IoT安全服务的制作方法

物联网(“iot”)一般是指能够通过网络通信的设备的系统。设备可以包括日常用品，诸如烤面包机、咖啡机、恒温系统、洗衣机、烘干机、灯、汽车等。网络通信可以用于设备自动化、数据捕获、提供警报、设置的个性化以及许多其他应用。

技术实现要素：

提供本发明内容从而以简化的形式介绍下面在具体实施方式中进一步描述的一系列概念。本发明内容不旨在确定要求保护的技术方案的关键特征或必要特征，也不旨在用于限制要求保护的技术方案的范围。

简单来说，所公开的技术总体上涉及iot环境中的设备安全。例如，这样的技术可用在iot安全中。在该技术的一个示例中，存储与至少一个iot设备的预期条件相关联的一组安全规则。接收与至少一个iot设备相关联的iot数据。iot数据可以是包括至少两种不同类型的数据的聚合数据。基于iot数据来做出关于该组安全规则是否已经被违反的确定。基于该确定来选择性地发送警报。

本公开的一些示例包括一种系统，该系统使用关于iot设备安全状态的遥测并且使用来自其他iot设备的其他环境数据来监测、检测和减轻对iot设备的安全威胁。在一些示例中，来自该环境中的多个iot设备的遥测数据被使用，并且环境的模型被形成。在一些示例中，得到的模型用于检测诸如入侵和篡改等安全威胁。

在阅读和理解附图和描述后，将领会所公开的技术的其他方面和应用。

附图说明

参考以下附图来描述本公开的非限制性且非详尽的示例。在附图中，除非另行指出，否则贯穿各个附图，类似的附图标记指代类似的部分。这些附图不一定是按比例绘制的。

为了更好地理解本公开，将参考要与附图相关联地阅读的以下具体实施方式，在附图中：

图1是图示该技术的方面可以被采用于其中的合适的环境的一个示例的框图；

图2是图示根据所公开的技术的方面的合适的计算设备的一个示例的框图；

图3是图示用于iot安全的系统的一个示例的框图；

图4是图示用于iot安全的过程的示例数据流的示图；以及

图5是图示根据本公开的方面的用于iot安全的过程的示例的逻辑流程图。

具体实施方式

以下描述提供了具体细节以用于透彻理解技术的各个示例并且实现针对技术的各个示例的描述。本领域技术人员将理解，该技术可以在没有这些细节中的许多的情况下来实践。在一些实例中，公知的结构和功能没有详细示出或描述，以避免不必要地模糊对该技术的示例的描述。本公开中使用的术语旨在以其最宽泛的合理的方式来解读，即使其结合该技术的某些示例的详细描述而被使用。尽管可以在下面强调某些术语，但是旨在以任何受限制的方式来解读的任何术语将如在本具体实施方式部分中明显地且具体地定义的那样。在整个说明书和权利要求书中，以下术语采用至少本文中明确相关联的含义，除非上下文另行指示。下面标识的含义不一定限制术语，而是仅仅提供针对术语的说明性示例。例如，术语“基于”和“根据”中的每一个不是排他性的，并且等同于术语“至少部分地基于”并且包括基于附加因素的选项，其中的一些附加因素可以未在本文中描述。作为另一示例，术语“经由”不是排他性的，并且等同于术语“至少部分地经由”并且包括经由附加因素的选项，其中的一些附加因素可以未在本文中描述。“中”的含义包括“中”和“上”。如本文中所使用的短语“在一个实施例中”或“在一个示例中”不一定指代相同实施例或示例，尽管它可以是如此。对特定文本数字指示符的使用并不暗示更小值的数字指示符的存在。例如，记载“从包括三个foo和四个bar的组中选择的小组件”本身并不暗示存在至少三个foo，也不暗示存在至少四个bar元素。单数的引用仅仅出于阅读的清楚性而做出并且包括复数引用，除非复数引用被明确排除。术语“或”是包含性“或者”操作符，除非另行明确指示。例如，短语“a或者b”意指“a、b或者a和b”。如本文中所使用的，术语“组件”和“系统”旨在涵盖硬件、软件或者硬件和软件的各种组合。因此，例如，系统或组件可以是过程、运行于计算设备上的过程、计算设备或者其一部分。术语“iot中枢”不限于一种特定类型的iot服务，而是指代在供应(provisioning)之后iot设备通信针对至少一个iot解决方案或任何类型的iot服务而与之的设备。即，如贯穿说明书和权利要求书使用的术语“iot中枢”是任何iot技术方案通用的。

