专利名称:用于防御对具有即插即用功能的系统的攻击的方法和设备的制作方法
技术领域:
本发明涉及一种用于识别对计算机系统的至少一个接口的攻击、尤其是对即插即 用接口的攻击的方法。
背景技术:
如今的典型攻击场景是通过使用即插即用(Plug & Play)机制对PC造成危害, 诸如通过在插入USB记忆棒之后由自动播放(AutoPlay)功能来执行代码而对PC造成危 害。在自助服务领域中也越来越多地要求防止这样的攻击。但是问题是,不允许预防性地 禁止全部的即插即用功能,因为由此也限制了 GAA(自动取款机)的所要求的功能。在外部 设备未被录入白名单时(例如在PSD 5中所涉及的USB过滤驱动器),例如在USB驱动器层 上不允许识别和处理所述外部设备的解决方案不是没有限制地有效的,并且不是完备的解 决方案。
发明内容
本发明的任务是提高计算机系统的安全性、尤其是避免对安装在公共场所的自助 服务式自动机、如自动柜员机(自动取款机)和自动售货机的攻击。该任务通过具有独立权利要求的特征的一种方法和一种设备来解决。该任务尤其是通过一种用于识别对计算机系统、优选地自助服务式自动机的至 少一个接口的攻击的方法来解决,该方法连续地监控所述接口,以便确定所述接口处的改 变。该监控可以被中断控制,通过驱动器的数据消息进行,或者是面向轮询的方案。当数 据到达所述接口或者由所述接口来发送时,中断可以在硬件侧以及在软件侧都通过进程 (Prozess)来触发。数据消息也可以由其它软件层来提供,其接着通过进程间通信来提供。 在一种可能的实施形式中采用经过修改的或者附加的驱动器。如果出现改变,则根据改变的类型确定对接口的或通过接口的不允许的攻击的概 率。改变通常是异常的数据通信。在接口上登记和注销设备时,异常的数据通信是非常有 可能的。被改动的通信协议也是可疑的。此外,当数据的类型与所连接的设备的类型不相 配时,所述数据的内容可能是异常的。这样,对于面向字符的设备、比如键盘而言,面向块的 通信(例如硬盘、USB棒)是异常的。例如如果USB棒作为键盘在USB接口上登记,则这是 异常的。如果攻击的概率处于所限定的阈值之上,则采取防御措施。所连接的设备的列表根据规则体系(Regelwerk)来监控。如果确定攻击的概 率处于所限定的阈值之上,则制订用于事后诊断(Post-Mortem-Diagnose)的日志条目 (Logeintrag),必要时将消息发送给远程服务器并且即刻生效地关闭该系统,以避免所述 攻击可显示出影响。此外,也可以设想在不使用远程服务器的情况下直接关闭该计算机系 统。也可以给目标系统或者目标人员发送如SMS、电子邮件、SMTP之类的警告消息。其它的 可能性是停用整个接口或者也仅仅停用新近连接的设备。此外可设想的是,该系统被切换 到绝对不再允许连接设备并且仅可由技术服务工程师(Servicetechniker)切换的安全模
4式。接下来给出关于所述接口的概况,其中下面的列举不要求完整性串行接口、并 行接口、串行总线接口、并行总线接口、网络、无线电网络接口、光网络接口、有线网络接口、 IEEE 1394、火线(Fireffire), IEEE 1284、LAN、WLAN、蓝牙(Bluetooth)、PS/2、RS232。应理解,技术后继物(Nachfolger)也被包含。特别是要注意即插即用接口、如USB或者火线,所述即插即用接口在连接设备时 直接地触发对计算机系统的动作(诸如安装驱动器)。如果接着仅仅深入探讨一种接口类 型(例如USB),则这绝不是对本发明的限制。更确切地说,涉及具有非常高的危险潜在性的 最熟悉的接口类型。在计算所述概率时考虑下列事件的一个或多个-连接在接口上的设备的序列号的容许性。在过滤驱动器的情况下,该设备可以根 据列表被容许或者被拒绝。所述序列号可以根据列表/样式(Muster)而受到限制。-连接在系统和/或接口上的设备的数目。各个设备、设备类别或者制造商/产 品组合仅作为有限数目的设备在系统中出现。例如,大多数计算机系统仅仅连接有最多一 个MFII键盘。如果并行地还连接有第二键盘,则这是攻击的标志。不同的多功能系统也 具有两个键盘(前一个用于客户,后一个用于服务)。在这种情况下,第三键盘是临界的 (kritisch)。所允许的每类设备的数目由该设备的硬件配置和服务策略得到。所述设定自 然可以以设备独特的方式被调节。