[发明专利]用于检测修改或损坏的外部设备的系统和方法

说明书

公开了检测连接至计算机系统的修改或损坏的外部设备的系统和方法。示例性的方法包括在数据库中存储与之前连接至计算机系统的设备有关的数据和指示设备何时应当被进一步分析为可能损坏的指定条件的规则。所述方法还包括从所述设备接收数据，所述数据与所述设备或所述设备和计算机系统之间的连接有关；通过比较所接收的数据和所存储与之前连接至计算机系统的设备有关的数据执行对所接收的数据的分析；和将对接收到的数据的分析结果应用于所述规则来确定是否满足指示所述设备可能被修改或损坏并应当进一步分析恶意软件的存在的所述至少一个条件。

技术领域

本公开通常涉及计算机安全领域，并且更具体地涉及用于检测修改或损坏 的外部设备的系统和方法。

背景技术

目前，可以彼此连接以便传输数据的设备的数量不断显著增长。这些设备 包括例如调制解调器、个人计算机、电话和智能手机、摄像机、外部硬盘以及 类似设备。当在设备之间传输数据时，使用有线和无线数据传输技术。有线连 接设备的一种最普遍的方法是设备之间使用通用串行总线(USB)的连接。

然而，因为具有USB连接的设备的数量不断增长，伴随这些类型的连接 出现许多不足和问题。因此，当连接到个人计算机时，复合USB设备可以定 义为若干设备中的一种，诸如数据存储、用以插入安装盘的CD-ROM、键盘以 及类似设备。这一配置是黑客感兴趣的。具体地，黑客可以利用装置的复合配 置并使用定制的微程序来整合其自己的设备，这可以进行恶意操作(例如， BadUSB攻击类，参见例如https://ru.wikipedia.org/wiki/BadUSB)。

因此，黑客可以使用闪存来诱骗用户的个人计算机来定义新的键盘类型设 备，例如，其可用来执行恶意代码的加载和运行。

目前，有许多方案存在，其目的是分析所连接的设备。然而，这些方案执 行对所连接设备和事件的分析，但没有提及识别修改或损坏的外部设备在这些 设备连接至计算机系统时导致的异常。因此，所公开的系统和方法使得能够有 效地解决当外部设备连接至计算机系统时检测异常的问题。

发明内容

公开了用于检测连接至计算机系统的修改或损坏的外部设备的系统和方 法。根据一个方面，公开了用于分析连接至计算机系统的设备的方法。根据示 例性方面，所述方法包括在至少一个数据库中存储与之前连接至计算机的设备 有关的数据和指定指示设备何时应当被进一步分析为可能损坏的至少一种条 件的规则；从所述设备接收数据，所述数据与所述设备或所述设备和计算机系 统之间的连接有关；由硬件处理器通过比较所接收的数据和所存储与之前连接 至计算机的设备有关的数据执行对所接收的数据的分析；以及通过所述硬件处 理器将对接收到的数据的分析结果应用于所述规则来确定是否满足指示所述 设备可能被修改或损坏并应当进一步分析恶意软件的存在的所述至少一个条 件。

根据另一个方面，来自所述设备的所述数据包含所述设备和所述计算机系 统之间连接类型、所述计算机系统的连接端口、所述计算机系统的类型、所述 设备的类型、所述计算机系统和之前连接至所述计算机系统所述设备之间的连 接频率、所述设备的运行期和所述计算机系统的运行期中的至少一个。

根据另一个方面，所述方法包括如果满足所述至少一个条件则执行对连接 至所述计算机系统的所述设备的杀毒检查。

根据另一个方面，所述至少一个条件基于所述设备和所述计算机系统之间 连接类型、所述计算机系统的连接端口、所述计算机系统的类型、所述设备的 类型、所述计算机系统和之前连接至所述计算机系统所述设备之间的连接频 率、所述设备的运行期、所述计算机系统的运行期，以及所述设备的电压、电 流或电阻参数中的至少一个。

根据另一个方面，所述方法包括执行对所接收的数据的分析，包括：确定 所述设备是否未知、所述设备如何连接至所述计算机系统以及所述设备和所述 计算机系统之间连接的时间中的至少一个。