简单来说，所公开的技术总体上涉及iot环境中的设备安全。例如，这样的技术可用于iot安全中。在该技术的一个示例中，存储与至少一个iot设备的预期条件相关联的一组安全规则。接收与至少一个iot设备相关联的iot数据。iot数据可以是包括至少两种不同类型的数据的聚合数据。基于iot数据来做出关于该一组安全规则是否已经被违反的确定。基于该确定来选择性地发送警报。

在一些应用中，iot设备倾向于可能被远程地部署在不利的环境中。通常，这样的设备可能对设备的操作方或拥有者而言是在物理上不可访问的。这样的设备也可以“在野外”，使得它们无人照管并且在物理上对公众可用而没有物理监测、物理监督、或物理安全，并且因此人们可能能够在物理上篡改设备。某个人可能能够将恶意软件转移到这样的设备，从这样的设备窃取证书等。本公开的示例监测设备的安全，检测对设备的入侵和/或威胁，和/或将这样的入侵和/或威胁传送到远程方，例如可能能够减轻入侵和/或威胁的系统或操作方。

本公开的一些示例包括一种使用关于iot设备安全状态的遥测信息、使用遥测数据并且使用来自其他iot设备的其他环境数据来监测、检测和/或减轻对iot设备的安全威胁的系统。在一些示例中，数据收集代理被部署在iot设备上，并且由这样的iot设备生成的传感器数据用于建模和检测对iot设备的安全威胁。这些数据收集代理可以使用配置数据来远程地配置。

在一些示例中，各种iot设备上的多个代理可以用于收集各种类型的数据，其可以然后用于联合地形成设备操作和入侵的更全面模型。在一些示例中，来自iot设备本身的代理数据用于报告iot设备的安全状态。在一些示例中，来自设备的集合的代理数据用于形成操作环境的模型。在一些示例中，来自该环境中的多个iot设备的遥测数据被使用，并且环境的模型被形成。

在一些示例中，得到的模型用于检测诸如入侵和/或篡改的安全威胁。

说明性设备/操作环境

图1是该技术的方面可以被实践于其中的环境100的示图。如所示，环境100包括计算设备110以及经由网络130连接的网络节点120。尽管在图1中示出了环境100的特定组件，但是在其他示例中，环境100还可以包括附加的和/或不同的组件。例如，在某些示例中，环境100还可以包括网络存储设备、维护管理器和/或其他合适的组件(未示出)。图1中示出的计算设备110可以在各种位置中，包括在本地、在云中等等。例如，计算设备110可以在客户端侧上、在服务器侧上等等。

