Определение целей и параметров проекта
Выбор объекта мониторинга, определение цели внедрения и критериев успешности. Выбор варианта развертывания Kaspersky MLAD, определение задач и порядка эксплуатации детектора на предприятии. Создание рабочей группы и подписание соглашений.
Изучение объекта внедрения
Обсуждение особенностей и проблемных ситуаций объекта с эксплуатирующим персоналом. Сбор технологических данных для обучения ML-модели. Разработка проекта подключения Kaspersky MLAD к потоку телеметрии на этапе внедрения.
Построение и обучение ML-модели
Разработка архитектуры ML-модели, обучение нейронных сетей, разработка диагностических правил. Валидация ML-модели на исторических данных с участием эксперта со стороны заказчика.
Принятие решения о начале опытно-промышленной эксплуатации
Презентация ML-модели и результатов ее валидации. Уточнение целей, задач и регламентов эксплуатации Kaspersky MLAD.
Ввод Kaspersky MLAD в опытно-промышленную эксплуатацию
Развертывание решения на объекте, подключение к потоку телеметрии. Организация рабочих мест пользователей. Обучение сотрудников заказчика работе с Kaspersky MLAD. Анализ обнаруженных в ходе эксплуатации аномалий и донастройка ML-модели.
Сопровождение Kaspersky MLAD во время промышленной эксплуатации
Техподдержка программного обеспечения и ML-модели. Донастройка и/или дообучение модели в случае изменений в технологическом процессе или после замены отдельных узлов оборудования.
Этап 1. Определение целей и параметров проекта
Выбор объекта мониторинга, определение критериев успешности внедрения. Выбор варианта развертывания Kaspersky MLAD. Создание рабочей группы и подписание соглашений.
Выбор объекта и постановка задачи
Эффект от использования детектора Kaspersky MLAD достигается при выявлении им малозаметных аномалий. Это аномалии, при возникновении которых значения сигналов телеметрии не выходят за пределы заранее заданного нормального коридора и, соответственно, не приводят к срабатыванию тревоги в традиционных системах мониторинга.
Соответственно, чтобы достичь наибольшей эффективности детектора, на объекте внедрения следует конкретизировать существующие или предполагаемые проблемные ситуации или угрозы, которые не (своевременно) выявляются имеющимися средствами управления и контроля.
Внедрение Kaspersky MLAD должно быть нацелено на предотвращение (раннее обнаружение) этих проблемных ситуаций. Для оценки успешности внедрения следует сформулировать количественные критерии — статистические или экономические, — соотнесенные с вышеупомянутой целью.
Для работы Kaspersky MLAD требуется телеметрия со следующими характеристиками:
Объект мониторинга должен выполнять стационарный или циклический (не обязательно периодический) технологический процесс и/или генерировать события, отражающие исполнение устоявшихся регламентов или процедур.
Данные телеметрии должны давать достаточно полную картину функционирования объекта мониторинга. Помимо измеренных (вычисленных) значений, желательно передавать значения уставок, поданных команд и состояний оборудования. Общее число параметров: от нескольких десятков до нескольких тысяч.
Период измерений (обновления данных) для параметров — физических величин должен быть много меньше характерного событийного интервала.
Минимальный возможный период измерений — порядка 20 мс.
Значения параметров должны быть привязаны ко времени, а время источников телеметрии должно быть синхронизировано между собой.
Для обучения ML-модели потребуется архив данных телеметрии за период от нескольких дней до нескольких месяцев, в зависимости от частоты сбора данных, числа производственных режимов и сезонности работы объекта. Примерный объем данных: 100-500 тыс. наблюдений для одного режима (сезона).
Пример потока данных телеметрии
Какой вариант развертывания Kaspersky MLAD вам подходит больше всего?
Во внутренней сети или в облаке?
Kaspersky MLAD обычно разворачивается на сервере на площадке заказчика, во внутренней сети предприятия. Размещение детектора на облачных ресурсах также возможно, если политика и технические возможности заказчика позволяют доставлять поток телеметрии в соответствующе облако.
В любом случае Kaspersky MLAD во время своей работы взаимодействует только с корпоративными информационными системами и персоналом заказчика и не требует подключения к Интернету.
Отдельно или совместно с Kaspersky Industrial CyberSecurity for Networks?
Kaspersky MLAD является самостоятельным решением и имеет встроенную поддержку протоколов OPC UA, MQTT, AMQP и CEF для приема данных телеметрии и событий.
