О Kaspersky Machine Learning for Anomaly Detection

Система раннего обнаружения аномалий Kaspersky Machine Learning for Anomaly Detection 3.0.0 (далее также Kaspersky MLAD, программа) – программное обеспечение, предназначенное для предотвращения сбоев, аварий или деградации промышленных установок, технологических процессов, сложных киберфизических систем. Анализируя данные телеметрии с помощью методов машинного обучения (искусственного интеллекта), Kaspersky MLAD выявляет признаки аномальной ситуации до того, как она будет обнаружена традиционными системами мониторинга.

Kaspersky MLAD обнаруживает аномалии в технологических процессах независимо от вызвавших их причин. Аномалии могут быть вызваны следующими причинами:

• Физические (например, поломка оборудования или выход из строя датчиков).
• Человеческий фактор (например, намеренные или ненамеренные, некорректные действия оператора, настройка оборудования, смена режимов или установок или переход на ручное управление).
• Кибератаки.

Основные возможности Kaspersky MLAD:

• В реальном времени выявляет аномальное поведение объекта мониторинга.
• Определяет сигналы, в которых обнаружены наибольшие отклонения от нормального поведения.
• Позволяет анализировать инциденты с учетом информации о похожих инцидентах.
• Предоставляет возможность экспертной классификации и аннотации инцидентов.
• Предоставляет возможность оповещения об обнаружении инцидентов через веб-интерфейс, сообщения электронной почты, через отправку сообщений в Kaspersky Industrial CyberSecurity for Networks, а также через индустриальные протоколы передачи данных.
• Позволяет использовать модели на основе как машинного обучения, так и на основе произвольных правил для обнаружения аномалий.
• Отображает в виде графиков наблюдаемые и предсказываемые значения тегов и ошибки прогноза как в режиме онлайн-мониторинга, так и в режиме ретроспективного анализа истории телеметрии.
• Обеспечивает работу с журналом обнаруженных инцидентов.
• Предоставляет возможность переобучения и дополнительного обучения используемой ML-модели.
• Позволяет создавать шаблоны на основе добавленных ML-моделей и добавлять ML-модели в Kaspersky MLAD по созданным шаблонам.
• Предоставляет возможность получения данных телеметрии по протоколам HTTP, OPC UA, MQTT, AMQP, CEF и WebSocket, а также по специализированному протоколу поверх протокола HTTPS от программы Kaspersky Industrial CyberSecurity for Networks.
• Отображает в виде графиков исторические данные и данные, поступающие в режиме реального времени, в соответствии с заданными наборами тегов.
• Определяет и обрабатывает прекращения и/или прерывания потока поступающих данных, а также восстанавливает пропущенные наблюдения.
• На основе данных о событиях, полученных из внешних систем, распознает закономерности в виде повторяющихся событий и паттернов, а также выявляет новые события и паттерны в потоке событий.
• Отображает выявленные события в виде графа и таблицы, а также выявленные паттерны в виде послойной иерархии вложенных элементов.
• Отправляет оповещения об обнаружении определенных событий, паттернов или значений параметров событий, поступающих в процессор событий в потоке данных от объекта мониторинга.

Комплект поставки

Kaspersky MLAD поставляется в виде файла архива mlad-3.0.0-<номер сборки>.tar.xz, который содержит следующие файлы:

• установочный скрипт и все необходимые для установки системы файлы;
• файлы с текстом Лицензионного соглашения на русском и английском языках;
• файлы с информацией о программе (Release Notes) на русском и английском языках;
• файл с информацией о стороннем коде legal_notices.txt на английском языке.

После того как вы распаковали архив, в директории legal будут расположены текстовые файлы license_ru.txt и license_en.txt, с помощью которых вы можете ознакомиться с Лицензионным соглашением. В Лицензионном соглашении указано, на каких условиях вы можете пользоваться программой.

Аппаратные и программные требования

Аппаратные требования для каждого защищаемого объекта нужно уточнять с учетом применяемой модели, количества обрабатываемых тегов и событий, средней скорости получения данных (количества наблюдений в секунду) и объема хранимых данных. Чем больше объем обрабатываемых данных и сложность используемой ML-модели, тем больше аппаратных ресурсов потребуется для установки серверной части Kaspersky MLAD.

Для функционирования Kaspersky MLAD компьютер должен удовлетворять следующим минимальным требованиям.

Требования к серверу Kaspersky MLAD

Список поддерживаемых процессоров:

• процессор Intel Xeon E3 v3, v4, v5, v6;
• процессор Intel Xeon E5 v3, v4;
• процессор Intel Xeon E7 v3, v4;
• масштабируемые процессоры Intel Xeon;
• масштабируемые процессоры Intel Xeon 2-го и 3-го поколения;
• процессор Intel Xeon E;
• процессор Intel Xeon W;
• процессор Intel Xeon D;
• процессор Intel Core i5, i7 4-го поколения и выше;
• процессор Intel Core i9;
• процессор Intel Core M.

Минимальные аппаратные требования:

• 8 ядер;
• 32 ГБ оперативной памяти;
• 1 ТБ свободного пространства на жестком диске (рекомендуется использовать SSD-диск).