如图1所示，网络130可以包括一个或多个网络节点120，其将多个计算设备110相互连接，并且将计算设备110连接到外部网络140，例如互联网或内联网。例如，网络节点120可以包括交换机、路由器、中枢、网络控制器、或者其他网络元件。在某些示例中，计算设备110可以被组织成机架、动作区、群组、集合、或者其他合适的划分。例如，在图示的示例中，计算设备110被分组成三个主机集合，单独被标识为第一主机集合、第二主机集合以及第三主机集合112a-112c。在图示的示例中，主机集合112a-112c中的每个集合分别被操作地耦合到对应网络节点120a-120c，其统称为“机架顶”或“tor”网络节点。tor网络节点120a-120c可以然后被操作地耦合到附加的网络节点120以分层的、扁平的、网状的或其他合适类型的拓扑结构形成计算机网络，其允许在计算设备110与外部网络140之间的通信。在其他示例中，多个主机集合112a-112c可以共享单个网络节点120。计算设备110可以是几乎任何类型的通用或专用计算设备。例如，这些计算设备可以是用户设备，诸如台式计算机、膝上型计算机、平板计算机、显示设备、相机、打印机、或者智能电话。然而，在数据中心环境中，这些计算设备可以是服务器设备，诸如应用服务器计算机、虚拟计算主机计算机、或者文件服务器计算机。此外，计算设备110可以被单独地配置为提供计算、存储和/或其他合适的计算服务。

在一些示例中，如下面更详细地讨论的，计算设备110中的一个或多个是iot设备、网关设备、包括iot中枢的部分或全部的设备、包括设备门户服务的部分或全部的设备等等。

说明性计算设备

图2是图示该技术的方面可以被实践于其中的计算设备200的一个示例的示图。计算设备200可以是几乎任何类型的通用或专用计算设备。例如，计算设备200可以是用户设备，诸如台式计算机、膝上型计算机、平板计算机、显示设备、相机、打印机、或智能电话。同样地，计算设备200也可以是服务器设备，诸如应用服务器计算机、虚拟计算主机计算机、或者文件服务器计算机，例如计算设备200可以是图1的计算设备110或网络节点120的示例。计算设备200也可以是连接到网络以接收iot服务的iot设备。同样地，计算设备200可以是图3-5中图示或涉及的任何设备的示例，如下面更详细地讨论的。如图2所示，计算设备200包括处理电路210、操作存储器220、存储器控制器230、数据存储存储器250、输入接口260、输出接口270以及网络适配器280。计算设备200的这些前面列出的组件中的每个组件包括至少一个硬件元件。

计算设备200包括至少一个处理电路210，处理电路210被配置为运行指令，诸如用于实施本文中描述的工作负载、过程或技术的指令。处理电路210可以包括微处理器、微控制器、图形处理器、协同处理器、现场可编程门阵列、可编程逻辑设备、信号处理器、或者适合于处理数据的任何其他电路。前述指令以及其他数据(例如，数据集、元数据、操作系统指令等等)可以在计算设备200的运行时期间被存储在操作存储器220中。操作存储器220还可以包括各种数据存储设备/组件中的任何设备/组件，诸如易失性存储器、半易失性存储器、随机存取存储器、静态存储器、高速缓存、缓冲器、或者用于存储运行时信息的其他介质。在一个示例中，当计算设备200断电时，操作存储器220不保留信息。相反，计算设备200可以被配置为将指令从非易失性数据存储组件(例如，数据存储组件250)转移到操作存储器220作为启动或其他加载过程的部分。

操作存储器220可以包括第4代双倍数据速率(ddr4)存储器、第3代双倍数据速率(ddr3)存储器、其他动态随机存取存储器(dram)、高带宽存储器(hbm)、混合内存立方体存储器、3d堆叠存储器、静态随机存取存储器(sram)、或者其他存储器，并且这样的存储器可以包括集成到dimm、simm、sodimm或者其他封装上的一个或多个存储器电路。这样的操作存储器模块或设备可以根据通道、存储芯片组(rank)和存储库(bank)来组织。例如，操作存储器设备可以经由通道中的存储器控制器230耦合到处理电路210。计算设备200的一个示例可以包括每个通道的一个或两个dimm，其中每个通道具有一个或两个存储芯片组。存储芯片组内的操作存储器可以利用共享时钟、以及共享地址和命令总线来操作。而且，操作存储器设备可以被组织成若干个存储库，其中存储库可以被认为是由行和列寻址的阵列。基于操作存储器的这样的组织，操作存储器内的物理地址可以由通道、存储芯片组、存储库、行和列的元组来指代。

