Detect - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Detect

Amazon IoT Device Defender Detect 允许您通过监控设备行为来识别可能表明设备遭到入侵的异常行为。使用云端指标(来自 Amazon IoT)和设备端指标(来自您在设备上安装的代理)的组合,您可以检测到:

  • 连接模式的变化。

  • 与未经授权或无法识别的终端节点通信的设备。

  • 入站和出站设备流量模式的变化。

您可以创建安全配置文件,其中包含预期设备行为的定义,然后将其分配给一组设备或队列中的所有设备。 Amazon IoT Device Defender Detect 使用这些安全配置文件来检测异常情况,并通过亚马逊 CloudWatch 指标和亚马逊简单通知服务通知发送警报。

Amazon IoT Device Defender Detect 可以检测联网设备中经常发现的安全问题:

  • 从设备到已知恶意 IP 地址,或表示潜在恶意命令和控制渠道的未经授权终端节点的流量。

  • 表明设备正在参与 DDoS 攻击的恶意流量,例如出站流量高峰。

  • 其远程管理接口和端口支持远程访问的设备。

  • 发送到您账户的消息速率激增 (例如,来自可能导致过量按每条消息收费的流氓设备)。

使用案例:
评估攻击面

您可以使用 D Amazon IoT Device Defender etect 来测量设备的攻击面。例如,可以识别服务端口通常成为攻击活动目标的设备(在端口 23/2323 上运行的 telnet 服务,在端口 22 上运行的 SSH 服务,在端口 80/443/8080/8081 上运行的 HTTP/S 服务)。虽然在设备上使用这些服务端口可能有合法的原因,但是它们也通常是敌人攻击面的一部分,并且具有相关风险。在 D Amazon IoT Device Defender etect 向您发出攻击面警报后,您可以将其最小化(通过消除未使用的网络服务),或者进行其他评估以识别安全漏洞(例如,使用常用、默认或弱密码配置的 telnet)。

检测设备行为异常以及可能的安全根本原因

你可以使用 Det Amazon IoT Device Defender ect 向你发出警报,提醒你注意可能表明存在安全漏洞的意外设备行为指标(打开的端口数、连接数、意外打开的端口、与意外 IP 地址的连接)。例如,TCP 连接数量高于预期,可能表明设备正被用于 DDoS 攻击。侦听的端口不是预计的端口,可能表明设备上安装了用以进行远程控制的后门。您可以使用 Det Amazon IoT Device Defender ect 来探测设备队列的运行状况并验证您的安全假设(例如,没有设备在端口 23 或 2323 上侦听)。

您可以启用基于机器学习 (ML) 的威胁检测,以自动识别潜在威胁。

检测配置错误的设备

从设备发送到账户的信息数量或大小激增,可能表明设备配置错误。此类设备可能会增加每条消息的费用。同样,如果设备多次授权失败,则可能要求重新配置策略。

监控未注册设备的行为

Amazon IoT Device Defender 通过检测,可以识别未在注册 Amazon IoT 表中注册的设备的异常行为。您可以定义特定于以下目标类型之一的安全配置文件:

  • 所有设备

  • 所有已注册的设备( Amazon IoT 注册表中的东西)

  • 所有未注册的设备

  • 事物组中的设备

安全配置文件为账户中的设备定义一组预期行为,并指定在检测到异常时要执行的操作。安全配置文件应附加到最具体的目标,以便您精细控制要针对该配置文件评估哪些设备。

未注册的设备在整个设备生命周期内必须提供一致的 MQTT 客户端标识符或事物名称(对于报告设备指标的设备),以便所有违规和指标都归属到相同设备。

重要

如果事物名称包含控制字符,或事物名称的长度超过 128 字节的 UTF-8 编码字符,则将拒绝设备报告的消息。