ML Detect - AWS IoT Device Defender

ML Detect

Con Machine Learning Detect (ML Detect), puede crear perfiles de seguridad que utilizan el machine learning para conocer el comportamiento esperado de los dispositivos mediante la creación automática de modelos basados en los datos históricos de los dispositivos y asignar estos perfiles a un grupo de dispositivos o a todos los dispositivos de su flota. A continuación, AWS IoT Device Defender identifica las anomalías y activa las alarmas mediante los modelos de machine learning.

Para obtener información sobre cómo empezar a usar ML Detect, consulte Guía de ML Detect.

Casos de uso de ML Detect

Puede usar ML Detect para monitorizar los dispositivos de su flota cuando sea difícil establecer el comportamiento esperado de los dispositivos. Por ejemplo, para monitorizar la métrica del número de desconexiones, es posible que no quede claro qué se considera un umbral aceptable. En este caso, puede habilitar ML Detect para identificar puntos de datos de métricas de desconexión anómalos en función de los datos históricos notificados por los dispositivos.

Otro caso de uso de ML Detect es monitorizar los comportamientos de los dispositivos que cambian dinámicamente con el tiempo. ML Detect aprende periódicamente los comportamientos dinámicos esperados de los dispositivos en función de los cambios en los patrones de datos de los dispositivos. Por ejemplo, el volumen de mensajes enviados por el dispositivo puede variar entre los días de la semana y los fines de semana, y ML Detect aprenderá este comportamiento dinámico.

Cómo funciona ML Detect

Con ML Detect, puede crear comportamientos para identificar anomalías operativas y de seguridad en 6 métricas del lado de la nube y 7 métricas del lado del dispositivo. Tras el período de formación inicial del modelo, ML Detect actualiza los modelos a diario en función de los últimos 14 días de datos. Supervisa los puntos de datos de estas métricas con los modelos de machine learning y activa una alarma si se detecta una anomalía.

ML Detect funciona mejor si se asocia un perfil de seguridad a un conjunto de dispositivos con comportamientos esperados similares. Por ejemplo, si algunos de sus dispositivos se utilizan en los hogares de los clientes y otros en las oficinas comerciales, los patrones de comportamiento de los dispositivos pueden diferir considerablemente entre los dos grupos. Puede organizar los dispositivos en un grupo de dispositivos domésticos y un grupo de dispositivos de oficina. Para lograr la máxima eficacia en la detección de anomalías, asocie cada grupo de elementos a un perfil de seguridad de ML Detect independiente.

Mientras ML Detect está creando el modelo inicial, se necesitan 14 días y un mínimo de 25 000 puntos de datos por métrica durante los últimos 14 días para generar un modelo. Después, actualiza el modelo todos los días, siempre que haya un número mínimo de puntos de datos métricos. Si no se cumple el requisito mínimo, ML Detect intenta crear el modelo al día siguiente y lo volverá a intentar todos los días durante los siguientes 30 días antes de interrumpir el modelo para su evaluación.

Requisitos mínimos

Para entrenar y crear el modelo de machine learning inicial, ML Detect tiene los siguientes requisitos mínimos.

Periodo mínimo de formación

Los modelos iniciales tardan 14 días en construirse. Después, el modelo se actualiza todos los días con datos métricos de un período final de 14 días.

Puntos de datos totales mínimos

El número mínimo de puntos de datos necesario para crear un modelo de machine learning es de 25 000 puntos de datos por métrica durante los últimos 14 días. Para una formación continua y una actualización del modelo, ML Detect requiere que los dispositivos monitorizados cumplan con los puntos de datos mínimos. Es aproximadamente el equivalente a las siguientes configuraciones:

  • 60 dispositivos que se conectan y tienen actividad en AWS IoT a intervalos de 45 minutos.

  • 40 dispositivos a intervalos de 30 minutos.

  • 15 dispositivos a intervalos de 10 minutos.

  • 7 dispositivos a intervalos de 5 minutos.

Destinos de grupos de dispositivos

Para recopilar datos, debe incluir objetos en los grupos de objetos de destino del perfil de seguridad.