尽管有以上讨论，但是操作存储器220具体地不包括或涵盖通信介质、任何通信媒介或者任何信号本身。

存储器控制器230被配置为将处理电路210接口连接到操作存储器220。例如，存储器控制器230可以被配置为在操作存储器220与处理电路210之间接口连接命令、地址以及数据。存储器控制器230还可以被配置为抽象或以其他方式管理来自处理电路210或者针对处理电路210的存储器管理的某些方面。尽管存储器控制器230被示为与处理电路210分离的单个存储器控制器，但是在其他示例中，多个存储器控制器可以被采用，(一个或多个)存储器控制器可以与操作存储器220等集成。另外，(一个或多个)存储器控制器可以被集成到处理电路210中。这些和其他变型是可能的。

在计算设备200中，数据存储存储器250、输入接口260、输出接口270以及网络适配器280由总线240接口连接到处理电路210。尽管图2将总线240示为单个无源总线，但是诸如总线集合、点到点链接集合、输入/输出控制器、桥接器、其他接口电路、或者其任何集合等其他配置也可以被适当地用于将数据存储存储器250、输入接口260、输出接口270或者网络适配器280接口连接到处理电路210。

在计算设备200中，数据存储存储器250被用于长期非易失性数据存储。数据存储存储器250可以包括各种非易失性数据存储设备/组件中的任何设备/组件，诸如非易失性存储器、磁盘、磁盘驱动器、硬盘驱动器、固态驱动器、或者可以用于信息的非易失性存储的任何其他介质。然而，数据存储存储器250具体地不包括或涵盖通信介质、任何通信媒介或者任何信号本身。相比于操作存储器220，数据存储存储器250由计算设备200用于非易失性长期数据存储，而非用于运行时数据存储。

而且，计算设备200可以包括或者被耦合到任何类型的处理器可读介质，诸如处理器可读存储介质(例如，操作存储器220和数据存储存储器250)和通信介质(例如，通信信号和无线电波)。尽管术语“处理器可读存储介质”包括操作存储器220和数据存储存储器250，但是在贯穿说明书和权利要求书的术语“处理器可读存储介质”，无论是以单数形式还是复数形式使用的，在本文中被定义为使得术语“处理器可读存储介质”具体地排除并且不涵盖通信介质、任何通信媒介或者任何信号本身。然而，术语“处理器可读存储介质”确实涵盖处理器高速缓存、随机存取存储器(ram)、寄存器存储器等等。

计算设备200还包括输入接口260，其可以被配置为使得计算设备200能够从用户或者从其他设备接收输入。另外，计算设备200包括输出接口270，其可以被配置为提供来自计算设备200的输出。在一个示例中，输出接口270包括帧缓冲器、图形处理器、图形处理器或加速器，并且被配置为渲染用于呈现在单独的视觉显示设备(诸如监测器、投影仪、虚拟计算客户端计算机等等)上的显示。在另一示例中，输出接口270包括视觉显示设备，并且被配置为渲染并呈现用于查看的显示。

在图示的示例中，计算设备200被配置为经由网络适配器280与其他计算设备或实体通信。网络适配器280可以包括有线网络适配器，例如以太网适配器、令牌环适配器、或者数字用户线(dsl)适配器。网络适配器280还可以包括无线网络适配器，例如wi-fi适配器、蓝牙适配器、zigbee适配器、长期演进(lte)适配器、或者5g适配器。

尽管计算设备200被示为具有以特定布置配置的某些组件，但是这些组件和布置仅仅是该技术可以被用于其中的计算设备的一个示例。在其他示例中，数据存储存储器250、输入接口260、输出接口270或者网络适配器280可以直接被耦合到处理电路210，或者经由输入/输出控制器、桥接器、或者其他接口电路被耦合到处理电路210。该技术的其他变型是可能的。

