# Detect
<a name="device-defender-detect"></a>

AWS IoT Device Defender借助 Detect，您可以监控设备的行为，以识别可能表明设备遭到危害的异常行为。使用云端指标（来自 AWS IoT）和设备端指标（来自您在设备上安装的代理）的组合，您可以检测到：
+ 连接模式的变化。
+ 与未经授权或无法识别的终端节点通信的设备。
+ 入站和出站设备流量模式的变化。

您可以创建安全配置文件（其中包含设备预期行为的定义），并将它们分配到实例集中的一组设备或所有设备。AWS IoT Device Defender Detect 使用这些安全配置文件来检测异常，并通过 Amazon CloudWatch 指标和 Amazon Simple Notification Service 通知发送提醒。

AWS IoT Device Defender Detect 能够检测相连设备中频繁出现的安全问题：
+ 从设备到已知恶意 IP 地址，或表示潜在恶意命令和控制渠道的未经授权终端节点的流量。
+ 表明设备正在参与 DDoS 攻击的恶意流量，例如出站流量高峰。
+ 其远程管理接口和端口支持远程访问的设备。
+ 发送到您账户的消息速率激增 （例如，来自可能导致过量按每条消息收费的流氓设备）。使用案例：

评估攻击面  
可以使用 AWS IoT Device Defender Detect 评估设备的攻击面。例如，可以识别服务端口通常成为攻击活动目标的设备（在端口 23/2323 上运行的 telnet 服务，在端口 22 上运行的 SSH 服务，在端口 80/443/8080/8081 上运行的 HTTP/S 服务）。虽然在设备上使用这些服务端口可能有合法的原因，但是它们也通常是敌人攻击面的一部分，并且具有相关风险。在 AWS IoT Device Defender Detect 向您发出攻击面告警后，您可以将攻击面降至最低（通过消除未使用的网络服务），或运行其它评估来识别安全漏洞（例如，使用常见、默认或弱密码配置的 telnet）。

检测设备行为异常以及可能的安全根本原因  
您可以使用 AWS IoT Device Defender Detect 提醒您可能表明安全违规的意外设备行为指标（开放端口数量、连接数量、意外开放端口、与意外 IP 地址的连接）。例如，TCP 连接数量高于预期，可能表明设备正被用于 DDoS 攻击。侦听的端口不是预计的端口，可能表明设备上安装了用以进行远程控制的后门。您可以使用 AWS IoT Device Defender Detect 探测设备实例集的运行状况，并验证安全假设（例如，没有设备在侦听端口 23 或 2323）。  
您可以启用基于机器学习 (ML) 的威胁检测，以自动识别潜在威胁。

检测配置错误的设备  
从设备发送到账户的信息数量或大小激增，可能表明设备配置错误。此类设备可能会增加每条消息的费用。同样，如果设备多次授权失败，则可能要求重新配置策略。

## 监控未注册设备的行为
<a name="detect-unregistered-devices"></a>

AWS IoT Device Defender Detect 使得识别未在 AWS IoT 注册表中注册的设备的异常行为成为可能。您可以定义特定于以下目标类型之一的安全配置文件：
+ 所有设备
+ 所有已注册的设备（AWS IoT 注册表中的事物）
+ 所有未注册的设备
+ 事物组中的设备

安全配置文件为账户中的设备定义一组预期行为，并指定在检测到异常时要执行的操作。安全配置文件应附加到最具体的目标，以便您精细控制要针对该配置文件评估哪些设备。

未注册的设备在整个设备生命周期内必须提供一致的 MQTT 客户端标识符或事物名称（对于报告设备指标的设备），以便所有违规和指标都归属到相同设备。

**重要**  
如果事物名称包含控制字符，或事物名称的长度超过 128 字节的 UTF-8 编码字符，则将拒绝设备报告的消息。