Concepts - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Concepts

指标

Amazon IoT Device Defender Detect 使用指标来检测设备的异常行为。Amazon IoT Device DefenderDetect 将指标的报告值与您提供的预期值进行比较。这些指标可以从两个来源获取:云端指标和设备端指标。总共有 17 个指标,其中 6 个受 ML Detect 支持。有关 ML Detect 支持指标的列表,请参阅 受支持的指标

使用云端指标(例如,授权失败次数、设备通过 Amazon IoT 发送或接收的消息数量或大小)检测 Amazon IoT 网络中的异常行为。

Amazon IoT Device Defender Detect 也可以收集、聚合和监控 Amazon IoT 设备生成的指标数据(例如,设备侦听的端口、发送的字节或数据包数量,或设备的 TCP 连接)。

可以只将 Amazon IoT Device Defender Detect 与云端指标相结合使用。要使用设备端指标,必须首先在连接 Amazon IoT 的设备或设备网关上部署 Amazon IoT 开发工具包,以收集指标并发送到 Amazon IoT。请参阅 从设备发送指标

安全配置文件

安全配置文件为账户中的一组设备(事物组)或所有设备定义异常行为,并指定在检测到异常时要执行的操作。您可以使用 Amazon IoT 控制台或 API 命令创建安全配置文件,并将其与一组设备关联。Amazon IoT Device DefenderDetect 开始记录安全相关数据,并使用安全配置文件中定义的行为检测设备行为中的异常情况。

行为

行为告诉 Amazon IoT Device Defender Detect 如何识别设备是否发生异常。任何设备操作与行为不匹配时,均会触发提示。规则检测行为由指标和绝对值或统计阈值以及运算符组成(例如,小于等于、大于等于),用于描述预期的设备行为。ML Detect 行为由指标和 ML Detect 配置组成,这些行为可以设置 ML 模型来了解设备的正常行为。

ML 模型

ML 模型是一种机器学习模型,用于监控客户配置的每个行为。该模型根据目标设备组的指标数据模式进行训练,并为基于指标的行为生成三个异常置信阈值(高、中和低)。它根据设备级别的摄取指标数据推断异常。在 ML Detect 上下文中,将创建一个 ML 模型来评估一个基于指标的行为。有关更多信息,请参阅 ML Detect

置信级别

ML Detect 支持三个置信级别:HighMediumLowHigh 置信度意味着异常行为评估的灵敏度较低,而且告警数量往往较少。Medium 置信度意味着中等灵敏度,Low 置信度意味着高灵敏度和通常更高的告警数量。

维度

您可以定义维度以调整行为的作用域。例如,您可以定义一个主题筛选条件维度,该维度将行为应用于与模式匹配的 MQTT 主题。有关定义要在安全配置文件中使用的维度的信息,请参阅 CreateDimension

警报

检测到异常时,系统会通过 CloudWatch 指标(请参阅 使用 Amazon IoT 指标)或 SNS 通知发送告警通知。Amazon IoT 控制台中也会显示告警通知,以及告警的相关信息和设备告警历史记录。当监控的设备不再表现出异常行为,或者已经触发告警但在较长时间内停止报告时,系统也会发送告警。

告警隐藏

通过将行为通知设置为 on 或者 suppressed 来管理 Detect 告警 SNS 通知。隐藏告警不会阻止 Detect 执行设备行为评估;Detect 会继续将异常行为标记为违规告警。但是,隐藏的告警不会转发 SNS 通知。它们只能通过 Amazon IoT 控制台或 API 访问。