计算设备200的一些示例包括适于存储运行时数据的至少一个存储器(例如，操作存储器220)和至少一个处理器(例如，处理单元210)，该至少一个处理器分别适于执行处理器可执行代码，处理器可执行代码响应于执行而使得计算设备200能够执行动作。在一些示例中，使得计算设备200能够执行诸如下面的图4或图5的过程中的动作或者由下面的图3中的计算设备中的一个或多个执行的过程中的动作。

说明性系统

图3是图示用于iot通信的系统(300)的示例的框图。系统300可以包括网络330、iot中枢351、iot设备341-343、网关设备311和312以及设备门户服务313，它们全部连接到网络330。如先前所讨论的，术语“iot中枢”不限于一种特定类型的iot服务，而是指代在配置之后，iot设备针对至少一个iot方案或任何类型的iot服务而与之通信的设备。也就是说，如贯穿说明书和权利要求书所使用的术语“iot中枢”是对任何iot方案通用的。术语“iot设备”是指利用或旨在利用iot服务的设备。iot设备可以包括几乎连接到云以使用iot服务(包括出于遥测收集或任何其他目的)的任何设备。设备门户服务313包括提供设备门户的一个或多个设备。术语“iot中枢”是指iot设备针对iot服务而经由网络连接到的设备或诸如分布式系统的多个设备。

iot设备341-343、网关设备311和312和/或包括iot中枢351和/或设备门户服务313的设备中的每一个可以包括图2的计算设备200的示例。出于不限制本公开的范围的说明性目的，图3和说明书中对图3的对应描述示出了示例系统。

网络330可以包括一个或多个计算机网络，包括有线和/或无线网络，其中每个网络可以例如是无线网络、局域网(lan)、广域网(wan)和/或诸如互联网等全球网络。在一组互连的lan上，其中包括基于不同架构和协议的那些lan，路由器充当lan之间的链路，从而使得消息能够从一个lan被发送到另一个lan。而且，lan内的通信链路通常包括双绞线或同轴线缆，同时网络之间的通信链路可以利用模拟电话线、完全或部分专用数字线路(包括t1、t2、t3和t4)、综合业务数字网(isdn)、数字用户线(dsl)、包括卫星链路的无线链路、或者本领域技术人员已知的其他通信链路。另外，远程计算机和其他相关的电子设备可以经由调制解调器和临时电话链路被远程地连接到lan或wan。本质上，网络330包括信息可以通过其在iot中枢351、iot设备341-343、网关设备311-312以及设备门户服务313之间传播的任何通信方法。

作为一个示例，iot设备341-343是旨在利用由一个或多个iot中枢(诸如，iot中枢351)提供的iot服务的设备。设备门户服务313包括执行向iot设备的用户提供设备门户方面的动作的一个或多个设备。

可选的网关设备311和312是可以由iot设备341-343中的一些设备用于访问iot中枢351的设备。在一些示例中，在配置之后，iot设备341-343中的一些或全部设备在不使用中介的情况下与iot中枢351通信。在其他示例中，iot设备341-343中的一些或全部设备使用诸如网关设备311和312中的一个或多个设备等中介设备与iot中枢351通信。设备门户服务313是如下服务，该服务可以由iot设备的用户用于管理针对包括iot设备341-343的iot设备的iot服务。

系统300可以包括比图3中示出的设备更多或更少的设备，其仅通过示例的方式来示出。

说明性过程

为清楚起见，本文中描述的过程是按照由系统的特定设备或组件以特定顺序执行的操作来描述的。然而，应当注意，其他过程不限于所陈述的顺序、设备或组件。例如，某些动作可以以不同的顺序、并行地来执行，被省略，或者可以通过附加的动作或特征来补充，无论本文中是否描述了这样的顺序、并行化、动作或特征。同样地，本公开中描述的技术中的任何技术可以被并入到所描述的过程或其他过程中，无论该技术是否结合过程进行具体描述。所公开的过程还可以在其他设备、组件或系统上执行或者由其他设备、组件或系统执行，无论在本文中是否描述了这样的设备、组件或系统。这些过程还可以以各种方式来体现。例如，它们可以被体现在制品上，例如作为存储于处理器可读存储介质中的处理器可读指令，或者它们可以被执行为计算机实现的过程。作为备选示例，这些过程可以被编码为处理器可执行指令并且经由通信媒介发送。

