Архитектура Kaspersky MLAD
Kaspersky MLAD устанавливается на сервере, который соответствует аппаратным и программным требованиям. Сервер Kaspersky MLAD осуществляет функции централизованного хранения информации о службах и коннекторах программы и предоставляет единый пользовательский веб-интерфейс для управлениями ими.
Доступ к отдельным службам и коннекторам программы не предусмотрен.
При установке Kaspersky MLAD все службы и коннекторы программы размещаются на одном сервере и взаимодействуют друг с другом через внутреннюю виртуальную сеть, изолированную от внешних систем.
Kaspersky MLAD включает в себя специально подготовленные ML-модели, а также следующие службы и коннекторы:
ML-модель
ML-модель – это модель, которую создается для конкретного объекта защиты на основе алгоритмов машинного обучения и/или диагностических правил с использованием данных телеметрии этого объекта. ML-модель обеспечивает обнаружение инцидентов.
ML-модель может быть предоставлена в рамках Услуги построения модели и внедрения Kaspersky MLAD или создана с помощью конструктора моделей.
Службы Kaspersky MLAD
Службы Kaspersky MLAD – это набор основных служб программы, который поставляется на каждый объект мониторинга. Kaspersky MLAD включает в себя следующие службы:
- Anomaly Detector. Обнаруживает аномалии на основе обработки данных с помощью ML-модели.
- Event Processor. Выявляет паттерны и аномальные последовательности событий, используя методы машинного обучения на основе нейросемантической сети.
- Stream Processor. Приводит данные телеметрии, поступающие от объекта мониторинга в произвольные моменты реального времени, к равноинтервальной временной сетке.
- Trainer. Выполняет повторное или дополнительное обучение уже имеющейся ML-модели на основе новых данных телеметрии, полученных Kaspersky MLAD для конкретного объекта мониторинга.
- Similar Anomaly. Выявляет и группирует схожие инциденты.
- Message Broker. Выполняет обмен данными между службами Kaspersky MLAD.
- Time Series Database. Осуществляет хранение временных рядов наблюдаемых значений тегов, предсказываемых ML-моделью значений тегов и ошибок предсказания.
- Keeper. Осуществляет маршрутизацию данных телеметрии, которые подлежат сохранению в базе данных.
- Database. Используется для хранения всех конфигурационных параметров работы Kaspersky MLAD.
- API Server. Обеспечивает работу внутренних интерфейсов Kaspersky MLAD.
- Web Server. Обеспечивает работу веб-интерфейса Kaspersky MLAD.
- Logger. Осуществляет хранение функциональных логов работы Kaspersky MLAD.
- Mail Notifier. Выполняет рассылку по электронной почте уведомлений о регистрации инцидентов.
Коннекторы
Коннекторы – это службы, которые обеспечивают обмен данными с внешними системами. Для каждого объекта защиты требуется выбрать один из следующих коннекторов:
- KICS Connector. Обеспечивает взаимодействие с Kaspersky Industrial CyberSecurity for Networks версии 4.0 и выше.
- OPC UA Connector. Обеспечивает получение тегов от систем АСУ ТП по протоколу, который описан спецификацией OPC Unified Architecture (Унифицированная архитектура OPC).
- CEF Connector. Обеспечивает получение событий от внешних источников (промышленного интернета вещей, сетевых устройств и приложений) и отправку обратно сообщений в формате CEF (Common Event Format), зарегистрированных мониторами анализа событий.
- MQTT Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу MQTT (Message Queuing Telemetry Transport).
- AMQP Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу AMQP (Advanced Message Queuing Protocol).
- WebSocket Connector. Обеспечивает получение тегов от систем АСУ ТП и отправку сообщений о возникновении инцидентов по протоколу WebSocket.
- HTTP Connector. Обеспечивает получение данных телеметрии от систем АСУ ТП в виде CSV-файлов через POST-запросы протокола HTTP.
На рисунке ниже представлена схема взаимодействия служб Kaspersky MLAD.
Схема взаимодействия служб Kaspersky MLAD