这不是一个简单的话题。正如您所说，检测妥协可能以多种形式发生，并在系统或网络行为方面产生多种结果。观察这可能需要在系统和网络行为方面了解正常和可疑之间的区别。

对于网络级别的家庭解决方案，推荐的选项是（透明）代理或定制网关，运行多个网络服务（即DHCP、DNS）和安全应用程序（例如，防火墙、IDS、代理），可以帮助记录日志（例如，HTTP 代理、DNS 查询）、强化（例如，过滤、黑名单、白名单）、监控（例如，网络流量）和基于签名的警报。这方面的主要工具包括 Bro、IPFire、pfSense 和 Snort。

有关 示例设置的详细信息，请参阅在我的家庭路由器上设置代理服务器以启用内容过滤。

这可不是小事。每个稍微复杂的物联网设备都将通过 HTTPS 进行通信，因此即使您的路由器中确实有一个没有受到损害的互联网网关，也不太容易知道它在说什么。

不幸的是，您无法知道 IoT 设备应该与哪些端点通信，哪些不可以。虽然大多数大型消费电子产品供应商都有自己的专用骨干，但这并不意味着这些设备可能没有充分的理由与其他信息提供商（例如天气服务、烹饪食谱社区等）交谈。

所有这些你不可能知道的事情，更糟糕的是，你的物联网设备的无线更新可以完全改变这种行为。如果您使用黑名单或白名单过滤条件设置自己的安全网关，则可能会严重阻碍设备的功能。例如，您可能已经成功地确定了要列入白名单的所有常用地址，但您永远不会得到更新，因为这些地址很少使用。

答案：模式识别

检测您的设备是否已被入侵通常是通过模式识别来完成的。这不是一件简单的事情，但很简单，如果您的烤面包机被黑客入侵并开始发送垃圾邮件，您的安全网关上的模式识别引擎将检测到行为发生了巨大变化。

在这一点上，你想要的复杂性已经超出了“廉价的单板计算机”的水平。可用的最简单的解决方案是设置类似 SNORT 的东西，这是一个入侵检测系统。最初，它会提醒您正在发生的一切，并且您会得到太多误报。通过随着时间的推移对其进行训练（本身是一个手动过程），您可以将其降低到合理的警报率，但目前消费市场上没有可用的“预装”解决方案。它们要么需要大量资金（公司/商业解决方案）或时间（开源 DIY 级解决方案），这两者都会使解决方案超出可接受的复杂性范围。老实说，你最好的选择是像 SNORT 这样的东西——“足够好”的东西

该NoDDos工具我正在开发的目标是做你所要求的。目前，它可以通过将物联网设备与已知配置文件列表进行匹配来识别物联网设备，它可以收集每个匹配的物联网设备的 DNS 查询和流量，并将其上传到云端进行基于大量设备的模式分析。下一步是在家庭网关上实施 ACL 以限制每个 IOT 设备的流量。该工具旨在在家庭网关上运行。当前版本是用 Python 编写的，需要您在 OpenWRT HGW 上运行 Python 或安装在 Linux DIY 路由器上。在 OpenWRT 中，我还无法收集有关流量的信息，但在 Linux DIY 路由器上，我可以使用 ulogd2。所以现在你需要一个简单的基于 Linux 的路由器和一个普通的 Linux 发行版来让它完全启动并运行流量，但是一旦我的 C++ 端口完成，

您可以阅读我的博客，了解有关该工具如何工作的更多信息。