图4是示出用于iot认证的过程(420)的示例数据流的示图。出于不限制本公开的范围的说明性目的，图4和说明书中对图4的对应描述示出了示例过程。

在所示出的示例中，首先，发生步骤421。在步骤421处，iot中枢451存储与至少一个iot设备(例如，iot设备441)的预期条件相关联的一组安全规则。在一些示例中，该组安全规则是基于对与至少一个iot设备(例如，iot设备441)相关联的iot数据的评估。所存储的该组安全规则可以例如基于iot设备的类型、基于特定部署上下文以及其他因素而不同。在下面将对该组安全规则进行更详细的讨论(在下面的步骤424处收集iot数据的讨论之后)。

如所示，在一些示例中接下来发生步骤422。在步骤422中，配置请求可以由设备门户服务413生成，并且然后配置请求可以从设备门户服务413被传送到iot中枢451。配置请求可以与调整存储在iot中枢451中的该组安全规则相关联。在一些示例中，配置请求是将一组安全规则改变为经调整的一组安全规则的请求。在不同的示例中，可以以不同的方式来做出配置请求。在一些示例中，存在使用默认的一组安全规则的基本模式，并且还存在用户可以做出改变默认的一组安全规则的配置请求的高级设置。如所示，在一些示例中接下来发生步骤423。在步骤423处，iot中枢451可以基于在步骤422处从设备门户服务413接收的配置请求来调整存储在iot中枢451中的该组安全规则。

如所示，在一些示例中接下来发生步骤424。在步骤424处，iot设备441从环境(例如，iot设备441附近的环境)中接收并收集环境数据，并且收集关于iot设备441的内部安全状态的数据。环境数据可以包括遥测数据、指示iot设备441是否已经被物理篡改的数据、和/或类似的数据。遥测数据可以包括温度、湿度、与iot设备相关联的位置的占用、地理定位、和/或类似物。关于iot设备441的内部安全状态的数据可以包括操作系统(os)版本、活动进程的当前状态、开放端口、所连接的设备的互联网协议(ip)地址和/或类似物。数据可以经由软件输入、硬件输入或者两者来被收集。

在一些示例中，在步骤424处收集的遥测数据可以包括iot设备已经收集的遥测。例如，作为温度传感器的iot设备可以已经被配置为收集温度数据。

iot设备441可以具有检测物理篡改的一个或多个篡改开关。在一个示例中，如果iot设备441尚未被物理篡改，则篡改开关关闭，并且如果iot设备441已经被物理篡改，则篡改开关打开。环境数据可以包括关于篡改开关是打开还是关闭的指示。例如，在一些示例中，iot设备441具有被连接到两个篡改开关的盖。如果盖被打开，则两个篡改开关打开。

在一些示例中，iot设备441可以包括软件代理，该软件代理收集环境数据和关于iot设备441的内部安全性的数据。在一些示例中，iot设备441具有软件数据收集代理，该软件数据收集代理被部署在iot设备441上以收集环境数据和/或内部状态数据。在一些示例中，iot设备中的一些或全部设备具有软件数据收集代理，该软件数据收集代理被部署在iot设备上以从iot设备收集环境数据和/或内部状态数据。

存储在iot中枢451中的该组安全规则基于iot设备(例如，441和/或图3的341-434)的正常行为的模型。该模型可以表示iot设备的状态，同时这些设备正在正常条件下工作。在一些示例中，该组安全规则充当可配置的iot设备模型。该组规则可以被如下定义，如果发生攻击或其他安全入侵或安全威胁，则该组规则被违反。

