[发明专利]一种恶意外设检测系统及方法

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种恶意外设检测系统及方法。

背景技术

目前通过外接设备向客户端发起恶意攻击成为攻击者采用的一大攻击手段，攻击者将恶意文件存在在U盘、手机等移动可外接设备中，通过客户端接口向用户PC机，甚至ATM终端等客户端进行恶意攻击。目前一些客户端中安装了对外接设备进行病毒查杀的软件，这类软件主要工作流程如下：

1.在例如U盘等外接设备接入时，扫描外接设备内文件，获取文件特征；

2.将文件特征和本地数据库或者云端数据库进行对比，判断文件是否是病毒文件；

3.针对病毒文件进行告警并隔离，针对白文件或者未知文件放行。

虽然这种检测机制能够识别出一些已知的恶意文件，但是，很多针对客户端攻击的病毒文件都是未知文件，因此这种传统的黑名单机制不能有效发现并防御这些未知文件，而且部分黑客并不直接将恶意文件直接放在外接设备中，而是通过手机热点的连接让客户端能够访问互联网网络，通过互联网将恶意文件植入客户端，因此检测系统不仅要能查杀外接设备中的已知恶意文件，同时还要能通过拷贝进入的行为，判断文件危害性，并要能监控并禁止外接设备违规行为，另外由于一些客户端配置较低，如ATM终端，因此检测与防御系统要尽可能较少的占用客户端硬件资源与网络带宽，不影响正常客户端的正常工作。

发明内容

针对上述现有技术中存在的不足，本发明提出一种恶意外设检测系统及方法，主要通过三个维度进行客户端的防护：

1.外接设备安全文件植入。对外接设备植入安全认证文件，安全认证文件可以记录该外接设备使用权限，使用范围，驱动程序状态等，当外接设备接入时，客户端会读取安全认证文件内容，如果安全文件记录内容符合要求，则允许外接设备使用，如果不符合要求，则不允许外接设备使用。

2.外接设备信任体系。建立信任体系，只有受信任的外接设备才能在网内终端进行使用，一旦外接设备出现违规行为，会自动移除信任体系，移除后，该设备将不能再在网内使用；违规行为主要包括：包含恶意文件，进行过违规行为等。

3.外接设备文件模拟运行。针对未知文件，不能简单通过文件特征判断文件安全性，需搭建模拟运行环境，文件运行时，需要上报文件实体到环境中先进行运行测试，如果文件行为正常，才允许该文件在客户端进行运行，如果行为异常，例如修改客户端配置文件等，则立即阻止该文件运行。

具体发明内容包括：

一种恶意外设检测系统，包括服务端以及客户端，所述服务端包括注册模块、安全信任管理模块、云查杀模块、模拟运行模块、数据传输管理模块，所述客户端包括信息获取模块、判定执行模块、数据传输模块；所述服务端以及所述客户端通过数据传输管理模块与数据传输模块建立数据连接关系；

其中：

注册模块用于向可接入客户端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

安全信任管理模块用于保存并管理写入安全认证文件的外接设备信息和设备标识信息；

云查杀模块用于对客户端上传的指定数据进行云查杀；

模拟运行模块用于对可接入客户端的外接设备中的指定文件进行模拟运行及检测；

信息获取模块用于当有外接设备与客户端连接时，获取外接设备信息；

判定执行模块用于根据信息获取模块获取的信息判断外接设备是否包含安全认证文件，并根据判断结果对连接的外接设备进行接入或拦截操作。

进一步地，所述注册模块具体用于：将可接入客户端的外接设备接入服务端后，获取接入的外接设备信息，并根据外接设备信息设定设备权限，将外接设备信息与设备权限信息整理成外接设备的安全认证文件，并将安全认证文件植入到接入的外接设备中。

进一步地，所述外接设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

进一步地，所述判定执行模块具体用于：根据信息获取模块获取的信息判断外接设备是否包含安全认证文件，若不包含则执行拦截操作；若包含则通过数据传输模块将安全认证文件与服务端中的安全认证文件进行匹配，若匹配成功则执行接入操作，否则执行拦截操作。

进一步地，所述判定执行模块还用于：当所述外接设备接入所述客户端后，动态监控外接设备的操作行为，并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，若是则执行拦截操作，否则允许其继续使用。