概念 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

概念

指标

Amazon IoT Device Defender Detect 使用指标来检测设备的异常行为。Amazon IoT Device DefenderDetect 将指标的报告值与您提供的预期值进行比较。这些指标可以从两个来源获取:云端指标和设备端指标。ML Detect 支持 6 个云端指标和 7 个设备端指标。有关 ML Detect 支持指标的列表,请参阅 受支持的指标

使用云端指标(例如,授权失败次数、设备通过 Amazon IoT 发送或接收的消息数量或大小)检测 Amazon IoT 网络中的异常行为。

Amazon IoT Device Defender Detect 也可以收集、聚合和监控 Amazon IoT 设备生成的指标数据(例如,设备侦听的端口、发送的字节或数据包数量,或设备的 TCP 连接)。

可以只将 Amazon IoT Device Defender Detect 与云端指标相结合使用。要使用设备端指标,必须首先在连接 Amazon IoT 的设备或设备网关上部署 Amazon IoT SDK,以收集指标并发送到 Amazon IoT。请参阅从设备发送指标

安全配置文件

安全配置文件为账户中的一组设备(事物组)或所有设备定义异常行为,并指定在检测到异常时要执行的操作。您可以使用 Amazon IoT 控制台或 API 命令创建安全配置文件,并将其与一组设备关联。Amazon IoT Device DefenderDetect 开始记录安全相关数据,并使用安全配置文件中定义的行为检测设备行为中的异常情况。

行为

行为告诉 Amazon IoT Device Defender Detect 如何识别设备是否发生异常。任何设备操作与行为不匹配时,均会触发提示。规则检测行为由指标和绝对值或统计阈值以及运算符组成(例如,小于等于、大于等于),用于描述预期的设备行为。ML Detect 行为由指标和 ML Detect 配置组成,这些行为可以设置 ML 模型来了解设备的正常行为。

ML 模型

ML 模型是一种机器学习模型,用于监控客户配置的每个行为。该模型根据目标设备组的指标数据模式进行训练,并为基于指标的行为生成三个异常置信阈值(高、中和低)。它根据设备级别的摄取指标数据推断异常。在 ML Detect 上下文中,将创建一个 ML 模型来评估一个基于指标的行为。有关更多信息,请参阅ML Detect

置信级别

ML Detect 支持三个置信级别:HighMediumLowHigh 置信度意味着异常行为评估的灵敏度较低,而且告警数量往往较少。Medium 置信度意味着中等灵敏度,Low 置信度意味着高灵敏度和通常更高的告警数量。

维度

您可以定义维度以调整行为的作用域。例如,您可以定义一个主题筛选条件维度,该维度将行为应用于与模式匹配的 MQTT 主题。有关定义要在安全配置文件中使用的维度的信息,请参阅 CreateDimension

告警

检测到异常时,系统会通过 CloudWatch 指标(请参阅 使用 Amazon IoT 指标)或 SNS 通知发送告警通知。Amazon IoT 控制台中也会显示告警通知,以及告警的相关信息和设备告警历史记录。当监控的设备不再表现出异常行为,或者已经触发告警但在较长时间内停止报告时,系统也会发送告警。

告警验证状态

创建告警后,您可以验证告警为真、良、误报或未知。您还可以为告警验证状态添加描述。您可以通过四种验证状态之一查看、组织和筛选 Amazon IoT Device Defender 告警。您可以使用告警验证状态和相关说明来通知团队成员。这有助于您的团队采取后续行动,例如,对真告警执行缓解措施、跳过良性告警或继续对未知告警进行调查。所有告警的原定设置验证状态为 “未知”。

告警隐藏

通过将行为通知设置为 on 或者 suppressed 来管理 Detect 告警 SNS 通知。隐藏告警不会阻止 Detect 执行设备行为评估;Detect 会继续将异常行为标记为违规告警。但是,隐藏的告警不会转发 SNS 通知。它们只能通过 Amazon IoT 控制台或 API 访问。