Под аномалией понимается значительное отклонение реально наблюдаемых значений параметров технологического процесса от прогнозируемых.
Движок — это набор основных компонентов системы, который поставляется на каждый защищаемый объект. Движок Kaspersky MLAD имеет следующий состав
Обнаруживает аномалию в параметрах технологического процесса при взаимодействии с ML-моделью
Группирует похожие аномалии
Обеспечивает обмен данными между компонентами Kaspersky MLAD
Обеспечивает хранение поступивших значений технологических параметров, прогнозов ML-модели и ошибок прогноза
Обеспечивает маршрутизацию сообщений, которые подлежат сохранению
Используется для хранения всех конфигурационных параметров работы Kaspersky MLAD
Обеспечивает работу внутренних интерфейсов Kaspersky MLAD
Обеспечивает работу веб-интерфейса Kaspersky MLAD
Обеспечивает хранение функциональных логов работы Kaspersky MLAD
Обеспечивает рассылку оповещений об аномалиях
Нейросетевая модель, которую специалисты «Лаборатории Касперского» или сертифицированный интегратор создают для конкретного объекта защиты. ML-модель обеспечивает обнаружение аномалий.
ML-модель не входит в комплект поставки программы и предоставляется в рамках Услуги построения модели и внедрения Kaspersky MLAD.
В комплекте с Kaspersky MLAD поставляются службы, которые обеспечивают обмен данными с внешними системами. Для каждого объекта защиты требуется выбрать один из следующих коннекторов
КICS Connector
Обеспечивает получение значений технологических параметров из Kaspersky Industrial CyberSecurity for Networks по защищенному протоколу gRPC
KICS Alert Reporter
Обеспечивает передачу событий об обнаруженных аномалиях в Kaspersky Industrial CyberSecurity for Networks по защищенному протоколу gRPC
KICS Configuration Reader
Обеспечивает получение конфигурации и метаданных технологических параметров из Kaspersky Industrial CyberSecurity for Networks по защищенному протоколу gRPC
Обеспечивает получение данных от систем АСУ ТП по протоколу, который описан спецификацией OPC Unified Architecture (Унифицированная архитектура OPC)
Обеспечивает получение данных от АСУ ТП через отправку CSV-файлов с тегами через POST-запросы протокола HTTP