如何检测异常物联网设备活动?

到2025年，预计将有250亿台物联网设备，贡献1.1万亿美元的行业收入(根据aGSMA最近的研究）.鉴于这些设备在我们生活中日益突出，以及它们日益广泛的功能，确保它们的安全性和正确的行为应该是物联网用户和制造商共同关注的关键问题应该作为关键字目前。

我们家里和工作场所的联网设备可以帮助我们控制日常生活的更多方面，包括麦克风和摄像头在内的许多设备可以看到和听到我们所做的一切。然而，考虑到这些特性可能代表的风险，目前市场上大多数物联网设备(尤其是低端物联网设备)几乎没有安全措施或根本没有安全措施，这是一个巨大的漏洞。物联网市场更感兴趣的是以低价格提供用户想要的功能。

但正如新闻标题不断提醒我们的，物联网设备可能也确实经常被黑客攻击，后果是严重的。这消息到处都是令人毛骨悚然的故事在家庭和企业环境中进行基于物联网的间谍活动，以及由大量受损物联网设备构建的大规模僵尸网络造成的似乎无穷无尽的破坏实例，这些僵尸网络可以让企业甚至主要互联网基础设施离线强大的分布式拒绝服务攻击．

好消息是，即使物联网设备没有提供制造商提供的嵌入式安全，仍然有可能确保它们是安全的，并在一个不受影响的网络环境中运行。通过物联网设备发现、分析和异常活动检测的动态方法，应该监控设备的正确行为，那些显示出被干扰迹象的设备可以减轻行为并消除安全问题。

该策略的第一步是识别哪些设备连接到本地网络级别的路由器。鉴于物联网生态系统的范围和性质,无数的设备我们都携带可能试图连接到本地网络我们碰巧经过,现在可能知道或跟踪的所有设备连接到我们的网络通过手动方式。审查所有设备行为的任务更具挑战性。

动态物联网设备发现和分析通过在路由器、网关、utm和其他网络设备中包含一个模块，可以查看所有入站和出站的网络流量，它是识别任何连接到网络的设备的过程，直到其特定的制造和型号。通过研究OSI模型的所有七层，该模型包括每个设备的独特指纹，然后用已识别物联网设备配置文件的数据库补充这一知识，该策略几乎可以适用于家庭或企业中的任何连接设备。当设备使用组织唯一标识符(OUIs)时——这在产品线较窄的品牌中更为常见——一旦设备加入网络，分析通常只需不到一分钟。在设备oui覆盖几种设备类型的情况下，概要分析策略将利用端口扫描、协议分析和其他类似的高级检测技术来在几分钟内完成识别。

随着网络上每个连接的设备被准确识别，异常行为检测能够监控行为，以不断验证设备是否按照预期执行其职责。如果一个设备开始进行可疑的连接或表现出其正常操作之外的异常行为，您将有一个相当强的迹象表明，该设备可能受到威胁，并从事恶意活动。也有可能是设备仅仅需要软件更新，或者更糟的是，它处于主动攻击者的直接控制之下。但通过实时识别这些异常，可以在造成严重伤害之前消除最糟糕的行为。异常活动检测还可以识别脆弱(但尚未破解)的设备，比如那些安全措施薄弱、需要近距离观察的物联网设备。

如果考虑网络安全策略，确保用于通知异常活动检测的标准不断更新，以跟上设备使用和行为的自然变化。同样，这些检测技术的设计特点是满足处理网络上越来越多的设备所需的可伸缩性，特别是随着物联网应用的扩大。有了动态物联网设备发现、分析和异常活动检测，可以更有效地克服保护网络的挑战(即使设备制造商在他们这方面没有提供太多帮助)。

所有物联网议程网络贡献者对其帖子的内容和准确性负责。观点是作者的，并不一定传达物联网议程的思想。