В случае, когда на предприятии используются другие, в том числе — проприетарные, протоколы передачи технологических данных, Kaspersky MLAD устанавливается совместно с Kaspersky Industrial CyberSecurity for Networks. Последний, дополнительно к своей основной функции по обеспечению безопасности технологической сети, служит «переводчиком» для Kaspersky MLAD, так как поддерживает множество промышленных протоколов. Взаимодействие между Kaspersky MLAD и Kaspersky Industrial CyberSecurity for Networks выполняется по защищенному протоколу gRPC: Kaspersky MLAD получает от Kaspersky Industrial CyberSecurity for Networks значения технологических параметров объекта мониторинга и отправляет обратно извещения об обнаруженных аномалиях.
Организация работы
Как будет использоваться Kaspersky MLAD?
Еще до начала внедрения Kaspersky MLAD необходимо определить регламент использования детектора на предприятии. Кому и в каком виде будут направляться извещения о обнаруженных аномалиях? Кто будет изучать аномалии и давать рекомендации? Как эти рекомендации будут доводиться до персонала? Как будут организованы рабочие места привлеченных специалистов? Ответы на эти и подобные им организационные вопросы влияют как на выбор технических решений при внедрении Kaspersky MLAD, так и на отдачу от эксплуатации детектора в будущем.
Кто войдет в рабочую группу по внедрению?
Для внедрения Kaspersky MLAD необходимо сформировать рабочую группу из специалистов Лаборатории Касперского или сертифицированного системного интегратора и экспертов со стороны предприятия (в зависимости от объекта внедрения и специфики задачи: технологи, операторы, инженеры АСУ ТП, IT-инженеры или специалисты службы безопасности).
Эксперты будут привлекаться для обсуждения поставленной перед Kaspersky MLAD задачи, консультаций по особенностям объекта внедрения и получаемых данных телеметрии, а также для оценки качества работы детектора аномалий.
Передача данных и допуски
Для обеспечения возможности работы специалистов внедрения с данными телеметрии заказчика, между «Лабораторией Касперского» или сертифицированным интегратором с одной стороны и предприятием (объектом внедрения) с другой стороны подписывается соглашение о неразглашении (NDA).
Необходимо согласовать способ безопасной передачи в «Лабораторию Касперского» или сертифицированному интегратору архива данных телеметрии, который будет использован для обучения детектора аномалий. Объем данных может достигать нескольких гигабайт. Данные передаются однократно, но возможно потребуется повторная передача отдельных блоков данных с целью уточнения, дополнения или исправления недочетов.
Для развертывания и настройки ПО Kaspersky MLAD для работы в продуктивном режиме на объекте мониторинга специалистам внедрения потребуется доступ к серверам, выделенным для установки Kaspersky MLAD. Возможность удаленного доступа к серверу по протоколу SSH позволит ускорить внедрение. При невозможности организации удаленного доступа потребуется организовать физический допуск специалистов внедрения на объект.
За что нужно платить?
Стоимость внедрения Kaspersky MLAD складывается из:
- однократной оплаты услуги построения и обучения модели, в которую также входит и развертывание Kaspersky MLAD на объекте внедрения;
- годовой или трехгодичной подписки на Kaspersky MLAD, в которую входит лицензия на использование ПО, техподдержка ПО (обновления, исправления), а также сопровождение ML-модели, включая отслеживание качества ее работы и дообучение в случае изменений параметров техпроцесса или замены отдельных узлов оборудования.
Интеграция Kaspersky MLAD со сторонней системой по нестандартному API, если таковая потребуется (например, для передачи извещений об аномалиях в существующее АРМ оператора объекта), оценивается и выполняется как отдельная услуга.
При установке ПО Kaspersky MLAD на объекте внедрения, соответствующая инфраструктура (сервер или виртуальная машина, подключение к сети и маршрутизация трафика) предоставляется заказчиком или развертывается интегратором в рамках отдельной услуги.
Этап 2. Изучение объекта внедрения
Сбор технологических данных для обучения ML-модели. Разработка проекта подключения Kaspersky MLAD
Собираем архив данных телеметрии
Анализ исторических данных телеметрии объекта внедрения помогает решить следующие задачи:
- сформировать у специалистов, создающих ML-модель, общее представление о ходе и свойствах технологического процесса, что поможет подобрать наиболее эффективную архитектуру ML-модели;
- провести обучение ML-модели;
- сформировать требования к вычислительной инфраструктуре для сервера Kaspersky MLAD.
Исторические данные должны иметь точно такой же состав (набор параметров и частоту наблюдений), как и поток телеметрии, к котором детектор будет искать аномалии в продуктивном режиме. Данные собираются во время преимущественного нормального функционирования объекта, при этом наличие незначительного числа аномалий допустимо.
