Режим обучения для технологий контроля взаимодействий

02 февраля 2024

ID 136501

В режиме обучения для технологий контроля взаимодействий программа выполняет следующие действия:

  • Если включено применение технологии Контроль целостности сети, программа формирует правила по этой технологии. Правила формируются для всех взаимодействий IPv4, которые должны контролироваться согласно таблице подсетей IP-адресов для контроля взаимодействий. При обнаружении сетевых взаимодействий, которые удовлетворяют выключенным правилам, регистрируются события по технологии Контроль целостности сети. Для регистрации используется системный тип события, которому присвоен код 4000002601.
  • Если включено применение технологии Контроль системных команд, программа формирует правила по этой технологии. При обнаружении системных команд, которые удовлетворяют выключенным правилам, регистрируются события обнаружения неразрешенных системных команд по технологии Контроль системных команд. Для регистрации используется системный тип события, которому присвоен код 4000002602.

При формировании правил по технологиям контроля взаимодействий добавляются новые правила, полученные в результате анализа сетевых взаимодействий и системных команд в трафике промышленной сети. Для этих правил параметр Источник содержит значение Система. Если вы вручную измените параметры правила, параметр Источник примет значение Пользователь.

Сетевые взаимодействия, обнаруженные при анализе трафика, проверяются на соответствие текущим правилам контроля взаимодействий. Если обнаруженное взаимодействие не соответствует ни одному правилу, программа создает новое правило. Событие обнаружения взаимодействия в этом случае не регистрируется. При создании нового правила программа включает его и добавляет значения параметров на основании полученных данных о сетевом взаимодействии.

Если обнаруженное взаимодействие соответствует только выключенному правилу, программа регистрирует событие по технологии, соответствующей этому правилу. В этом случае новое правило не создается.

В процессе обучения программа может оптимизировать список правил контроля взаимодействий. Оптимизация заключается в объединении двух и более частных правил в одно общее правило либо в удалении частных правил при наличии общего правила. В оптимизации участвуют правила, для которых выполняются следующие условия:

  • правила включены;
  • параметр Источник содержит значение Система;
  • правила относятся к одной технологии.

Объединение правил при оптимизации происходит, если полученное общее правило будет соответствовать только обнаруженным сетевым взаимодействиям и никаким другим. Например, после обнаружения системной команды при взаимодействии двух устройств было создано одно правило контроля взаимодействий. Затем была обнаружена другая системная команда при взаимодействии этих же устройств. В этом случае в результате оптимизации останется одно общее правило, описывающее обе системные команды при сетевом взаимодействии этих устройств.

Во время работы в режиме обучения программа периодически выполняет оптимизацию правил для соответствующей технологии контроля взаимодействий. Периодичность оптимизации – один раз в минуту. Оптимизация выполняется, если в трафике промышленной сети обнаружены новые взаимодействия. Для поддержания таблицы правил в актуальном состоянии требуется обновлять правила.

После выключения режима обучения оптимизация выполняется еще один раз.

Оптимизация правил контроля взаимодействий после выключения режима обучения может выполняться с задержкой. Длительность задержки зависит от интенсивности поступления данных в программу и может составлять до трех минут. В течение этого времени рекомендуется не вносить изменения в правила по технологиям Контроля целостности сети и Контроля системных команд, созданные в режиме обучения.

Режим обучения для технологий контроля взаимодействий должен быть включен на время, достаточное для получения всех необходимых данных о сетевых взаимодействиях. Это время зависит от количества устройств в промышленной сети, периодичности их работы и обслуживания. Рекомендуется включать режим обучения на время не менее одного часа. В крупных промышленных сетях, для накопления данных в максимальном объеме, режим обучения можно включить на период от одного до нескольких дней.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!