[发明专利]一种ATM程序更新的安全防护方法及系统

说明书

本发明提出一种ATM程序更新的安全防护方法及系统，动态感知ATM终端中是否有更新程序运行，若是则阻断更新程序的运行，并加密备份ATM终端中的所有信息；加密备份结束后，放行更新程序的运行；创建诱饵文件夹，若感知到更新程序有对诱饵文件进行修改的行为，则判定更新程序存在恶意，并阻断更新程序的运行；否则待更新程序运行结束后，对更新后的程序进行自动化测试，根据测试结果判断更新程序是否存在恶意；针对更新程序存在恶意的情况，删除更新程序创建的所有信息，同时恢复加密备份的数据；若判定更新程序不存在恶意，则视为更新程序安全。本发明能有效判断更新程序是否存在潜在的威胁。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种ATM程序更新的安全防护方法及系统。

背景技术

目前主流的杀毒软件都是以文件的MD5做特征进行查杀的，这样势必会造成一个现象，杀毒软件总是要滞后于最新的病毒，对于个人用户而言，这种查杀是可以接受的，因为每天都会升级病毒库，同时会提示用户哪些程序具有一些可疑行为，供用户选择。但是对于ATM这种查杀方式是不可行的。首先ATM存在于封闭的内网中，不会每天都实时更新病毒库，同时ATM是属于无人看管的机型，同时ATM主营业务程序不能被打断。所以以往靠文件的MD5方式进行查杀只能治标，但是不能治本，不能很有效同时很安全地保证ATM的安全性。而ATM的安全性确实是银行及各个用户所关心的，所以提出一个实际有效、安全准确、不影响主营业务正常运行的方法势在必行。

由于ATM的特殊性，其感染病毒的途径很少。首先ATM处于绝对的内网环境中，不会与任何外网进行连接，所以受外网攻击的情况几乎为零。其次除了运维人员，很少有人能够对ATM进行除主营业务外的操作，所以减少了人为故意感染ATM的可能。因此能够使ATM感染主要途径就是ATM进行人为更新软硬件，通过移动载体将ATM感染病毒。一般主流杀毒软件都会实时监测是否有新增文件，提前监测该新增文件是否是威胁文件，如果该文件的MD5已经在黑库中，则提示用户该文件为病毒文件，并禁止其运行。但这种传统方法只是预先判断，而且其判断范围有限，当预判失败时，则无法挽救损失，这对类似于ATM这种安全性要求高的设备而言，是无法接受的。

如果能够在更新后能提供预防方式，同时配合着杀毒软件更新前的预判断，便可以提供双重保险，确保了ATM运行的准确性。而更新后的预防方式既要保证其他文件的安全，又要检测出更新后的程序是否有被感染的可能。当发现有被感染可能后，需要将所有被感染文件删除，同时恢复到更新前的状态，保证主营业务的正常运行。

发明内容

针对上述现有技术存在的缺陷，本发明提出一种ATM程序更新的安全防护方法及系统，首先在更新前，及在运行更新程序时，能够感知更新程序的运行，此时先阻断更新程序运行，需要将未更新的程序及相关的所有信息加密备份，并保存到磁盘中的某一位置。为了验证更新后的程序是否具有病毒特征，添加诱饵文件夹，其中存放了相关诱饵信息，使更新后的程序能够感知诱饵文件夹的存在，并对诱饵文件夹提供感知文件变化支持。当更新过程完成后，验证其更新后的程序是否能够正常运行，因此进行自动化测试，而以往的一些数据是最能验证其准确性的，所以需要对ATM更新后的程序进行自动化测试，如果更新程序通过了自动化测试，并且没有其他的恶意行为，可以认定此次的更新过程是安全的。而当自动化测试时，更新程序对以往的数据会产生不同结果时，势必该更新程序存在被感染的可能。对更新程序完成验证后，如果更新程序存在被感染的可能，需要将更新的程序彻底删除，并将加密的备份进行恢复，使ATM可以继续正常运行，并提示运维人员此次更新存在威胁，需要重新获取更新文件。

具体发明内容包括：

一种ATM程序更新的安全防护方法，包括：

动态感知ATM终端中是否有更新程序运行；

当感知到有更新程序运行时，阻断更新程序的运行，并加密备份ATM终端中所有程序及相关的所有信息；

所述加密备份结束后，放行更新程序的运行；