UDV DATAPK EDR for PLC
Безагентный EDR для поведенческого анализа и контроля программируемых логических контроллеров в технологических сетях на основе машинного обучения
описание
решаемые задачи
-
01
Применяет интеллектуальные алгоритмы для точного и своевременного обнаружения инцидентов информационной безопасности в АСУ ТП
-
02
Формирует модель системы и выявляет отклонения в работе ПЛК, которые управляют исполнительными свойствами предприятия и становятся целью злоумышленников
-
03
Совместим с любыми автоматизированными системами, не требует информации о топологии и алгоритмах функционирования
преимущества
почему UDV DATAPK EDR for PLC
-
Пассивная работа с копией трафика исключает влияние на защищаемую систему
-
Модель системы строится без априорных знаний, используя многоагентный подход и глубокий анализ сетевых пакетов
-
Аномалии выявляются и локализуются с помощью запатентованного машинного обучения
-
Выявляет сигналы, которые привели к нарушению технологического процесса
вопросы и ответы
часто
задаваемые
вопросы
Не нашли ответа на свой вопрос?
Напишите нам-
В основе программного комплекса UDV DATAPK EDR for PLC лежит запатентованный метод выявления аномалий на базе агентного моделирования. В рамках многоагентного подхода каждый компонент или сервис защищаемой системы – это агент, а сама система – набор этих агентов, которые взаимодействуют между собой. Многоагентный подход позволяет как детектировать, так и локализовать аномалии. Алгоритм построения модели основан на пассивном наблюдении за работой каждого компонента защищаемой системы и не требует активного взаимодействия с ней.
Решение запатентовано:
- RU 2 738 460 C1 «Способ выявления аномалий в работе сети автоматизированной системы»
- RU 2 802 164 C1 «Способ выявления нормальных реакций узлов компьютерной сети на пакеты, относящиеся к неизвестному трафику»
Программный комплекс UDV DATAPK EDR for PLC решает задачи за счет:
- Глубокого разбора промышленных протоколов (в том числе проприетарных) и работы с управляющими сигналами ПЛК, которые описывают его поведение.
- Формирования модели работы ПЛК на основе пассивного наблюдения за входящими и исходящими сигналами при его взаимодействии с любыми другими узлами технологической сети.
- Сравнения реальных и предсказанных моделью сигналов ПЛК и выявления отклонений от нормального функционирования: мгновенно определяется проблемный узел, источник аномального воздействия и непосредственно сигналы.
-
Для обучения EDR for PLC не используются датасеты. Мы идем от обратного: без какой-либо разметки аномалий мы предполагаем, что система работает штатно и без вредоносных воздействий, и это состояние является эталонным. Агент формирует модель, которая способна описать алгоритм функционирования системы в данный момент. Любое отклонения от этого поведения – это потенциальная аномалия. При этом такие «аномалии» могут возникать и при легитимных изменениях (обновлении программы или прошивки). В таких случаях агента необходимо дообучить.
Сейчас механизм дообучения реализован через API: мы отмечаем событие как легитимное и эта информация учитывается агентом. Никаких дополнительных датасетов и ручной разметки при обучении не требуется.
-
Да, алерты можно передавать и выполнять интерпретацию на продуктах более высокого уровня. Для алертов используется формат JSON, потому что его наиболее удобно передавать для анализа с точки зрения парсинга. Для интерпретации человеком мы выполняем нормализацию, но для машинной обработки этот формат наиболее подходящий. Агрегация и корреляция алертов выполняется в DATAPK Industrial Kit.
материалы
полезное о продукте
документы и презетации
оставить заявку
закажите персональную демонстрацию продукта
Стоимость рассчитывается индивидуально. Для расчёта стоимости вашего проекта заполните форму.
Ответим в рабочие дни с 9:00 до 18:00 по Москве.