Объем и формат представления исторических данных согласуется на каждом объекте индивидуально. Желательно использование формата CSV или HDF.
Изучаем сведения об объекте
Кроме собственно архива телеметрии, желательно, чтобы специалистам по внедрению Kaspersky MLAD были предоставлены общие сведения об объекте (функциональные схемы, краткие описания и т.п.) и консультации экспертов по технологическим процессам, оборудованию объекта и составу передаваемых данных телеметрии.
Разрабатываем и утверждаем проект подключения Kaspersky MLAD
Учитывая интенсивность потока данных телеметрии, расположение источников данных, политику безопасности предприятия и различные технические факторы, определяется место размещения сервера (виртуальной машины) для Kaspersky MLAD, проектируются вычислительная инфраструктура и необходимые сетевые подключения для сервера.
Минимальные требования к серверу (виртуальной машине) Kaspersky MLAD
Минимальные аппаратные требования
- Поддержка набора инструкций AVX на процессоре CPU
- Ядра vCPU: рекомендуется 4, минимум 2
- Оперативная память RAM: 32 ГБ
- Дисковая память: 1 ТБ
- Операционная система: Linux Ubuntu
Для работы сервера Kaspersky MLAD в режиме обнаружения аномалий специализированный графический процессор (GPU) не требуется.
Этап 3. Построение и обучение ML-модели
Разработка архитектуры ML-модели, обучение нейронных сетей, разработка диагностических правил. Валидация ML-модели
В зависимости от поставленной задачи, характеристик объекта внедрения и свойств данных телеметрии, специалисты Лаборатории Касперского или сертифицированного интегратора разрабатывают архитектуру ML-модели.
На этом этапе определяются области применения предиктивных детекторов, диагностических правил и/или процессора событий, выстраивается общая схема взаимодействия элементов ML-модели.
Конструируются нейронные сети для предиктивных детекторов и процессора событий и подбираются их настройки (гиперпараметры).
Созданная ML-модель проходит стадию обучения. В процессе обучения нейронные сети анализируют исторический архив телеметрии, выявляют в массиве данных скрытые закономерности и подстраиваются под конкретный объект так, что получают возможность предсказывать его поведение.
Обучение проводится в датацентре Лаборатории Касперского или сертифицированного интегратора при помощи специализированных процессоров (GPU), что позволяет существенно сократить сроки построения ML-модели.
Адекватность и качество работы детектора с обученной ML-моделью проверяется на тех же самых или других исторических данных. Для оценки работы модели привлекаются эксперты объекта внедрения, входящие в рабочую группу.
Этап 4. Принятие решения о начале опытно-промышленной эксплуатации
На этом этапе выполняется презентация ML-модели и результатов ее валидации экспертами предприятия. С учетом проделанной работы и вновь выявленных обстоятельств уточняются цели, задачи внедрения и регламенты будущей промышленной эксплуатации Kaspersky MLAD. Принимается решение о развертывании детектора на предприятии, его подключении к потокам телеметрии реального времени и начале опытно-промышленной эксплуатации.
Этап 5. Ввод Kaspersky MLAD в опытно-промышленную эксплуатацию
Развертывание решения на объекте. Организация рабочих мест и обучение пользователей. Анализ обнаруженных аномалий и донастройка ML-модели.
Развертывание Kaspersky MLAD в сети предприятия и подключение к потоку данных телеметрии происходит в соответствии с проектом, разработанным на этапе 2.
В соответствии с принятыми регламентами эксплуатации Kaspersky MLAD на предприятии (этапы 1, 4) организуются рабочие места пользователей — операторов и экспертов. Проводится обучение пользователей работе с детектором.
Совместно со специалистами предприятия анализируются выявленные аномалии, формируется экспертная база знаний, собирается обратная связь от пользователей. При необходимости проводится донастройка или дообучение ML-модели.
По результатам опытно-промышленной эксплуатации создаются отчет и презентация; при необходимости корректируются регламенты работы.
Этап 6. Сопровождение Kaspersky MLAD во время промышленной эксплуатации
Техподдержка программного обеспечения и ML-модели
В техподдержку программного обеспечения Kaspersky MLAD входит диагностика и устранение ошибок, предоставление и установка обновлений и новых версий ПО.
В сопровождение ML-модели входят отслеживание качества работы модели, донастройка и/или дообучение модели в случае изменений в технологическом процессе или после замены отдельных узлов оборудования.