[发明专利]一种USB伪装入侵的检测方法及装置在审
| 申请号: | 202110774295.8 | 申请日: | 2021-07-08 |
| 公开(公告)号: | CN113343240A | 公开(公告)日: | 2021-09-03 |
| 发明(设计)人: | 林丹生;曾智勇;胡春潮;尤毅 | 申请(专利权)人: | 南方电网电力科技股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F13/40 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 沈闯 |
| 地址: | 510000 广东省广州市越秀区西*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 usb 伪装 入侵 检测 方法 装置 | ||
本发明公开了一种USB伪装入侵的检测方法及装置,其方法包括:S1,响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;S2,将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则以键盘驱动运行所述USB设备,并执行步骤S3;S3,监视所述USB设备模拟键盘和/或,鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行步骤S4;所述输入命令为所述USB设备通过所述键盘驱动生成;S4,确定所述USB设备为伪装USB,并断开与所述USB设备的连接。通过用于及时发现基于USB接口发起的对于目标机的损坏活动或者对于目标机的信息窃取活动,提高系统安全性。
技术领域
本发明涉及信息安全技术技域,尤其涉及一种USB伪装入侵的检测方法及装置。
背景技术
传统主机防护方式是在受保护的主机上安装防护软件。这些防护软件更多关注的是U盘里面文件是否有病毒木马,而对于像BadUSB这样的新型攻击防护是不足的。因此,即使BadUSB的攻击点往往在驱动层就开始,现有的检测及防御技术也不能及时发现。
发明内容
本发明提供了一种USB伪装入侵的检测方法及装置,通过用于及时发现基于USB接口发起的对于目标机的损坏活动或者对于目标机的信息窃取活动,提高系统安全性。
第一方面,本发明提供的一种USB伪装入侵的检测方法,包括:
S1,响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;
S2,将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则以键盘驱动运行所述USB设备,并执行步骤S3;
S3,监视所述USB设备模拟键盘和/或,鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行步骤S4;所述输入命令为所述USB设备通过所述键盘驱动生成;
S4,确定所述USB设备为伪装USB,并断开与所述USB设备的连接。
可选地,所述步骤S1包括:
响应于USB设备的插入操作,读取所述USB设备的设备信息;
基于所述设备信息中,生成所述USB设备对应的加载类型;
在所述USB设备基于所述加载类型加载时,收集整理所述运行信息,得到所述驱动信息。
可选地,所述预先设定的风险特征具体为:预先设定的驱动设备类型特征;所述步骤S2包括:
S21,对所述驱动信息中的驱动设备类型与所述预先设定的驱动设备类型特征匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则执行步骤S22;
S22,判断所述驱动设备类型是否发生变化;若否,则执行步骤S3;若是,则执行步骤S4。
可选地,所述步骤S3包括:
S31,将所述键盘指令与所述预设键盘指令匹配,确定所述USB设备是否存在信息窃取嫌疑;若是,则执行步骤S32;若否,则确定所述USB设备为正常USB设备;
S32,判断所述键盘指令中,与所述预设键盘指令相匹配的匹配指令是否重复输入;若是,则执行步骤S4;若否,则确定所述USB设备为正常USB设备。
第二方面,本发明还提供了一种USB伪装入侵的检测装置,包括:
响应模块,用于响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南方电网电力科技股份有限公司,未经南方电网电力科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110774295.8/2.html,转载请声明来源钻瓜专利网。
