[发明专利]一种USB伪装入侵的检测方法及装置

权利要求书

1.一种USB伪装入侵的检测方法，其特征在于，包括：

S1，响应于USB设备的插入操作，生成所述USB设备对应的驱动信息；

S2，将所述驱动信息与预先设定的风险特征进行匹配，确定所述USB设备是否存在BadUSB特征；若是，则执行步骤S4；若否，则以键盘驱动运行所述USB设备，并执行步骤S3；

S3，监视所述USB设备模拟键盘和/或，鼠标的输入命令是否重复包含预先设定的键盘指令；若否，则确定所述USB设备为正常USB设备；若是，则执行步骤S4；所述输入命令为所述USB设备通过所述键盘驱动生成；

S4，确定所述USB设备为伪装USB，并断开与所述USB设备的连接。

2.根据权利要求1所述的USB伪装入侵的检测方法，其特征在于，所述步骤S1包括：

响应于USB设备的插入操作，读取所述USB设备的设备信息；

基于所述设备信息中，生成所述USB设备对应的加载类型；

在所述USB设备基于所述加载类型加载时，收集整理所述运行信息，得到所述驱动信息。

3.根据权利要求1所述的USB伪装入侵的检测方法，其特征在于，所述预先设定的风险特征具体为：预先设定的驱动设备类型特征；所述步骤S2包括：

S21，对所述驱动信息中的驱动设备类型与所述预先设定的驱动设备类型特征匹配，确定所述USB设备是否存在BadUSB特征；若是，则执行步骤S4；若否，则执行步骤S22；

S22，判断所述驱动设备类型是否发生变化；若否，则执行步骤S3；若是，则执行步骤S4。

4.根据权利要求1所述的USB伪装入侵的检测方法，其特征在于，所述步骤S3包括：

S31，将所述键盘指令与所述预设键盘指令匹配，确定所述USB设备是否存在信息窃取嫌疑；若是，则执行步骤S32；若否，则确定所述USB设备为正常USB设备；

S32，判断所述键盘指令中，与所述预设键盘指令相匹配的匹配指令是否重复输入；若是，则执行步骤S4；若否，则确定所述USB设备为正常USB设备。

5.一种USB伪装入侵的检测装置，其特征在于，包括：

响应模块，用于响应于USB设备的插入操作，生成所述USB设备对应的驱动信息；

匹配模块，用于将所述驱动信息与预先设定的风险特征进行匹配，确定所述USB设备是否存在BadUSB特征；若是，则执行设备属性确定模块；若否，则以键盘驱动运行所述USB设备，并执行监视模块；

监视模块，用于监视所述USB设备模拟键盘和/或，鼠标的输入命令是否重复包含预先设定的键盘指令；若否，则确定所述USB设备为正常USB设备；若是，则执行设备属性确定模块；所述输入命令为所述USB设备通过所述键盘驱动生成；

设备属性确定模块，用于确定所述USB设备为伪装USB，并断开与所述USB设备的连接。

6.根据权利要求5所述的USB伪装入侵的检测装置，其特征在于，所述响应模块包括：

响应子模块，用于响应于USB设备的插入操作，读取所述USB设备的设备信息；

加载类型生成子模块，用于基于所述设备信息中，生成所述USB设备对应的加载类型；

收集整理子模块，用于在所述USB设备基于所述加载类型加载时，收集整理所述运行信息，得到所述驱动信息。

7.根据权利要求5所述的USB伪装入侵的检测装置，其特征在于，所述预先设定的风险特征具体为：预先设定的驱动设备类型特征；所述匹配模块包括：

第一匹配子模块，用于对所述驱动信息中的驱动设备类型与所述预先设定的驱动设备类型特征匹配，确定所述USB设备是否存在BadUSB特征；若是，则执行所述设备属性确定模块；若否，则执行判断子模块；

第一判断子模块，用于判断所述驱动设备类型是否发生变化；若否，则执行所述监视模块；若是，则执行所述设备属性确定模块。