相同的方案适用于其它的输入介质(读卡器)或者存储 介质(硬盘)。-另一方面是要考虑的设备路径。在USB设备的情况下,设备路径例如是到PC的 “道路”、即用来连接设备的端口和集线器。服务的设备例如常常被直接连接到PC上,而不 具有特别的速度要求或要求长的电缆连接的设备常常通过集线器被连接。如果现在例如键 盘通过集线器被连接到上面另外仅悬挂有打印机的PC上,则这是并入到计分(Scoring)中 的异常活动。-还有另一方面是所连接的设备的制造商产品组合的容许性。许多针对SB系统 (自助服务系统)中的运行被释放的设备在制造商标号、产品标号和设备类别之间具有固 定关系。就此而言,组合分析给出是否应当允许设备的依据。当然不排除的是这些标号被 伪造。但是如果在复制者(Nachbauer)的情况下在所述组合中犯下错误,例如供应商ID、产 品ID、设备类共同不匹配,则这可以并入评分(Punktebewertung)。例子为了绕开上面所列举的过滤驱动器,某人对设备进行编程,该设备具有与被装入 到系统中的读卡器相同的供应商ID和产品ID。因此,该设备被容许。但是,“伪造”的设备 类别是键盘(其作为“通用的(generell)”设备类别被容许)。由于已知该供应商不存在 键盘,所以这是表示该设备潜在地为危险的标志。在这种情况下还应当考虑到,在一些情况下正常的是在正在进行的运行中,设备 例如因为外围设备已被引导而“消失”或者再次“出现”。-另一方面是识别和去除设备的(在时间上的)相符。如果发生悬挂在端口上的新的设备被识别并且不久前另一设备被从该端口分 开,则其在该新的设备具有另一设备类别时是可疑的,因为在这种情况下,这不是在服务领域中常常发生的简单的设备更换。但是当在计算机系统中存在足够空闲的插入位置时,该 准则几乎不起作用。但是有时对此明显更相关的是,例如在后装载(Rearload)(其中在后 面有足够空闲的插入位置)的情况下,设备在前端(Front)之后被直接去除并且另一设备 被插入。还可以设想,将该监控构造为与端口无关的,以便将该监控与其它准则相关联。因 此,例如可以仅仅允许在服务模式下交换设备。在这种情况下会并入逻辑关联,或者-另一方面是检测接口上的改变的时间。当前的(本地的)时间是表示即插即用 活动是否被允许的另一标志。例如极少能够接受的是,授权的服务活动在半夜进行。但是, 该准则也强烈地与计算机系统的停留位置有关。_运行模式可以例如作为“与”关联或者作为乘数(Multiplikator)并入所有方面 中。自助服务式自动机知道不同的运行状态,例如“客户运行”或者“服务模式”。在“服务 模式”期间而不是在正常的“客户运行”中常见的是,设备被插入或者被去除。在许多情况 下,通过附加的认证来保证仅仅允许经授权的人员来调用“服务模式”。在一种实施形式中,可以基于所述准则根据计分系统来计算攻击概率。在这种情 况下,特别严重的干扰可以具有高的特征数,所述特征数然后可以与其它特征数相加或者 如在运行模式的情况下那样执行乘法。当然,也可以设想逻辑关联。接着,在超过阈值的情 况下可以采取相对应的防御措施。根据操作系统,可以设想通过匹配的驱动器进行可能的实施。下文进一步描述一 实施例。在这种情况下,整个方法或者部分由接口的驱动器来实施。在此,该驱动器可以具 有不同的形式。一方面,该驱动器可以完全替换标准总线驱动器。在这种情况下,标准总线 驱动器被经过修改的驱动器替换,该经过修改的驱动器除了标准功能以外还实施该方法的 方面或该方法的部分。也可以使用在逻辑上被布置在标准驱动器之下的附加的驱动器,使 得到达标准驱动器的信息以经过过滤的方式被转交。同样可以采用在逻辑上被布置在标准 驱动器之上的附加的驱动器,使得信息以经过过滤的方式被转交给该系统。对此的前提是 针对每个连接到所述接口上的设备使用特定的设备驱动器。在可替换的实施方式中,以面向中断或面向轮询的方式控制以下软件进程所述 软件进程连续地监控接口上的通信,以便检测不允许的攻击。这样被安装在系统上的监控实体监控哪些设备被连接在具有即插即用能力的接 头上。上面列举的计分系统和由此得出的动作应当是可配置的,优选地也可以远程地由 存在到其的网络连接的另一系统来配置。在另一实施形式中,所述用于计分的各个准则不是被单独地被计算并且被相加, 而是彼此相关联。例如准则“识别和去除的(在时间上的)相符”与“设备路径”一起用于 确定设备在正面或者在背面曾被替换。