Вы можете установить Kaspersky MLAD на сервер с другим 64-битным процессором архитектуры x86 2013 года выпуска и позже. Процессор должен соответствовать вышеперечисленным минимальным аппаратным требованиям и поддерживать следующие расширения, необходимые для библиотеки TensorFlow 2.8.3:

• Advanced Vector Extensions (avx);
• Advanced Vector Extensions 2 (avx2).

Поддерживаемая операционная система:

• Ubuntu 22.04 LTS и выше.

До развертывания Kaspersky MLAD должно быть установлено следующее программное обеспечение:

• docker 20.10.21 и выше;
• docker compose 2.12.2 и выше.

Устанавливать программное обеспечение на сервер Kaspersky MLAD требуется с официального Docker-репозитория.

Требования к компьютеру оператора

Для работы с веб-интерфейсом Kaspersky MLAD компьютер оператора должен удовлетворять следующим минимальным требованиям:

• процессор Intel Core i5;
• 8 ГБ оперативной памяти;
• установленный браузер Google Chrome версии 107 и выше;
• минимальное разрешение экрана монитора для корректного отображения веб-интерфейса – 1600х900.

Рекомендации по обеспечению безопасной работы

Для обеспечения безопасной работы Kaspersky MLAD на предприятии рекомендуется ограничить и контролировать доступ к оборудованию, на котором работает программа.

Физическая безопасность оборудования

При внедрении Kaspersky MLAD рекомендуется принять следующие меры по обеспечению безопасной работы:

• Ограничить доступ в помещение, в котором расположен сервер с установленной программой Kaspersky MLAD, а также к сетевому оборудованию выделенной сети. Доступ в помещение должен предоставляться только доверенными лицами, например персоналу, обладающему полномочиями по установке и настройке программы.
• Обеспечить контроль физического доступа к оборудованию, на котором работает программа, с помощью технических средств или службы охраны.
• Проводить мониторинг доступа в контролируемые помещения с помощью средств охранной сигнализации.
• Осуществлять видеонаблюдение в контролируемых помещениях.

Информационная безопасность

Внимание! Параметры ML-модели напрямую влияют на обнаружение аномалий, и поэтому изменять их могут только администраторы Kaspersky MLAD. Дата последнего изменения ML-модели (активация, изменение имени, порогового значения MSE, весов MSE) доступна в разделе Модели. История изменений доступна только в логах, которые хранятся ограниченное время.

При использовании веб-интерфейса рекомендуется дополнительно принять следующие меры по обеспечению информационной безопасности интранет-системы:

• Обеспечить пользователям доступ к программе только через веб-интерфейс.
• Установить сертификаты на компьютеры пользователей для авторизации сервера Kaspersky MLAD c браузером. Для использования доверенного сертификата вам нужно обратиться к администратору.
• Обеспечить защиту трафика внутри интранет-системы.
• Обеспечить защиту подключений к внешним сетям.
• Для подключений через веб-интерфейс использовать пароли, содержащие не менее 8 символов и включающие буквы и цифры. Обеспечивать конфиденциальность и уникальность паролей. При угрозе компрометации пароля изменить пароль (в текущей версии программы изменить пароль может только администратор).
• Установить ограничение времени жизни веб-сессии пользователя.
• После окончания работы в браузере принудительно завершать сеанс подключения к программе с помощью пункта Выход в веб-интерфейсе.
• Периодически выполнять установку обновлений для операционной системы на сервере, на котором развернут Kaspersky MLAD.
• Использовать разграничение прав доступа пользователей к функциям программы.

Безопасность данных

В процессе работы с Kaspersky MLAD рекомендуется дополнительно принять следующие меры по обеспечению безопасности данных:

• Выполнять периодическое резервное копирование данных сервера с установленной программой Kaspersky MLAD согласно внутреннему регламенту компании.
• Выполнять периодический контроль работоспособности интерфейса и служб программы. Особое внимание нужно уделять службе нотификации и системе логирования.
• Выполнять проверку каналов связи на исправность и безопасность.
• Выполнять периодический контроль работоспособности сервера:
  • контроль дисков по SMART;
  • наличие достаточного свободного места и памяти;
  • загруженность оперативной памяти.
• Контролировать протоколы сервера на отсутствие проблем, используя систему мониторинга.
• Хранить код активации и чувствительные данные в надежном хранилище.

Разделение доступа к функциям программы

Развернуть все | Свернуть все

Этот раздел содержит описание разграничения доступа пользователей к функциям программы.

В Kaspersky MLAD вы можете разграничить доступ пользователей к функциям программы в зависимости от задач пользователей, используя типовые роли.

Роль – это набор прав доступа к функциям программы, который вы можете назначить пользователю.

Доступные функции программы в зависимости от роли пользователя

Вы можете просмотреть доступные роли пользователей в разделе Настройка → Роли. Раздел Роли содержит таблицу, в которой представлена информация о каждой роли.

Вы можете просмотреть права доступа к функциям программы в разделе Настройка → Права. Раздел Права содержит таблицу, в которой представлена информация о правах доступа к функциям программы для пользователей.

Просмотр ролей пользователей и прав доступа доступен только для пользователей с правами администратора.