Zasady działania

Kaspersky MLAD wykrywa anomalie przy użyciu innowacyjnej, opatentowanej technologii uczenia maszynowego

  • Prognozy są oparte na zagregowanych wartościach parametrów technologicznych otrzymanych w określonym okresie – w tzw. oknie wprowadzania.
  • Na podstawie okna wprowadzania sieć neuronowa utworzona przy użyciu modelu ML przewiduje, jakie wartości powinny przybierać parametry technologiczne w określonym przedziale czasu (tzw. okno prognozowania) w określonej najbliższej przyszłości (tzw. horyzont przewidywania).
  • Wykorzystując różnicę między przewidywanymi wartościami parametrów technologicznych a zaobserwowanymi w rzeczywistości, Kaspersky MLAD oblicza błędy przewidywania dla każdego parametru.
  • Na podstawie zagregowanych błędów prognozowania, detektor anomalii oblicza średni błąd kwadratowy. Każdemu parametrowi technologicznemu przypisuje się wagę, która jest używana do obliczania błędu. Na przykład w przypadku systemu ICS znajdującego się w zakładzie chemicznym odczyty czujnika ciśnienia wewnątrz reaktora są ważniejsze niż odczyty czujnika ciśnienia atmosferycznego na halach zakładu, więc odchylenie wartości w pierwszym czujniku będzie miało większy wpływ na ogólny poziom błędu.
  • Anomalia jest rejestrowana, gdy średni błąd kwadratowy przekroczy określony próg, wstępnie zdefiniowany w modelu ML.

Zalety tego podejścia

  1. Identyfikowanie trudnych do wykrycia anomalii spowodowanych niewielkimi odchyleniami w wielu parametrach. Jest to możliwe dzięki obserwowaniu zagregowanych parametrów procesu.
  2. Rejestrowanie anomaliu w ich wczesnych stadiach.
  3. Zmniejszenie liczby fałszywych alarmów.

Dane wejściowe

Kaspersky MLAD może działać z dowolnymi danymi telemetrycznymi

  1. Powinny one zawierać wiele parametrów (od 10 do 10 000). Na przykład dane z systemów przemysłowych mogą składać się z odczytów czujników, wartości nastaw czy poleceń siłownika.
  2. Parametry powinny mieć wartości liczbowe lub zapewniać możliwość konwersji na nie. Na przykład: zawór zamknięty – 0, otwarty – 1.
  3. Wartości parametrów powinny mieć związek z czasem i zmieniać się wraz z jego upływem; czas źródeł telemetrii powinien być zsynchronizowany. Częstotliwość aktualizacji danych powinna wynosić od 100 milisekund do 24 godzin.
  4. Wartości różnych parametrów powinny być ze sobą powiązane (przez prawa fizyczne, logikę sterowania, logikę procesu itp.).
  5. Wśród parametrów powinny znajdować się te o znaczeniu najbardziej obserwacyjnym oraz takie, które stanowią główną przyczynę wystąpienia anomalii (lub są jak najbliżej niej) zmieniającej różne inne parametry.

Przykład fragmentu danych telemetrycznych z symulatora zakładu chemicznego

Komponenty rozwiązania Kaspersky MLAD

Silnik rozwiązania Kaspersky MLAD

Silnik jest zbiorem podstawowych elementów systemu dostarczanych do każdego chronionego obiektu

Komponenty obowiązkowe Kaspersky MLAD
Wykrywacz anomalii

Wykrywa anomalie na podstawie przetwarzania danych przy użyciu modelu ML

Podobna anomalia

Grupuje podobne anomalie

Broker wiadomości

Obsługuje wymianę danych między komponentami rozwiązania Kaspersky MLAD

Baza danych serii czasowych

Przechowuje otrzymane wartości parametrów technologicznych, prognozy modelu ML i błędy w prognozach

Keeper

Kieruje wiadomości do miejsca przechowywania

Baza danych

Służy do przechowywania wszystkich ustawień Kaspersky MLAD

Serwer API

Zapewnia działanie wewnętrznych interfejsów Kaspersky MLAD

Serwer sieciowy

Zapewnia działanie interfejsu internetowego Kaspersky MLAD

Komponenty dodatkowe
Rejestrator

Przechowuje dzienniki funkcjonalne Kaspersky MLAD

Powiadomienie na pocztę

Wysyła informacje o anomaliach

Model ML

Model sieci neuronowej zbudowany przez firmę Kaspersky lub certyfikowany organ integracyjny dla konkretnego obiektu chronionego. Model ML wykrywa anomalie.

Model ML nie znajduje się w pakiecie produktów i jest świadczony w ramach usługi budowania modeli i integracji w Kaspersky MLAD.

Łączniki

Pakiet Kaspersky MLAD obejmuje usługi wymiany danych z systemami zewnętrznymi. Dla każdego chronionego obiektu należy wybrać jeden następujących łączników:

Zestaw łączników do interakcji z Kaspersky Industrial CyberSecurity for Networks

Łącznik KICS

Odbiera wartości parametrów procesu z Kaspersky Industrial CyberSecurity for Networks przy użyciu bezpiecznego protokołu gRPC

Reporter alertów KICS

Raportuje wykryte zdarzenia anomalii do Kaspersky Industrial CyberSecurity for Networks przy użyciu bezpiecznego protokołu gRPC

Czytnik konfiguracji KICS

Otrzymuje metadane parametrów technologicznych i konfiguracji z Kaspersky Industrial CyberSecurity for Networks przy użyciu bezpiecznego protokołu gRPC

Łącznik OPC UA

Odbiera dane z usługi ICS przy użyciu protokołu opisanego w specyfikacji OPC Unified Architecture

Łącznik HTTP

Odbiera dane z systemu ICS przez wysyłanie plików CSV ze znacznikami za pośrednictwem żądań POST przy użyciu protokołu HTTP

W przypadku jakichkolwiek pytań dotyczących np. możliwości współpracy skontaktuj się z nami

Kaspersky Lab Polska

ul. Trawiasta 35, 04-607 Warszawa

E-mail

sprzedaz@kaspersky.pl