Архитектура Kaspersky MLAD

Kaspersky MLAD устанавливается на сервере, который соответствует аппаратным и программным требованиям. Сервер Kaspersky MLAD осуществляет функции централизованного хранения информации о службах и коннекторах программы и предоставляет единый пользовательский веб-интерфейс для управлениями ими.

Доступ к отдельным службам и коннекторам программы не предусмотрен.

При установке Kaspersky MLAD все службы и коннекторы программы размещаются на одном сервере и взаимодействуют друг с другом через внутреннюю виртуальную сеть, изолированную от внешних систем.

Kaspersky MLAD включает в себя специально подготовленные ML-модели, а также следующие службы и коннекторы:

ML-модель

ML-модель – это модель, которую создается для конкретного объекта защиты на основе алгоритмов машинного обучения и/или диагностических правил с использованием данных телеметрии этого объекта. ML-модель обеспечивает обнаружение инцидентов.

ML-модель может быть предоставлена в рамках Услуги построения модели и внедрения Kaspersky MLAD или создана с помощью конструктора моделей.

Службы Kaspersky MLAD

Службы Kaspersky MLAD – это набор основных служб программы, который поставляется на каждый объект мониторинга. Kaspersky MLAD включает в себя следующие службы:

• Anomaly Detector. Обнаруживает аномалии на основе обработки данных с помощью ML-модели.
• Event Processor. Выявляет паттерны и аномальные последовательности событий, используя методы машинного обучения на основе нейросемантической сети.
• Stream Processor. Приводит данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени, к равноинтервальной временной сетке.
• Trainer. Выполняет повторное или дополнительное обучение уже имеющейся ML-модели на основе новых данных телеметрии, полученных Kaspersky MLAD для конкретного объекта мониторинга.
• Similar Anomaly. Выявляет и группирует схожие инциденты.
• Message Broker. Выполняет обмен данными между службами Kaspersky MLAD.
• Time Series Database. Осуществляет хранение временных рядов наблюдаемых значений тегов, предсказываемых ML-моделью значений тегов и ошибок предсказания.
• Keeper. Осуществляет маршрутизацию данных телеметрии, которые подлежат сохранению в базе данных.
• Database. Используется для хранения всех конфигурационных параметров работы Kaspersky MLAD.
• API Server. Обеспечивает работу внутренних интерфейсов Kaspersky MLAD.
• Web Server. Обеспечивает работу веб-интерфейса Kaspersky MLAD.
• Logger. Осуществляет хранение функциональных логов работы Kaspersky MLAD.
• Mail Notifier. Выполняет рассылку по электронной почте уведомлений о регистрации инцидентов.

Коннекторы

Коннекторы – это службы, которые обеспечивают обмен данными с внешними системами. Для каждого объекта защиты требуется выбрать один из следующих коннекторов:

• KICS Connector. Обеспечивает взаимодействие с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.
• OPC UA Connector. Обеспечивает получение тегов от систем АСУ ТП по протоколу, который описан спецификацией OPC Unified Architecture (Унифицированная архитектура OPC).
• CEF Connector. Обеспечивает получение событий от внешних источников (промышленного интернета вещей, сетевых устройств и приложений) и отправку обратно сообщений в формате CEF (Common Event Format), зарегистрированных мониторами анализа событий.
• MQTT Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).
• AMQP Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).
• WebSocket Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу WebSocket.
• HTTP Connector. Обеспечивает получение данных телеметрии от систем АСУ ТП в виде CSV-файлов через POST-запросы протокола HTTP.

На рисунке ниже представлена схема взаимодействия служб Kaspersky MLAD.

Схема взаимодействия служб Kaspersky MLAD