威胁检测
本文介绍通过IoT安全中心对物联网设备进行持续性的安全检测。
威胁概览
您可以通过威胁概览了解IoT安全中心支持的威胁检测项、威胁告警总量、已处理威胁数量、未处理威胁数量。
您也可以通过告警等级分布图查看一段时间内每天产生的告警数量、告警等级的分布,通过详细的告警列表查看告警的具体信息。
检测项说明
不同的接入方式支持的威胁检测项是有差异的。
告警任务 | 适用接入方式 | 严重等级 | 说明 |
恶意IP检测 | 直连设备/日志检测 | 严重 | 检测设备连接的IP地址是否为恶意IP地址,攻击者会利用恶意IP地址非法登录、操控设备。 |
恶意域名检测 | 直连设备/日志检测 | 严重 | 检测设备连接的域名是否为恶意域名,攻击者会利用恶意IP地址非法登录、操控设备。 |
恶意文件检测 | 直连设备 | 严重 | 检测设备中是否存在恶意文件,攻击者可以利用恶意文件控制/破坏设备,甚至威胁整个物联网系统。 |
暴力破解登录检测 | 直连设备 | 严重 | 检测是否存在暴力破解设备登录账号/密码的行为,攻击者会通过字典破解设备登录密码,从而获取设备的远程控制权限。 |
本地登录检测 | 直连设备 | 高危 | 检测是否存在本地登录设备的行为。 |
DNS隧道检测 | 直连设备 | 高危 | 检测设备上可能存在的DNS隧道,攻击者可以通过DNS隧道控制设备或者窃取设备数据。 |
端口扫描检测 | 直连设备 | 高危 | 检测可能的端口扫描行为,攻击者会通过端口扫描探测设备的脆弱性,进而有针对性的发起攻击。 |
高风险命令检测 | 直连设备 | 高危 | 检测设备是否执行了高风险命令。 |
中风险命令检测 | 直连设备 | 中危 | 检测设备是否执行了中风险命令。 |
添加用户行为检测 | 直连设备 | 中危 | 检测设备是否存在添加用户的行为。 |
低风险命令检测 | 直连设备 | 低危 | 检测设备是否执行了低风险命令。 |
修改用户组行为检测 | 直连设备 | 低危 | 检测设备是否存在修改用户组的行为。 |
删除用户行为检测 | 直连设备 | 低危 | 检测设备是否存在删除用户的行为。 |
罕见进程检测 | 直连设备 | 低危 | 检测设备运行的可疑进程,可疑进程会将自己伪装起来,寻找机会破坏/控制设备。 |
可疑异地访问检测 | 直连设备 | 低危 | 检测跨区域访问设备的连接,是否存在恶意行为。 |
恶意IP连接物联网平台检测 | 日志检测 | 严重 | 识别连接到平台的IP地址是否存在恶意IP,攻击者会利用恶意IP地址连接设备并且植入恶意程序或攻击代码。 |
设备身份暴力破解检测 | 日志检测 | 严重 | 设备被暴力破解,导致身份信息泄露,会造成正常设备被迫下线、业务数据被窃取等安全威胁。 |
设备身份重复/泄露检测 | 日志检测 | 严重 | 检测是否存在多台设备使用相同的身份进行认证和连接,可能是攻击者在尝试将非法设备接入到物联网系统。 |
低版本TLS协议检测 | 日志检测 | 高危 | 低版本TLS协议(TLS v1.0、v1.1)存在可被利用的安全漏洞,可能会造成设备数据泄露等安全威胁。 |
设备身份信息泄露检测(一型一密) | 日志检测 | 高危 | 在一型一密场景中,多个设备使用同一个身份信息,会造成设备不能稳定在线、设备数据泄露等安全威胁。 |
设备身份验证失败检测 | 日志检测 | 高危 | 设备身份认证信息错误,导致设备无法上线,可能会对业务造成影响。 |
连接未加密检测 | 日志检测 | 高危 | 设备与物联网平台之间,未使用加密协议建立安全连接,可能导致数据被劫持、重放攻击,对业务造成影响。 |
设备异地连接检测 | 日志检测 | 中危 | 物联网设备短期内在多个不同的城市上线,并且存在频繁上下线的情况。 多个设备使用同一个身份信息或设备身份信息泄露,均会导致上述情况发生,造成设备数据泄露等安全威胁。 |
设备异常离线行为检测 | 日志检测 | 中危 | 统计单个设备在单位时间内的离线/掉线次数,相对历史离线/掉线频率有明显偏差(偏低/偏高)。可能存在恶意代码、被恶意控制等安全威胁,导致设备故障、连接不稳定。 |
设备频繁认证失败检测 | 日志检测 | 中危 | 单位时间内设备多次认证失败,可能存在设备故障、攻击者操控未授权的设备尝试接入等安全威胁。 |
设备异常上线行为检测 | 日志检测 | 低危 | 统计单个设备在单位时间内的上线次数,相对历史上线频率有明显偏差(偏低/偏高)。可能存在恶意代码、被恶意控制等安全威胁,导致设备故障、连接不稳定。 |
设备异常发送数据量检测 | 日志检测 | 低危 | 统计单个设备在单位时间内发送的数据总量,相对历史发送的数据总量有明显偏差(偏低/偏高)。可能存在恶意代码、被恶意控制等安全威胁,导致非法网络访问、流量恶意消耗。 |
设备异常发送消息检测 | 日志检测 | 低危 | 统计单个设备在单位时间内发送的消息条数,相对历史发送的消息条数有明显偏差(偏低/偏高)。可能存在恶意代码、被恶意控制等安全威胁,导致非法网络访问、流量恶意消耗。 |
设备异常接收数据量检测 | 日志检测 | 低危 | 统计单个设备在单位时间内接收的数据总量,相对历史接收的数据总量有明显偏差(偏低/偏高)。可能存在恶意代码、被恶意控制等安全威胁,导致非法网络访问、流量恶意消耗。 |
设备异常接收消息检测 | 日志检测 | 低危 | 统计单个设备在单位时间内接收的消息条数,相对历史接收的消息条数有明显偏差(偏低/偏高)。可能存在恶意代码、被恶意控制等安全威胁,导致非法网络访问、流量恶意消耗。 |
弱口令检测 | 安全网关 | 严重 | 检测设备中是否存在弱口令。弱口令会使攻击者更容易获取访问权限、管理员权限。 |
风险端口检测 | 安全网关 | 低危 | 检测设备中开放的端口是否存在不必要的端口、风险端口。这些端口会使攻击者更容易获取设备的控制权限。 |
任务管理
登录IoT安全中心控制台。
在左侧导航栏选择安全检测 > 威胁检测。
在威胁检测页面,单击任务管理。
在任务管理面板,查看所有威胁检测任务的状态。
在告警任务列表中,选择目标告警任务,在操作列可执行启用、停用、查看、删除操作。
注意系统自带的威胁检测任务无法删除,仅通过安全分析自定义添加的威胁检测任务可以删除。
基础安全检测任务,无法停用或删除。包括:设备连接未加密、低版本TLS协议、设备身份信息泄漏和冲突、设备身份信息泄露(一型一密)、设备身份暴力破解、设备身份验证失败、设备异地连接检测。