Выбор объекта внедрения, определение цели внедрения, выбор варианта развертывания Kaspersky MLAD, создание рабочей группы и подписание соглашений.
Сбор технологических данных для построения ML-модели и совместная разработка проекта подключения Kaspersky MLAD.
Построение ML-модели и формирование списка аномалий, обнаруженных ею в предоставленных ранее технологических данных. Подготовка оборудования.
Подключение его к потоку данных.
Обучение сотрудников заказчика работе с Kaspersky MLAD. Анализ обнаруженных в ходе эксплуатации аномалий и донастройка ML-модели.
Предоставление стандартной техподдержки. В случае изменения технологического процесса в качестве отдельной услуги предлагается построение новой ML-модели.
Выбор объекта внедрения, определение цели внедрения, выбор варианта развертывания Kaspersky MLAD, создание рабочей группы и подписание соглашений.
Удостоверьтесь, что на технологическом объекте, выбранном вами для внедрения Kaspersky MLAD, собираются данные телеметрии, и вы можете выгрузить историю телеметрии из базы данных АСУ ТП. Выгрузку можно осуществить в любом формате, например CSV или HDF5. История данных нужна для подготовки ML-модели.
Телеметрия должна содержать данные нескольких (от 10 до 10 000) параметров. Например, данные с индустриальных систем: показания датчиков, значения уставок, команды актуаторов.
Параметры должны иметь численные значения или приводиться к ним. Например: задвижка закрыта — 0, открыта — 1.
Значения параметров должны быть привязаны ко времени, должны изменяться во времени, а время источников телеметрии должно быть синхронизировано. Периодичность обновления данных должна находиться в пределах от 100 миллисекунд до 24 часов.
Значения различных параметров должны быть взаимосвязаны (физическими законами, логикой управления, логикой процессов и т.д.)
Среди параметров должны быть те, которые определяют суть технологического процесса, а также те, которые косвенно на них влияют.
Kaspersky MLAD обычно разворачивается на площадке заказчика.
На объекте внедрения нужно совместно с Kaspersky MLAD установить программу Kaspersky Industrial CyberSecurity for Networks и обеспечить возможность их связи. Kaspersky Industrial CyberSecurity for Networks будет анализировать зеркалированный трафик и отдавать теги в Kaspersky MLAD в онлайн-режиме. Kaspersky MLAD будет передавать обратно информацию об обнаруженных аномалиях. Kaspersky MLAD в данном варианте получает теги по протоколу gRPC с помощью коннектора Kaspersky Industrial CyberSecurity for Networks.
В данном случае Kaspersky MLAD устанавливается как самостоятельное решение и использует OPC UA Connector для получения данных по протоколу, который описан спецификацией OPC Unified Architecture (унифицированная архитектура OPC). Для этого на объекте внедрения должна быть возможность передавать теги от АСУ ТП по протоколу OPC UA в онлайн-режиме.
Если вам не подходят типовые варианты развертывания, то специалисты внедрения Kaspersky MLAD могут предложить иные варианты развертывания. Kaspersky MLAD поддерживает прием и работу телеметрии от IoT-устройств. Также с помощью входящего в комплект компонента HTTP Connector можно настроить регламентную выгрузку тегов в виде CSV-файлов из SCADA Historian DB по протоколу HTTP (например, скрипт, выгружающий данные раз в час или раз в минуту).
Для внедрения Kaspersky MLAD необходимо сформировать рабочую группу из наших специалистов внедрения Kaspersky MLAD и ваших специалистов по технологическим процессам (технологов, операторов), инженеров АСУ ТП, IT-инженеров и специалистов службы безопасности. В рабочую группу следует выбрать специалистов, уполномоченных принимать решения. При развертывании совместно с Kaspersky Industrial CyberSecurity for Networks важно включить в рабочую группу специалистов по внедрению этого решения.
Для успешного внедрения важно предусмотреть каналы связи между членами рабочей группы и согласовать условия допуска специалистов внедрения Kaspersky MLAD на объект внедрения. Каналы связи должны поддерживать передачу больших объемов данных (гигабайты, например история данных с АСУ ТП). Специалистам внедрения нужен будет физический доступ к серверам Kaspersky MLAD. Возможность удаленного доступа к серверам Kaspersky MLAD по протоколу SSH позволит ускорить внедрение.
Также на первом этапе подписывается соглашение о конфиденциальности (NDA), лицензионный договор и договор об услуге построения ML-модели.
