Обсуждение условий успешного сотрудничества
Выбор объекта внедрения, определение цели внедрения, выбор варианта развертывания Kaspersky MLAD, создание рабочей группы и подписание соглашений.
Изучение объекта внедрения
Сбор технологических данных для построения ML-модели и совместная разработка проекта подключения Kaspersky MLAD.
Построение ML-модели для обнаружения аномалий
Построение ML-модели и формирование списка аномалий, обнаруженных ею в предоставленных ранее технологических данных. Подготовка оборудования.
Развертывание Kaspersky MLAD на объекте внедрения
Подключение его к потоку данных.
Ввод Kaspersky MLAD в эксплуатацию
Обучение сотрудников заказчика работе с Kaspersky MLAD. Анализ обнаруженных в ходе эксплуатации аномалий и донастройка ML-модели.
Сопровождение Kaspersky MLAD
Предоставление стандартной техподдержки. В случае изменения технологического процесса в качестве отдельной услуги предлагается построение новой ML-модели.
Этап 1. Обсуждение условий успешного сотрудничества
Выбор объекта внедрения, определение цели внедрения, выбор варианта развертывания Kaspersky MLAD, создание рабочей группы и подписание соглашений.
Есть ли на выбранном технологическом объекте необходимые данные?
Удостоверьтесь, что на технологическом объекте, выбранном вами для внедрения Kaspersky MLAD, собираются данные телеметрии, и вы можете выгрузить историю телеметрии из базы данных АСУ ТП. Выгрузку можно осуществить в любом формате, например CSV или HDF5. История данных нужна для подготовки ML-модели.
Для работы Kaspersky MLAD требуется телеметрия со следующими характеристиками:
Телеметрия должна содержать данные нескольких (от 10 до 10 000) параметров. Например, данные с индустриальных систем: показания датчиков, значения уставок, команды актуаторов.
Параметры должны иметь численные значения или приводиться к ним. Например: задвижка закрыта — 0, открыта — 1.
Значения параметров должны быть привязаны ко времени, должны изменяться во времени, а время источников телеметрии должно быть синхронизировано. Периодичность обновления данных должна находиться в пределах от 100 миллисекунд до 24 часов.
Значения различных параметров должны быть взаимосвязаны (физическими законами, логикой управления, логикой процессов и т.д.)
Среди параметров должны быть те, которые определяют суть технологического процесса, а также те, которые косвенно на них влияют.
Пример данных, подходящих для работы Kaspersky MLAD
Какой вариант развертывания Kaspersky MLAD вам подходит больше всего?
Kaspersky MLAD обычно разворачивается на площадке заказчика.
Совместно с Kaspersky Industrial CyberSecurity for Networks
На объекте внедрения нужно совместно с Kaspersky MLAD установить программу Kaspersky Industrial CyberSecurity for Networks и обеспечить возможность их связи. Kaspersky Industrial CyberSecurity for Networks будет анализировать зеркалированный трафик и отдавать теги в Kaspersky MLAD в онлайн-режиме. Kaspersky MLAD будет передавать обратно информацию об обнаруженных аномалиях. Kaspersky MLAD в данном варианте получает теги по протоколу gRPC с помощью коннектора Kaspersky Industrial CyberSecurity for Networks.
Отдельная установка Kaspersky MLAD
В данном случае Kaspersky MLAD устанавливается как самостоятельное решение и использует OPC UA Connector для получения данных по протоколу, который описан спецификацией OPC Unified Architecture (унифицированная архитектура OPC). Для этого на объекте внедрения должна быть возможность передавать теги от АСУ ТП по протоколу OPC UA в онлайн-режиме.
Если вам не подходят типовые варианты развертывания, то специалисты внедрения Kaspersky MLAD могут предложить иные варианты развертывания. Kaspersky MLAD поддерживает прием и работу телеметрии от IoT-устройств. Также с помощью входящего в комплект компонента HTTP Connector можно настроить регламентную выгрузку тегов в виде CSV-файлов из SCADA Historian DB по протоколу HTTP (например, скрипт, выгружающий данные раз в час или раз в минуту).
Кто войдет в рабочую группу?