例如，iot设备可能经受各种类型的安全攻击，它们可以被分类为以下两种类别：网络攻击和物理攻击。网络攻击包括对设备的网络属性的攻击，诸如对操作系统、网络基础设施、连接以及数据的攻击。物理攻击包括诸如对设备的物理篡改、对设备的数据生成元件的操纵、重定位等攻击。在一些示例中，该组安全规则被生成或调整为使得该组安全规则的违反至少指示对一个或多个iot设备的攻击的可能性(例如，物理攻击或网络攻击)。因此，一旦发生这些攻击中的任何攻击，在一个示例中就应当发生该组规则的违反，因为从设备收集的数据将在之后与模型相反。模型可以包括针对遥测数据的一个或多个模式。

因此，该组安全规则可以定义正常操作条件，如果未满足正常操作条件，则可以指示安全威胁的可能性。例如，如果数据元素中的一个或多个数据元素在预期范围之外，则该组安全规则可以被违反。例如，该组安全规则可以要求温度在特定范围内、篡改开关关闭、某些黑名单进程不运行和/或类似物。预期范围或预期离散值可以依一天中的时间或其他因素而定。在一些示例中，不是简单地将每种类型的数据(诸如，温度等)与预期范围(或预期离散值)进行单独地比较，该组安全规则而是基于一起考虑的多种类型的数据，基于模型。例如，在一些示例中，超过预期范围的环境中的温度可能导致违反安全规则，除非在该环境中还存在占用。

在一些示例中，该组安全规则是基于由iot设备收集的环境数据和内部安全数据的模型，其中该模型有效地提供预期数据的“黄金”图像。黄金图像可以反映iot设备在不存在任何入侵或安全威胁的正常操作条件下的正常行为。基于接收的iot数据，如果一些方面与黄金图像不同，则取决于其他数据，可以认为该组安全规则被违反。例如，根据针对购物中心中的特定空间的占用传感器的黄金图像，占用传感器在预期没有人出现在商场中的某些小时内不应当显示占用。然而，规则可以规定例如如果购物中心大门打开，并且保安仍然出现在购物中心中，则在非预期时间处的占用不会触发对该组安全规则的违反。在一些示例中，来自多个iot设备的数据可以被包含在模型和该组安全规则中，以便确定该组规则是否已经被违反。通过使用来自多个iot设备的数据，设备操作以及操作环境和入侵的更全面的模型可以比模型基于一个iot设备的情况有用。

在一些示例中，该组安全规则包括进程白名单和进程黑名单中的一个或两者。进程白名单和黑名单可以有助于确定iot设备是否已经被恶意软件感染。进程“白名单”是指经批准的进程的列表，并且进程“黑名单”是指禁止的进程的列表。

在一些示例中，所收集的iot数据，包括所收集的遥测数据，可以用于帮助构建模型以便创建或调整该组安全规则。

如所示，在一些示例中接下来发生步骤425。在步骤425处，iot设备441可以做出关于是否向iot中枢451发送数据的确定。在一些示例中，在步骤425处，iot设备441简单地确定总是向iot中枢451发送所有数据。在一些示例中，仅仅响应于超过基于一个或多个类型的数据的阈值而发送数据。

例如，在一些示例中，iot设备441仅仅在所检测的温度在预定范围(诸如65-75华氏度)之外的情况下做出发送温度数据的确定。在一些示例中，温度在65-75华氏度范围之外的事实不在对安全规则的违反内并且本身不是对安全规则的违反—iot设备441不做出关于是否违反该组安全规则的确定，而是在该示例中，iot设备441响应于温度在特定范围之外仅发送温度数据，并且为此可以取决于其他因素而存在对该组规则的违反。

如所示，在一些示例中，在步骤425处的确定是肯定的时接下来发生步骤426。在步骤426处，iot数据可以从iot设备441被传送到iot中枢451。相反，如果在步骤426处的确定是否定的，则重新开始其他处理。

