Принципы работы технологии

Kaspersky MLAD детектирует аномалии по инновационной запатентованной технологии с использованием машинного обучения

Под аномалией понимается значительное отклонение реально наблюдаемых значений параметров технологического процесса от прогнозируемых.

  • За основу прогноза берется совокупность уже поступивших значений технологических параметров за определенное время — окно входных данных.
  • На основе окна входных данных нейронная сеть из состава ML-модели дает прогноз, какие значения должны принять технологические параметры на некотором определенном отрезке времени (окно прогноза) в определенном недалеком будущем (горизонт прогноза).
  • По разнице между прогнозируемыми и реально наблюдаемыми значениями технологических параметров Kaspersky MLAD высчитывает ошибки прогноза для каждого технологического параметра.
  • По совокупности ошибок прогноза Kaspersky MLAD высчитывает среднеквадратическую ошибку (MSE). Каждому технологическому параметру сопоставлен вес, с учетом которого рассчитывается ошибка. Например, для АСУ ТП химического производства показания датчика давления внутри химического реактора важнее, чем показания датчика атмосферного давления в цеху, поэтому отклонение от нормы показаний датчика давления в реакторе будет сильнее влиять на общую ошибку.
  • Аномалия регистрируется в том случае, если среднеквадратическая ошибка превышает порог, заданный на этапе подготовки ML-модели.

Такой подход позволяет

  1. обнаруживать слабо проявляющиеся аномалии, характеризующиеся незначительным отклонением множества параметров. Это возможно за счет наблюдения за совокупностью параметров технологического процесса;
  2. регистрировать аномалии на ранних этапах их развития;
  3. снизить количество ошибочных оповещений об аномалиях техпроцесса.

Входные данные

Kaspersky MLAD может работать с любыми данными телеметрии, удовлетворяющими таким условиям:

  1. Телеметрия должна содержать данные нескольких (от 10 до 10 000) параметров. Например, данные с индустриальных систем: показания датчиков, значения уставок, команды актуаторов.
  2. Параметры должны иметь численные значения или приводиться к ним. Например: задвижка закрыта – 0, открыта – 1.
  3. Значения параметров должны быть привязаны ко времени, должны изменяться во времени, а время источников телеметрии должно быть синхронизировано. Периодичность обновления данных должна находиться в пределах от 100 миллисекунд до 24 часов.
  4. Значения различных параметров должны быть взаимосвязаны (физическими законами, логикой управления, логикой процессов и т.д.)
  5. Среди параметров должны быть те, которые определяют суть технологического процесса, а также те, которые косвенно на них влияют.
Пример фрагмента телеметрии симулятора химического завода
Компоненты Kaspersky MLAD

Kaspersky MLAD включает в себя следующие компоненты

Движок Kaspersky MLAD

Движок — это набор основных компонентов системы, который поставляется на каждый защищаемый объект. Движок Kaspersky MLAD имеет следующий состав

Обязательные для работы Kaspersky MLAD компоненты движка
Anomaly Detector

Обнаруживает аномалию в параметрах технологического процесса при взаимодействии с ML-моделью

Similar Anomaly

Группирует похожие аномалии

Message Broker

Обеспечивает обмен данными между компонентами Kaspersky MLAD

Time Series Database

Обеспечивает хранение поступивших значений технологических параметров, прогнозов ML-модели и ошибок прогноза

Keeper

Обеспечивает маршрутизацию сообщений, которые подлежат сохранению

Database

Используется для хранения всех конфигурационных параметров работы Kaspersky MLAD

API Server

Обеспечивает работу внутренних интерфейсов Kaspersky MLAD

Web Server

Обеспечивает работу веб-интерфейса Kaspersky MLAD

Дополнительные компоненты движка
Logger

Обеспечивает хранение функциональных логов работы Kaspersky MLAD

Mail Notifier

Обеспечивает рассылку оповещений об аномалиях

ML-модель

Нейросетевая модель, которую специалисты «Лаборатории Касперского» или сертифицированный интегратор создают для конкретного объекта защиты. ML-модель обеспечивает обнаружение аномалий.

ML-модель не входит в комплект поставки программы и предоставляется в рамках Услуги построения модели и внедрения Kaspersky MLAD.

Коннекторы

В комплекте с Kaspersky MLAD поставляются службы, которые обеспечивают обмен данными с внешними системами. Для каждого объекта защиты требуется выбрать один из следующих коннекторов

Набор коннекторов, обеспечивающих взаимодействие с Kaspersky Industrial CyberSecurity for Networks

КICS Connector

Обеспечивает получение значений технологических параметров из Kaspersky Industrial CyberSecurity for Networks по защищенному протоколу gRPC

KICS Alert Reporter

Обеспечивает передачу событий об обнаруженных аномалиях в Kaspersky Industrial CyberSecurity for Networks по защищенному протоколу gRPC

KICS Configuration Reader

Обеспечивает получение конфигурации и метаданных технологических параметров из Kaspersky Industrial CyberSecurity for Networks по защищенному протоколу gRPC

OPC UA Connector

Обеспечивает получение данных от систем АСУ ТП по протоколу, который описан спецификацией OPC Unified Architecture (Унифицированная архитектура OPC)

HTTP Connector

Обеспечивает получение данных от АСУ ТП через отправку CSV-файлов с тегами через POST-запросы протокола HTTP

Если у вас остались вопросы или вы хотите обсудить сотрудничество — воспользуйтесь формой обратной связи






    Этот сайт защищён с помощью reCAPTCHA корпорации Google. Политика конфиденциальности и условия использования.