Для внедрения Kaspersky MLAD необходимо сформировать рабочую группу из наших специалистов внедрения Kaspersky MLAD и ваших специалистов по технологическим процессам (технологов, операторов), инженеров АСУ ТП, IT-инженеров и специалистов службы безопасности. В рабочую группу следует выбрать специалистов, уполномоченных принимать решения. При развертывании совместно с Kaspersky Industrial CyberSecurity for Networks важно включить в рабочую группу специалистов по внедрению этого решения.
Каналы связи и допуски
Для успешного внедрения важно предусмотреть каналы связи между членами рабочей группы и согласовать условия допуска специалистов внедрения Kaspersky MLAD на объект внедрения. Каналы связи должны поддерживать передачу больших объемов данных (гигабайты, например история данных с АСУ ТП). Специалистам внедрения нужен будет физический доступ к серверам Kaspersky MLAD. Возможность удаленного доступа к серверам Kaspersky MLAD по протоколу SSH позволит ускорить внедрение.
Соглашения
Также на первом этапе подписывается соглашение о конфиденциальности (NDA), лицензионный договор и договор об услуге построения ML-модели.
Этап 2. Изучение объекта внедрения
Сбор технологических данных для построения ML-модели. Разработка проекта подключения Kaspersky MLAD
Собираем данные для построения ML-модели
В основе Kaspersky MLAD лежит искусственная нейронная сеть. Эту нейросеть необходимо обучить на истории данных телеметрии с объекта внедрения и задать параметры ее функционирования — построить ML-модель. Перед построением ML-модели специалисты по внедрению Kaspersky MLAD должны определить ключевые теги в данных телеметрии и подготовить обучающую выборку. Для этого им потребуется консультация специалистов по технологическим процессам объекта внедрения и следующая информация:
- технологические схемы с объекта внедрения;
- список выгружаемых тегов, описания к ним и сопоставление их технологическим схемам;
- список ключевых для технологического процесса тегов;
- выгрузка истории данных телеметрии за продолжительный период (от 1-2 месяцев до года).
Разрабатываем и утверждаем проект подключения Kaspersky MLAD
Kaspersky MLAD представляет собой набор docker-контейнеров, развернутых на сервере (подробнее см. «Технологии»). Доступ пользователей к Kaspersky MLAD осуществляется через веб-интерфейс. На этом этапе нужно определить площадку размещения сервера, проработать выбранный вариант развертывания Kaspersky MLAD и подготовить оборудование и инфраструктуру объекта внедрения в соответствии с требованиями Kaspersky MLAD.
Требования к сетевому окружению
В сети должен присутствовать NTP-сервер точного времени. Он должен быть доступен для Kaspersky MLAD.
Если вы хотите использовать возможность оповещения об обнаружении аномалии через сообщения электронной почты, то в сети должен присутствовать SMTP-сервер. Kaspersky MLAD должен иметь возможность связи с ним.
Если вы выбрали вариант развертывания Kaspersky MLAD совместно с Kaspersky Industrial CyberSecurity for Networks, то во время установки Kaspersky MLAD вам понадобится полностью определенное имя домена (FQDN) сервера, на котором установлен Kaspersky Industrial CyberSecurity for Networks. Этот сервер должен корректно разрешаться с компьютера, на котором установлена система Kaspersky MLAD.
Если вы выбрали вариант отдельного развертывания Kaspersky MLAD, то сервер Kaspersky MLAD должен иметь возможность получить теги от АСУ ТП по протоколу OPC UA в онлайн-режиме.
