随着物联网技术的不断发展,越来越多的人开始使用Io T设备,利用智能技术连接各种各样的传感器和设备,促进生活工作和学习的智能化。然而不安全的设计、实现和配置,大量设备中存在弱密码、固件难以更新等问题,给设备带来了日益严重的安全隐患,导致物联网设备及网络不断遭受到大规模的恶意攻击。但是不同于传统的互联网主机系统,厂商为了控制成本和实现特定的功能,物联网设备通常资源受限且功耗低,难以直接使用防火墙、杀毒软件等传统的防御手段抵御外界攻击。在针对物联网设备的众多攻击中,攻击者通过控制设备执行所有者和管理员不期望的恶意行为,进而达到预期的攻击效果。如何有效的检测出设备的恶意行为是保护物联网设备安全的一个关键突破口。因此,本文提出了一个针对物联网设备的行为安全检测系统,设计并实现了一种新的设备使用描述（Devices Usage Description,DUD）模型,以构建安全的Io T设备行为规范。通过研究物联网平台和支持的第三方系统上交互规则的结构和组成,利用爬虫技术和自然语言处理工具,抽取并生成设备交互行为规则。为了避免解密设备通信数据包的难题,我们充分利用数据包头信息,深入分析设备通信数据包流量基本特征和隐藏特征,抽取出预期的设备通信行为规则。从设备交互和通信行为两个方面入手自动化抽取并生成设备使用规则作为白名单,并实时监控设备行为,设计实现设备行为规则引擎,检测物联网设备安全。本文主要基于目前主流的智能家居平台三星Smart Things实现,Smart Things提供了REST API,授权用户可以快速方便地访问平台相关基本信息如连接到平台的设备等。同时Smart Things拥有数量繁多且开源的设备规则应用程序Smart App并支持连接到第三方IFTTT平台。为了测试和评估本系统的功能和性能,我们使用了Smart App和IFTTT Applet以及模拟搭建了Mirai Botnet恶意攻击环境,并分析了系统的安全性。最后结果显示本系统恶意交互行为的检测率平均在94.5%,恶意通信行为的检测率均在95%以上,系统运行时间延迟也在毫秒级。所有测试结果均在预期的范围内,表明本系统能够有效的检测出设备的恶意行为,防御设备行为攻击,例如Mirai,并引入可接受的性能开销。