Сбор технологических данных для построения ML-модели. Разработка проекта подключения Kaspersky MLAD
В основе Kaspersky MLAD лежит искусственная нейронная сеть. Эту нейросеть необходимо обучить на истории данных телеметрии с объекта внедрения и задать параметры ее функционирования — построить ML-модель. Перед построением ML-модели специалисты по внедрению Kaspersky MLAD должны определить ключевые теги в данных телеметрии и подготовить обучающую выборку. Для этого им потребуется консультация специалистов по технологическим процессам объекта внедрения и следующая информация:
Kaspersky MLAD представляет собой набор docker-контейнеров, развернутых на сервере (подробнее см. «Технологии»). Доступ пользователей к Kaspersky MLAD осуществляется через веб-интерфейс. На этом этапе нужно определить площадку размещения сервера, проработать выбранный вариант развертывания Kaspersky MLAD и подготовить оборудование и инфраструктуру объекта внедрения в соответствии с требованиями Kaspersky MLAD.
В сети должен присутствовать NTP-сервер точного времени. Он должен быть доступен для Kaspersky MLAD.
Если вы хотите использовать возможность оповещения об обнаружении аномалии через сообщения электронной почты, то в сети должен присутствовать SMTP-сервер. Kaspersky MLAD должен иметь возможность связи с ним.
Если вы выбрали вариант развертывания Kaspersky MLAD совместно с Kaspersky Industrial CyberSecurity for Networks, то во время установки Kaspersky MLAD вам понадобится полностью определенное имя домена (FQDN) сервера, на котором установлен Kaspersky Industrial CyberSecurity for Networks. Этот сервер должен корректно разрешаться с компьютера, на котором установлена система Kaspersky MLAD.
Если вы выбрали вариант отдельного развертывания Kaspersky MLAD, то сервер Kaspersky MLAD должен иметь возможность получить теги от АСУ ТП по протоколу OPC UA в онлайн-режиме.
Ubuntu 18.04 LTS
Для работы с веб-интерфейсом Kaspersky MLAD компьютер оператора должен удовлетворять следующим минимальным требованиям
При выполнении перечисленных выше требований к компьютеру оператора в разделе Мониторинг корректно отображаются до 10 графиков с прогнозами (например, для пресета, состоящего из 10 тегов).
Построение ML-модели и формирование списка аномалий, обнаруженных ею в предоставленных ранее технологических данных. Подготовка оборудования
Для построения ML-модели специалисты внедрения Kaspersky MLAD должны подготовить обучающую выборку данных телеметрии: отсеять шум, выбрать наиболее существенные для детектирования аномалий теги, составить правила масштабирования и приведения данных к необходимой для нейросети форме. Здесь могут быть выявлены недостатки в предоставленных для обучения нейросети данных телеметрии. Может понадобиться помощь ваших специалистов для получения более полной выборки данных.
В процессе построения ML-модели также может понадобиться помощь ваших специалистов по технологическим процессам для совместного разбора найденных ML-моделью аномалий в данных обучающей выборки.
Помимо построения ML-модели, на этом этапе происходит подготовка оборудования и инфраструктуры к развертыванию Kaspersky MLAD.
Развертывание сервера Kaspersky MLAD на объекте внедрения, подключение его к потоку данных
Развертывание происходит в соответствии с проектом подключения Kaspersky MLAD. Информационная сеть, оборудование и инфраструктура должны быть подготовлены в соответствии с проектом подключения Kaspersky MLAD.
Для успешного развертывания необходимо предоставить специалистам внедрения Kaspersky MLAD физический доступ на площадку размещения сервера. Возможность удаленного доступа к серверу Kaspersky MLAD по протоколу SSH позволит ускорить внедрение.
На этом этапе понадобится участие ваших IT-специалистов и специалистов по технологическим процессам для решения возможных проблем с инфраструктурой и поступлением телеметрии к Kaspersky MLAD.
По результатам развертывания проводятся испытания Kaspersky MLAD, после чего Kaspersky MLAD подключается к онлайн-потоку телеметрии.
Обучение сотрудников заказчика работе с Kaspersky MLAD. Анализ обнаруженных в ходе эксплуатации аномалий и донастройка ML-модели
На этом этапе мы формируем программу испытаний для вводного периода работы Kaspersky MLAD, обучаем технологов и операторов работе с Kaspersky MLAD, совместно с технологами анализируем выявленные аномалии и презентуем результаты анализа. По результатам анализа проводим тонкую настройку ML-модели.
Предоставление стандартной техподдержки. В случае изменения технологического процесса в качестве отдельной услуги предлагается построение новой ML-модели
Работы по сопровождению Kaspersky MLAD могут оказываться как с выездом специалистов «Лаборатории Касперского» или интегратора на объект внедрения, так и удалённо, например, по протоколу SSH. В процессе этих работ понадобятся логи Kaspersky MLAD и избранные выборки данных телеметрии.
В случае существенной перестройки технологического процесса на объекте внедрения или перевода объекта внедрения в другой режим работы может понадобиться построение новой ML-модели. Услуга построения новой ML-модели предоставляется отдельно.