Минимальные требования к целевой платформе для установки серверной части Kaspersky MLAD
Минимальные аппаратные требования
- процессор Intel Xeon E3 v6
- 32 ГБ оперативной памяти
- 2x 1ТБ свободного пространства на жестком диске
Процессор должен поддерживать следующие расширения, необходимые для библиотеки TensorFlow 1.12.0
- Advanced Vector Extensions (avx)
- Advanced Vector Extensions 2 (avx2)
- набор инструкций Streaming SIMD Extensions 3 (sse3)
- набор инструкций Streaming SIMD Extensions 4.1 (sse4_1)
- набор инструкций Streaming SIMD Extensions 4.2 (sse4_2)
- инструкция CMPXCHG16B (cx16)
- инструкция POPCNT (popcnt)
- набор инструкций Fused multiply-add (fma)
Поддерживаемая операционная система
Ubuntu 18.04 LTS
До развертывания Kaspersky MLAD на сервер должно быть установлено следующее программное обеспечение
- docker-18.09.4-ce или выше
- docker-compose 1.23.2 или выше
Требования к компьютеру оператора
Для работы с веб-интерфейсом Kaspersky MLAD компьютер оператора должен удовлетворять следующим минимальным требованиям
- процессор Intel Core i5-4570
- 8 ГБ оперативной памяти
- установленный веб-браузер Google Chrome 56 и выше
- минимальное разрешение экрана монитора для корректного отображения веб-интерфейса – 1600х900.
При выполнении перечисленных выше требований к компьютеру оператора в разделе Мониторинг корректно отображаются до 10 графиков с прогнозами (например, для пресета, состоящего из 10 тегов).
Этап 3. Построение ML-модели для обнаружения аномалий
Построение ML-модели и формирование списка аномалий, обнаруженных ею в предоставленных ранее технологических данных. Подготовка оборудования
Для построения ML-модели специалисты внедрения Kaspersky MLAD должны подготовить обучающую выборку данных телеметрии: отсеять шум, выбрать наиболее существенные для детектирования аномалий теги, составить правила масштабирования и приведения данных к необходимой для нейросети форме. Здесь могут быть выявлены недостатки в предоставленных для обучения нейросети данных телеметрии. Может понадобиться помощь ваших специалистов для получения более полной выборки данных.
В процессе построения ML-модели также может понадобиться помощь ваших специалистов по технологическим процессам для совместного разбора найденных ML-моделью аномалий в данных обучающей выборки.
Помимо построения ML-модели, на этом этапе происходит подготовка оборудования и инфраструктуры к развертыванию Kaspersky MLAD.
Этап 4. Развертывание Kaspersky MLAD
Развертывание сервера Kaspersky MLAD на объекте внедрения, подключение его к потоку данных
Развертывание происходит в соответствии с проектом подключения Kaspersky MLAD. Информационная сеть, оборудование и инфраструктура должны быть подготовлены в соответствии с проектом подключения Kaspersky MLAD.
Для успешного развертывания необходимо предоставить специалистам внедрения Kaspersky MLAD физический доступ на площадку размещения сервера. Возможность удаленного доступа к серверу Kaspersky MLAD по протоколу SSH позволит ускорить внедрение.
На этом этапе понадобится участие ваших IT-специалистов и специалистов по технологическим процессам для решения возможных проблем с инфраструктурой и поступлением телеметрии к Kaspersky MLAD.
По результатам развертывания проводятся испытания Kaspersky MLAD, после чего Kaspersky MLAD подключается к онлайн-потоку телеметрии.
Этап 5. Ввод Kaspersky MLAD в эксплуатацию
Обучение сотрудников заказчика работе с Kaspersky MLAD. Анализ обнаруженных в ходе эксплуатации аномалий и донастройка ML-модели
На этом этапе мы формируем программу испытаний для вводного периода работы Kaspersky MLAD, обучаем технологов и операторов работе с Kaspersky MLAD, совместно с технологами анализируем выявленные аномалии и презентуем результаты анализа. По результатам анализа проводим тонкую настройку ML-модели.
Этап 6. Сопровождение Kaspersky MLAD
Предоставление стандартной техподдержки. В случае изменения технологического процесса в качестве отдельной услуги предлагается построение новой ML-модели
Работы по сопровождению Kaspersky MLAD могут оказываться как с выездом специалистов «Лаборатории Касперского» или интегратора на объект внедрения, так и удалённо, например, по протоколу SSH. В процессе этих работ понадобятся логи Kaspersky MLAD и избранные выборки данных телеметрии.
В случае существенной перестройки технологического процесса на объекте внедрения или перевода объекта внедрения в другой режим работы может понадобиться построение новой ML-модели. Услуга построения новой ML-модели предоставляется отдельно.