AWS IoT :限制连接，来自设备的消息

为 IoT设备生成的 AWS IoT Device Defender 指标配置行为(规则(和阈值是可行的。这将有助于在发生违规行为后采取适当行动。行为(规则(传达了 AWS IoT Device Defender 关于正常设备行为的信息，当设备执行异常操作时，它应使用该行为进行识别。行为通常使用指标定义。

下面的链接可能是一个很好的起点 https://aws.amazon.com/blogs/iot/use-aws-iot-device-defender-to-detect-statistical-anomalies-and-to-visualize-your-device-security-metrics/

AWS IoT Device Defender 可以检测异常设备行为并采取措施。下面的链接配置了两种行为，可以根据您的要求进行修改。第一个行为 - "msgReceive"，验证每五分钟从设备接收的消息数是否小于 100。第二种行为 - "bytesOut"，验证设备每五分钟发送的字节数小于 10,000(大约 10 K(。 https://aws.amazon.com/blogs/iot/detect-anomalies-connected-devices/?nc1=b_rp

完成检测和警报后，使用 AWS IoT Device Defender 可以进行缓解，该 IoT Device Defender 通过提供有关设备的上下文和历史信息(例如设备元数据、设备统计信息和设备的历史警报(来帮助调查问题。您还可以使用 AWS IoT 设备管理工具执行缓解步骤，例如撤销权限、重启设备、重置出厂默认设置或推送安全修复。

借助规则引擎，可以分析 AWS IoT 规则，并根据接收消息的 MQTT 主题流执行操作。规则引擎支持评估发布到 AWS IoT Core 中的入站消息，并根据您定义的用于处理和转换数据的业务规则，将其转换并传送到其他设备或云服务(Lambda、S3、Kinesis、SQS、SNS 和第三方外部终端节点等 AWS 服务(。这是可以对设备消息做出决策的地方(例如，消息筛选、将消息路由到其他服务、将消息路由到 AWS 终端节点，甚至直接处理消息(。在这种情况下，您可能需要使用规则引擎，使用您感兴趣的应用程序根据设备 ID 和阈值阻止(消息过滤(设备。因此，这里的规则可以触发一个 Lambda 函数，该函数会将阈值与收集的数据进行比较，并相应地采取行动，例如通过 SNS 服务向用户推送通知作为向用户发送的通知并拒绝设备。

您可以在管理控制台中创作规则，也可以使用类似 SQL 的语法编写规则。 规则还可以触发在 AWS Lambda 中执行 Java、Node.js 或 Python 代码，从而为您提供最大的灵活性和处理设备数据的能力。以下链接包含有关 AWS IoT 规则 https://docs.aws.amazon.com/iot/latest/developerguide/iot-rules.html 的相关信息