Режим обучения контроля сети

В режиме обучения контроля сети Kaspersky Industrial CyberSecurity for Networks выполняет следующие действия:

• Если включено применение технологии Контроль целостности сети, программа формирует правила по этой технологии. При обнаружении сетевых взаимодействий, которые удовлетворяют неактивным правилам, регистрируются события по технологии Контроль целостности сети. Для регистрации используется системный тип события, которому присвоен код 4000002601.
• Если включено применение технологии Контроль системных команд, программа формирует правила по этой технологии. При обнаружении системных команд, которые удовлетворяют неактивным правилам, регистрируются события обнаружения неразрешенных системных команд по технологии Контроль системных команд. Для регистрации используется системный тип события, которому присвоен код 4000002602.

При формировании правил контроля сети добавляются новые правила, полученные в результате анализа сетевых взаимодействий и системных команд в трафике промышленной сети. Для этих правил параметр Источник содержит значение Система. Если вы вручную измените параметры правила, параметр Источник примет значение Пользователь.

Сетевые взаимодействия, обнаруженные при анализе трафика, проверяются на соответствие текущим правилам контроля сети. Если обнаруженное взаимодействие не соответствует ни одному правилу, программа создает новое правило контроля сети. Событие обнаружения взаимодействия в этом случае не регистрируется. При создании нового правила программа устанавливает для него активное состояние и добавляет значения параметров на основании полученных данных о сетевом взаимодействии.

Если обнаруженное взаимодействие соответствует только неактивному правилу, программа регистрирует событие по технологии, соответствующей этому правилу. В этом случае новое активное правило не создается.

В процессе обучения программа может оптимизировать список правил контроля сети. Оптимизация заключается в объединении двух и более частных правил в одно общее правило либо в удалении частных правил при наличии общего правила. В оптимизации участвуют правила, для которых выполняются следующие условия:

• правила находятся в активном состоянии;
• параметр Источник содержит значение Система;
• правила относятся к одной технологии.

Объединение правил при оптимизации происходит, если полученное общее правило будет соответствовать только обнаруженным сетевым взаимодействиям и никаким другим. Например, после обнаружения системной команды при взаимодействии двух устройств было создано одно правило контроля сети. Затем была обнаружена другая системная команда при взаимодействии этих же устройств. В этом случае в результате оптимизации останется одно общее правило, описывающее обе системные команды при сетевом взаимодействии этих устройств.

Программа выполняет оптимизацию списка правил контроля сети периодически во время работы в режиме обучения. Периодичность оптимизации – один раз в минуту. Оптимизация выполняется, если в трафике промышленной сети обнаружены новые взаимодействия. Для поддержания таблицы правил в актуальном состоянии требуется обновлять правила.

После выключения режима обучения оптимизация выполняется еще один раз.

Оптимизация списка правил после выключения режима обучения может выполняться с задержкой. Длительность задержки зависит от интенсивности поступления данных в программу и может составить до трех минут. В течение этого времени рекомендуется не вносить изменения в правила, созданные в режиме обучения.

Режим обучения контроля сети должен быть включен на время, достаточное для получения всех необходимых данных о сетевых взаимодействиях. Это время зависит от количества устройств в промышленной сети, периодичности их работы и обслуживания. Рекомендуется включать режим обучения на время не менее одного часа. В крупных промышленных сетях, для накопления данных в максимальном объеме, режим обучения можно включить на период от одного до нескольких дней.

В начало