О Kaspersky Machine Learning for Anomaly Detection

Система раннего обнаружения аномалий Kaspersky Machine Learning for Anomaly Detection (далее также Kaspersky MLAD, программа) – программное обеспечение, предназначенное для предотвращения сбоев, аварий или деградации промышленных установок, технологических процессов, сложных киберфизических систем. Анализируя данные телеметрии с помощью методов машинного обучения (искусственного интеллекта), Kaspersky MLAD выявляет признаки аномальной ситуации до того, как она будет обнаружена традиционными системами мониторинга.

Kaspersky MLAD обнаруживает аномалии в технологических процессах независимо от вызвавших их причин. Аномалии могут быть вызваны следующими причинами:

• Физические (например, поломка оборудования или выход из строя датчиков).
• Человеческий фактор (например, намеренные или ненамеренные, неверные действия оператора, настройка оборудования, смена режимов или установок или переход на ручное управление).
• Кибератаки.

Основные возможности Kaspersky MLAD:

• В реальном времени выявляет аномальное поведение объекта мониторинга.
• Определяет сигналы, в которых обнаружены наибольшие отклонения от нормального поведения.
• Позволяет анализировать инциденты с учетом информации о похожих инцидентах.
• Предоставляет возможность экспертной классификации и аннотации инцидентов.
• Предоставляет возможность уведомления об обнаружении инцидентов через веб-интерфейс, сообщения электронной почты, через отправку сообщений в Kaspersky Industrial CyberSecurity for Networks, а также через индустриальные протоколы передачи данных.
• Позволяет использовать модели на основе как машинного обучения, так и произвольных правил для обнаружения аномалий.
• Отображает в виде графиков исторические данные и данные, поступающие в режиме реального времени, в соответствии с заданными наборами тегов, а также результаты обработки этих данных ML-моделями.
• Обеспечивает работу с журналом обнаруженных инцидентов.
• Позволяет создавать ML-модели и добавлять в нее предиктивные элементы, элементы на основе эллиптического конверта и элементы на основе диагностических правил.
• Предоставляет возможность обучения предиктивных элементов и элементов на основе эллиптических конвертов.
• Позволяет создавать шаблоны на основе добавленных ML-моделей и добавлять ML-модели в Kaspersky MLAD по созданным шаблонам.
• Позволяет определить способ организации данных объекта мониторинга в виде дерева активов.

• Предоставляет возможность получения данных телеметрии по протоколам HTTP, OPC UA, MQTT, AMQP, CEF и WebSocket, а также по специализированному протоколу поверх протокола HTTPS от программы Kaspersky Industrial CyberSecurity for Networks.
• Определяет и обрабатывает прекращения и/или прерывания потока поступающих данных, а также восстанавливает пропущенные наблюдения.
• На основе данных о событиях, полученных из внешних систем, распознает закономерности в виде повторяющихся событий и паттернов, а также выявляет новые события и паттерны в потоке событий.
• Отображает выявленные события в виде графа и таблицы, а также выявленные паттерны в виде послойной иерархии вложенных элементов.
• Отправляет оповещения об обнаружении определенных событий, паттернов или значений параметров событий, поступающих в процессор событий в потоке данных от объекта мониторинга.