Услуги построения модели, то для этих моделей оказывается услуга сопровождения. В сопровождение ML-модели входят отслеживание качества работы модели, донастройка и/или дообучение модели в случае изменений в технологическом процессе или после замены отдельных узлов оборудования.

За что нужно платить?

Стоимость внедрения и эксплуатации Kaspersky MLAD складывается из следующих составляющих:

  • лицензия на использование ПО Kaspersky MLAD: базовая лицензия или лицензия, включающая конструктор моделей. Лицензия может быть срочной (подписка) или бессрочной («вечной»);
  • техническая поддержка ПО (срочный обновляемый контракт);
  • разовая услуга развертывания и внедрения Kaspersky MLAD.

Если создание ML-моделей выполняется силами специалистов «Лаборатории Касперского» или авторизованного партнера, то дополнительно оплачиваются:

  • разовые услуги по построению и обучению ML-моделей;
  • (опционально) техническая поддержка ML-моделей, включая отслеживание качества их работы и дообучение в случае изменений параметров техпроцесса или замены отдельных узлов оборудования.

Заказчик может комбинировать оба способа создания ML-моделей: большинство моделей создавать самостоятельно в конструкторе моделей, а первые или наиболее сложные ML-модели — заказать у «Лаборатории Касперского» или авторизованного партнера.

Интеграция Kaspersky MLAD со сторонней системой по нестандартному API, если таковая потребуется (например, для передачи извещений об аномалиях в существующую на объекте информационную систему), оценивается и предоставляется как отдельная услуга.

При установке ПО Kaspersky MLAD на объекте внедрения, соответствующая инфраструктура (сервер или виртуальная машина, подключение к сети и маршрутизация трафика) предоставляется заказчиком или развертывается интегратором в рамках отдельной услуги.

Если у вас остались вопросы или вы хотите обсудить сотрудничество — воспользуйтесь формой обратной связи






    Этот сайт защищён с помощью reCAPTCHA корпорации Google. Политика конфиденциальности и условия использования.