Компоненты Kaspersky MLAD

Kaspersky MLAD включает в себя следующие компоненты:

ML-модель

ML-модель – это модель, которую специалисты "Лаборатории Касперского" или сертифицированный интегратор создают для конкретного объекта защиты на основе алгоритмов машинного обучения и/или диагностических правил с использованием данных телеметрии этого объекта. ML-модель обеспечивает обнаружение инцидентов.

ML-модель не входит в комплект поставки программы и предоставляется в рамках Услуги построения модели и внедрения Kaspersky MLAD.

Службы Kaspersky MLAD

Службы Kaspersky MLAD – это набор основных компонентов программы, который поставляется на каждый объект мониторинга. Kaspersky MLAD включает в себя следующие службы:

Anomaly Detector. Обнаруживает аномалии на основе обработки данных с помощью ML-модели.
Event Processor. Выявляет паттерны и аномальные последовательности событий, используя методы машинного обучения на основе нейросемантической сети.
Stream Processor. Приводит данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени, к равноинтервальной временной сетке.
Model Trainer. Выполняет повторное или дополнительное обучение уже имеющейся ML-модели на основе новых данных телеметрии, полученных Kaspersky MLAD для конкретного объекта мониторинга.
Similar Anomaly. Выявляет и группирует схожие инциденты.
Message Broker. Выполняет обмен данными между компонентами Kaspersky MLAD.
Time Series Database. Осуществляет хранение временных рядов наблюдаемых значений тегов, предсказываемых ML-моделью значений тегов и ошибок предсказания.
Keeper. Осуществляет маршрутизацию данных телеметрии, которые подлежат сохранению в базе данных.
Database. Используется для хранения всех конфигурационных параметров работы Kaspersky MLAD.
API Server. Обеспечивает работу внутренних интерфейсов Kaspersky MLAD.
Web Server. Обеспечивает работу веб-интерфейса Kaspersky MLAD.
Logger. Осуществляет хранение функциональных логов работы Kaspersky MLAD.
Mail Notifier. Выполняет рассылку по электронной почте уведомлений о регистрации инцидентов.

Коннекторы

Коннекторы – это службы, которые обеспечивают обмен данными с внешними системами. Для каждого объекта защиты требуется выбрать один из следующих коннекторов:

КICS Connector. Обеспечивает взаимодействие с Kaspersky Industrial CyberSecurity for Networks версии 3.0 и выше.
OPC UA Connector. Обеспечивает получение тегов от систем АСУ ТП по протоколу, который описан спецификацией OPC Unified Architecture (Унифицированная архитектура OPC).
CEF Connector. Обеспечивает получение событий от внешних источников (промышленного интернета вещей, сетевых устройств и приложений) и отправку обратно сообщений в формате CEF (Common Event Format), зарегистрированных мониторами анализа событий.
MQTT Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).
AMQP Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).
WebSocket Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу WebSocket.
HTTP Connector. Обеспечивает получение данных телеметрии от систем АСУ ТП в виде CSV-файлов через POST-запросы протокола HTTP.

На рисунке ниже представлена схема взаимодействия компонентов Kaspersky MLAD.

Схема описывает взаимодействие Kaspersky MLAD с внешними системами и взаимодействие компонентов Kaspersky MLAD между собой.

Схема взаимодействия компонентов Kaspersky MLAD

В начало