我可以监视网络中是否存在恶意IoT设备活动吗？

为了减轻或管理家庭网络中的某些设备受到威胁的风险，监视网络流量以检测威胁是否可行？

我对解决方案特别感兴趣，这些解决方案不需要我成为网络专家，也不需要投资于廉价的单板计算机。这是实际上可以集成在路由器防火墙中的功能吗？还是很难解决这个问题以至于没有一个简单易配置的解决方案？

我不是在问Wireshark，而是在寻求一个可以生成可疑活动警报的独立系统。还考虑将更多的精力放在为有能力的业余爱好者设置实用而不是强大的生产质量解决方案上。

附录： 我看到现在有一​​个kickstarter项目（akita），该项目似乎提供了基于本地WiFi嗅探驱动的基于云的分析。

这不是一个简单的话题。就像您所说的那样，检测到危害可能会以多种形式发生，并且就系统或网络行为而言会导致多种结果。观察可能需要了解正常和可疑系统和网络行为之间的区别。

对于在网络层家庭解决方案，推荐的选项是（透明）代理或运行多个网络服务的定制网关（即，DHCP，DNS）和安全应用（例如，防火墙，入侵检测系统，代理）有记录，可以帮助（例如 HTTP代理，DNS查询），强化（例如过滤，黑名单，白名单），监视（例如网络流量）和基于签名的警报。主要工具包括Bro，IPFire，pfSense和Snort。

有关 示例设置的详细信息，请参阅在家庭路由器上设置代理服务器以启用内容过滤。

这是不平凡的。每个稍微复杂的物联网设备都将通过HTTPS进行通信，即使您的路由器中确实有一个不受损害的Internet网关，也很难知道它在说什么。

不幸的是，您不知道IoT设备应该与哪个端点通信，而哪个端点不可以与之通信。尽管大多数大型消费电子产品供应商将拥有专用的后背骨，但这并不意味着这些设备可能没有充分的理由与其他信息提供者进行交流（例如，气象服务，烹饪食谱社区等）。

您可能不知道的所有这些事情，甚至更糟的是，通过物联网设备的空中更新可以完全改变这种行为。如果您使用黑名单或白名单过滤条件设置了自己的安全网关，则可能会严重阻碍设备的功能。例如，您可能已经成功确定了要列入白名单的所有常用地址，但是您永远都不会得到更新，因为这些地址很少使用。

答案：模式识别

通常通过模式识别来检测设备是否受到威胁。这不是一件简单的事情，但是很容易实现，如果您的烤面包机被黑客入侵并开始发送垃圾邮件，那么安全网关上的模式识别引擎将检测到行为发生了彻底改变。

此时，所需的复杂性已超出“便宜的单板计算机”级别。可用的最简单的解决方案是设置SNORT之类的东西，这是一个入侵检测系统。最初，它会提醒您所有正在发生的事情，并且您会得到太多的误报。通过随着时间的推移对其进行培训（本身就是手动过程），您可以将其降低到合理的警报率，但是在消费者市场上目前没有“预装”解决方案。他们要么需要大量的资金投资（企业/商业解决方案），要么需要时间（开源DIY类解决方案），这两种方式都会使解决方案超出可接受的复杂性范围。老实说，您最好的选择是像SNORT这样的东西-“足够好”的东西

该NoDDos工具我正在开发的目标是按照您的要求进行。现在，它可以通过将IOT设备与已知配置文件列表匹配来识别IOT设备，它可以收集每个匹配的IOT设备的DNS查询和流量，并将其上传到云中，以基于大量设备进行模式分析。下一步是在家庭网关上实现ACL，以限制每个IOT设备的流量。该工具旨在在家庭网关上运行。当前版本是用Python编写的，要求您在OpenWRT HGW上运行Python或在Linux DIY路由器上安装。在OpenWRT中，我尚无法收集有关流量的信息，但是在Linux DIY路由器上，我可以使用ulogd2。因此，现在您需要一个带有常规Linux发行版的基于Linux的简单路由器，以使其完全正常运行并随流量一起运行，但是一旦完成我对C ++的移植，

您可以阅读我的博客以获取有关该工具如何工作的更多信息。

简而言之，正在进行标准化和产品开发以解决该问题。在此之前，很少有不需要一些网络知识的简单答案。

我的卑鄙建议很容易实现，并且会为您的本地网络提供一些保护（尽管它不会对整个Internet起到保护作用），而除了如何插入和使用无线路由器外，您无需了解任何有关网络的知识即可。

为您的家庭网络购买一个单独的无线路由器，并将其仅用于您的IoT设备。这将使IoT设备更难发现和攻击您的其他设备（例如PC，平板电脑和智能手机）。同样，它将为您的物联网提供一些保护，使其免受可能拥有的受损计算设备的侵害。

该解决方案可能会打破某些局面，但是这个不受欢迎的事实反过来为解决方案提供了帮助：当今，许多物联网设备通过制造商控制的云基础架构实现远程通信，这将帮助您的物联网与计算设备通信比将它们放在同一网络上。它还允许制造商收集有关您的个人信息，并将其提供给第三方。