阿里云首页 IoT安全中心

威胁检测

本文介绍通过IoT安全中心对物联网设备进行持续性的安全检测。

威胁概览

您可以通过威胁概览了解IoT安全中心支持的威胁检测项、威胁告警总量、已处理威胁数量、未处理威胁数量。

您也可以通过告警等级分布图查看一段时间内每天产生的告警数量、告警等级的分布,通过详细的告警列表查看告警的具体信息。

image.png

检测项说明

检测项

说明

设备连接未加密

设备与物联网平台之间,未使用加密协议建立安全连接,可能导致数据被劫持、重放攻击,对业务造成影响。

低版本TLS协议

低版本TLS协议(TLS v1.0、v1.1)存在可被利用的安全漏洞,可能会造成设备数据泄露等安全威胁。

设备身份信息泄漏和冲突

多个设备使用同一个身份信息,会造成设备不能稳定在线、设备数据泄露等安全威胁。

设备身份信息泄露(一型一密)

在一型一密场景中,多个设备使用同一个身份信息,会造成设备不能稳定在线、设备数据泄露等安全威胁。

设备身份暴力破解

设备被暴力破解,导致身份信息泄露,会造成正常设备被迫下线、业务数据被窃取等安全威胁。

设备身份验证失败

设备身份认证信息错误,导致设备无法上线,可能会对业务造成影响。

设备异地连接检测

物联网设备短期内在多个不同的城市上线,并且存在频繁上下线的情况。

多个设备使用同一个身份信息或设备身份信息泄露,均会导致上述情况发生,造成设备数据泄露等安全威胁。

本地登录检测

检测是否存在本地登录设备的行为。

暴力破解登录检测

检测是否存在暴力破解登录设备的行为。

DNS隧道检测

检测设备上可能存在的DNS隧道,攻击者可以通过DNS隧道控制设备或者窃取设备数据。

恶意文件检测

检测设备是否存在恶意文件。

端口扫描检测

检测可能的端口扫描行为。

低风险命令检测

检测设备是否执行了低风险命令。

中风险命令检测

检测设备是否执行了中风险命令。

高风险命令检测

检测设备是否执行了高风险命令。

删除用户行为检测

检测设备是否存在删除用户的行为。

修改用户组行为检测

检测设备是否存在修改用户组的行为。

罕见进程检测

检测设备运行的可疑进程。可疑进程只在少数设备运行过,可能是恶意程序。

添加用户行为检测

检测设备是否存在添加用户的行为。

任务管理

  1. 登录IoT安全中心控制台

  2. 在左侧导航栏选择安全检测 > 威胁检测

  3. 威胁检测页面,单击任务管理

  4. 任务管理面板,查看所有威胁检测任务的状态。

    picture
  5. ​在告警任务列表中,选择目标告警任务,在操作列可执行启用、停用、查看、删除操作。

    注意
    • 系统自带的威胁检测任务无法删除,仅通过安全分析自定义添加的威胁检测任务可以删除。

    • 基础安全检测任务,无法停用或删除。包括:设备连接未加密、低版本TLS协议、设备身份信息泄漏和冲突、设备身份信息泄露(一型一密)、设备身份暴力破解、设备身份验证失败、设备异地连接检测。