Una vez creado el modelo inicial, los modelos de machine learning se actualizan todos los días y requieren al menos 25 000 puntos de datos durante un período final de 14 días.

Limitaciones 

Puede usar ML Detect con dimensiones en las siguientes métricas del lado de la nube:

ML Detect no admite las siguientes métricas.

ML Detect no admite métricas del lado de la nube:

ML Detect no admite métricas del lado del dispositivo:

Las métricas personalizadas solo admiten el tipo number.

Marcar los falsos positivos y otros estados de verificación en las alarmas

Si durante la investigación comprueba que una alarma de ML Detect es un falso positivo, puede configurar el estado de verificación de la alarma en falso positivo. Esto puede ayudarlo a usted y a su equipo a identificar las alarmas a las que no tengan que responder. También puede marcar las alarmas como Verdadero positivo, Benigno positivo o Desconocido.

Puede marcar las alarmas con la consola de AWS IoT Device Defender o mediante la acción de la API PutVerificationStateOnViolation.

Métricas admitidas

Puede utilizar las siguientes métricas del lado de la nube con ML Detect:

Puede utilizar las siguientes métricas del lado del dispositivo con ML Detect:

Service Quotas

Para obtener información sobre las cuotas y límites del servicio ML Detect, consulte Puntos de enlace y cuotas de AWS IoT Device Defender.

Comandos de la CLI de ML Detect

Puede utilizar los siguientes comandos de la CLI para crear y administrar ML Detect.

API ML Detect API

Las siguientes API pueden utilizarse para crear y administrar la exportación de perfiles de seguridad de ML Detect.

Pausar o eliminar un perfil de seguridad de ML Detect

Puede pausar su perfil de seguridad de ML Detect para dejar de monitorizar temporalmente el comportamiento de los dispositivos o eliminar su perfil de seguridad de ML Detect para dejar de monitorizar el comportamiento de los dispositivos durante un período prolongado.

Pausar el perfil de seguridad de ML Detect mediante la consola

Para pausar un perfil de seguridad de ML Detect mediante la consola, primero debe tener un grupo de objetos vacío. Para crear un grupo de objetos vacío, consulte Static thing groups en la Guía para desarrolladores de AWS IoT Core. Si ha creado un grupo de objetos vacío, configúrelo como el destino del perfil de seguridad de ML Detect.

nota

Debe volver a establecer el destino de su perfil de seguridad en un grupo de dispositivos con dispositivos en un plazo de 30 días o no podrá reactivar el perfil de seguridad.

Eliminar el perfil de seguridad de ML Detect mediante la consola

Si desea eliminar un perfil de seguridad, siga estos pasos:

  1. En la consola de AWS IoT, vaya a la barra lateral y seleccione la sección Defender.

  2. En Defender, elija Detectar y, a continuación, Perfiles de seguridad.

  3. Elija el perfil de seguridad de ML Detect que quiera eliminar.

  4. Elija Acciones y, a continuación, en las opciones, elija Eliminar.

nota

Después de eliminar un perfil de seguridad de ML Detect, no podrá reactivarlo.

Pausar un el perfil de seguridad de ML Detect mediante la CLI

Para pausar un perfil de seguridad de ML Detect mediante la CLI, utilice el comando detach-security-security-profile:

$aws iot detach-security-profile --security-profile-name SecurityProfileName --security-profile-target-arn arn:aws:iot:us-east-1:123456789012:all/registered-things
nota

Esta opción solo está disponible en AWS CLI. Del mismo modo que hizo en el flujo de trabajo de la consola, debe volver a establecer el destino de su perfil de seguridad en un grupo de dispositivos con dispositivos en un plazo de 30 días o no podrá reactivar el perfil de seguridad. Para asociar un perfil de seguridad a un grupo de dispositivos, utilice el comando attach-security-profile.

Eliminar un perfil de seguridad de ML Detect mediante la CLI

Puede eliminar un perfil de seguridad mediante el siguiente comando delete-security-profile:

delete-security-profile --security-profile-name SecurityProfileName
nota

Después de eliminar un perfil de seguridad de ML Detect, no podrá reactivarlo.