Detect - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Detect

Amazon IoT Device Defender借助 Detect,您可以监控设备的行为,以识别可能表明设备遭到危害的异常行为。使用云端指标(来自 Amazon IoT)和设备端指标(来自您在设备上安装的代理)的组合,您可以检测到:

  • 连接模式的变化。

  • 与未经授权或无法识别的终端节点通信的设备。

  • 入站和出站设备流量模式的变化。

您可以创建安全配置文件(其中包含设备预期行为的定义),并将它们分配到队列中的一组设备或所有设备。Amazon IoT Device Defender Detect 使用这些安全配置文件来检测异常,并通过 Amazon CloudWatch 指标和 Amazon Simple Notification Service 通知发送提醒。

Amazon IoT Device Defender Detect 能够检测相连设备中频繁出现的安全问题:

  • 从设备到已知恶意 IP 地址,或表示潜在恶意命令和控制渠道的未经授权终端节点的流量。

  • 表明设备正在参与 DDoS 攻击的恶意流量,例如出站流量高峰。

  • 其远程管理接口和端口支持远程访问的设备。

  • 发送到您账户的消息速率激增 (例如,来自可能导致过量按每条消息收费的流氓设备)。

使用案例:

评估攻击面

可以使用 Amazon IoT Device Defender Detect 评估设备的攻击面。例如,可以识别服务端口通常成为攻击活动目标的设备(在端口 23/2323 上运行的 telnet 服务,在端口 22 上运行的 SSH 服务,在端口 80/443/8080/8081 上运行的 HTTP/S 服务)。虽然在设备上使用这些服务端口可能有合法的原因,但是它们也通常是敌人攻击面的一部分,并且具有相关风险。在 Amazon IoT Device Defender Detect 向您发出攻击面告警后,您可以将攻击面降至最低(通过消除未使用的网络服务),或运行其他评估来识别安全漏洞(例如,使用常见、默认或弱密码配置的 telnet)。

检测设备行为异常以及可能的安全根本原因

您可以使用 Amazon IoT Device Defender Detect 提醒您可能表明安全违规的意外设备行为指标(开放端口数量、连接数量、意外开放端口、与意外 IP 地址的连接)。例如,TCP 连接数量高于预期,可能表明设备正被用于 DDoS 攻击。侦听的端口不是预计的端口,可能表明设备上安装了用以进行远程控制的后门。您可以使用 Amazon IoT Device Defender Detect 探测设备队列的运行状况,并验证安全假设(例如,没有设备在侦听端口 23 或 2323)。

您可以启用基于机器学习 (ML) 的威胁检测,以自动识别潜在威胁。

检测配置错误的设备

从设备发送到账户的信息数量或大小激增,可能表明设备配置错误。此类设备可能会增加每条消息的费用。同样,如果设备多次授权失败,则可能要求重新配置策略。

监控未注册设备的行为

Amazon IoT Device Defender Detect 使得识别未在 Amazon IoT 注册表中注册的设备的异常行为成为可能。您可以定义特定于以下目标类型之一的安全配置文件:

  • 所有设备

  • 所有已注册的设备(Amazon IoT 注册表中的事物)

  • 所有未注册的设备

  • 事物组中的设备

安全配置文件为账户中的设备定义一组预期行为,并指定在检测到异常时要执行的操作。安全配置文件应附加到最具体的目标,以便您精细控制要针对该配置文件评估哪些设备。

未注册的设备在整个设备生命周期内必须提供一致的 MQTT 客户端标识符或事物名称(对于报告设备指标的设备),以便所有违规和指标都归属到相同设备。

重要

如果事物名称包含控制字符,或事物名称的长度超过 128 字节的 UTF-8 编码字符,则将拒绝设备报告的消息。