如所示，在一些示例中接下来在步骤426之后发生步骤427。在步骤427处，iot中枢451基于在步骤426处接收的iot数据来做出关于存储在iot中枢451中的该组安全规则是否已经被违反的确定。在一些示例中，在步骤427处的确定是将聚合的iot设备数据与可配置的iot设备模型进行比较。

如所示，在一些示例中，接下来发生步骤428。在步骤428处，iot中枢451基于在步骤427处的确定来选择性地向设备门户服务413发送警报发。如果在步骤427处确定该组规则被违反，则iot中枢451向设备门户服务413传送警报。相反，如果在步骤427处确定该组规则未被违反，则iot中枢451不发出警报。

如果iot设备441变得从云断开连接，则不能从iot设备441收集数据，但是iot设备441从云断开连接的事实本身是信息的一种形式，并且在一些示例中警报可以由与云断开连接的iot设备441造成。

在一些示例中，该组安全规则可以随时间进一步调整，用以减少误报，同时成功地检测到可能以其他方式未被检测到的攻击。在一些示例中，iot中枢451包括学习层，学习层从异常学习并且通过随时间改变该组安全规则并随时间学习而适应。

在一些示例中，iot设备441不是直接向iot中枢451发送iot数据，而是向网关设备(例如，图3的网关设备311或312)发送数据。在一些示例中，网关设备，而不是iot设备441，做出关于是否向iot中枢451发送iot数据的确定。在一些示例中，多个不同的iot设备(例如，图3的341-343)向一个网关设备发送iot数据，该网关设备在确定是否向iot中枢451发送iot数据以及向iot中枢451发送哪些iot数据之前聚合数据。

在一些示例中，在步骤428处，不是简单地发出警报，可以确定的其他细节，包括例如关于攻击或威胁的本质的信息，也连同警报一起从iot集线器451被传送到设备端口服务413。例如，如果iot中枢451通过gps确定设备已经被移动，并且根据其他iot数据确定恶意软件已经被安装，则该攻击的本质可以从iot中枢451被传送到设备门户服务413，其可能是与这两个事件中的仅一个事件已经发生的情形不同的情形。来自多个iot设备的聚合数据也可以在适用时被用于在从iot中枢451到设备门户服务413的通信中进一步描述安全威胁的本质。

图5是示出用于iot认证的过程(590)的示例的逻辑流程图。在一个示例中，过程590由诸如图1的iot中枢351等iot中枢执行。在开始框之后，过程进行到框591。在框591处，存储与至少一个iot设备的预期条件相关联的一组安全规则。该过程然后移动到框592。在框592处，接收与至少一个iot设备相关联的iot数据。iot数据可以是包括至少两种不同类型的数据的聚合数据。该过程然后前进到决策框593。

在决策框593处，基于iot数据来做出关于该组安全规则是否已经被违反的确定。如果在决策框593处的确定是否定的，则过程进行到返回框，重新开始其他处理。相反，如果在决策框593处的确定是肯定的，则过程进行到框594，警报被发送。例如，在一些示例中，警报被发送设备门户服务。然后，过程进行到返回框，重新开始其他处理。以这种方式，基于在决策框593处的确定来选择性地发送警报。

结论

尽管以上具体实施方式描述了该技术的某些示例，并且描述了所预期的最佳模式，但是不管以上如何详细地出现在文本中，该技术都可以以许多方式来实践。细节可以依实施方式而变化，同时仍然被本文中描述的技术涵盖。如以上所指出的，在描述该技术的某些特征或方面时所使用的特定术语不应当被理解为暗示该术语在本文中被重新定义为限制于与该术语相关联的具体特性、特征或方面。总体上，以下权利要求中所使用的术语不应当被理解为将该技术限制于本文中公开的具体示例，除非具体实施方式明确地定义了这样的术语。因此，该技术的实际范围不仅涵盖所公开的示例，而且涵盖实践或实施该技术的所有等同方式。