图1示出了用于标准键盘驱动器的驱动器略图。图2示出了具有经过修改的USB驱动栈(USBD,USB-Driver Stack)驱动器的驱动 器略图。图3示出了具有处于USBD驱动器之下的驱动器的驱动器略图。
6
图4示出了具有处于USBD驱动器之上的被构造成经过修改的键盘驱动器的驱动 器的驱动器略图。
具体实施例方式尽管下面主要深入探讨USB接头,但是大多数规则也可以应用于其它的接头。图1示出了如用在Windows操作系统中的驱动器模型的分层结构。硬件7可以被 看成是最下面的层,所述硬件7在本情况下被构造为键盘。在其上构造有物理USB总线6, 所述物理USB总线6包括电缆和计算机系统上的USB接头(芯片组的部分或者单独的插入 卡)。在此之上布置有硬件抽象层(HAL,Hardware Abstraction Layer)的软件层5,在该 软件层5上接着再次布置有制造商特定的USB总线驱动器。UHCD驱动器4和OHCD驱动器 6代表如Intel或者VIA的不同制造商的不同USB芯片实施方式。在其上布置有操作系统 的通用USBD驱动器2。所述3个驱动器构成USB驱动栈8。由于在单个USB总线上可以连 接多个设备,所以各个驱动器的驱动器与USB驱动栈8相连接并且在该USB驱动栈8上登 记。然后,该驱动栈根据对通过该总线获得的数据的标识将信息发送给相对应的设备驱动 器1 ο图2现在示出了一种可替换的实施形式,其中USBD驱动器2a已经被修改。图3 示出了一种可替换的实施形式,其中经过修改的驱动器处于USBD驱动器之下。在这种情况 下,OHCD驱动器3a和UHCD驱动器4a已经被修改。图4示出了经过修改的键盘驱动器la。 在该方案中应注意,可以给所有可能的设备提供经过修改的驱动器。附图标记列表
1.键盘驱动器
la.经过修改的键盘驱动器
2. USBD驱动器(总线驱动器)
2a经过修改的USBD驱动器
3 OHCD驱动器
3a经过修改的OHCD驱动器
4 miCD驱动器
4a经过修改的UHCD驱动器
5 HAL (硬件抽象层)
6 USB总线(通用串行总线)
7键盘(硬件)
8 USB驱动栈
权利要求
一种用于识别对计算机系统、尤其是自助服务式自动机的至少一个接口的攻击的方法,其包括 监控所述接口,以便确定所述接口处的改变; 如果出现改变,则根据所述改变的类型确定对所述接口的不允许的攻击的概率; 如果所述概率处于所限定的阈值之上,则采取防御措施。
2.根据前一权利要求所述的方法,其中,所述防御措施包括下列处理方式中的一个或 多个制订日志条目;自动关闭该计算机系统;给目标系统或者目标人员发送警告消息;停 用所述接口 ;停用新近连接的设备;切换到安全模式。
3.根据前述权利要求的一个或多个所述的方法,其中,在计算所述概率时考虑下列事 件的一个或多个连接在所述接口上的设备的序列号的容许性;所连接的设备的制造商产品组合的容许 性;设备类别的容许性;来自一个设备类别的设备的容许的数目;设备路径或连接形式;在 所述接口上去除和连接设备之间的时间间隔;在所述接口上连接或者去除设备的时间;计 算机系统在所述接口上连接或者去除设备时所处的模式、如客户运行或者服务模式。
4.根据前一权利要求所述的方法,其中,与每个事件相关有优选地可调节的分值,并且 所述事件被相加,使得根据总和能够检查是否已超过阈值,以便接着采取防御措施。
5.根据前述权利要求的一个或多个所述的方法,其中,计算机系统是自助服务系统、尤 其是自动柜员机和/或饮料自动销售机。
6.根据前一权利要求所述的方法,其中,所述自助服务系统允许客户运行和维护运行, 其中根据运行类型,一个或多个阈值和/或概率是不同的。
7.根据前述权利要求的一个或多个所述的方法,其中,所述接口是下列内容中的一个 或多个,其中包括技术后继物串行接口、并行接口、串行总线接口、并行总线接口、网络、无线电网络接口、光网络接 口、有线网络接口、IEEE 1394、火线、IEEE 1284、LAN、WLAN、蓝牙、PS/2、RS232。
8.根据前一权利要求所述的方法,其中,所述接口具有触发对该计算机系统的自动动 作的即插即用功能。
9.根据前述权利要求的一个或多个所述的方法,其中,该方法或该方法的部分由所述 接口的驱动器来实施,所述驱动器具有下列特性中的一个或多个由经过修改的驱动器替 换标准接口驱动器,所述经过修改的驱动器除了现有功能以外还实施该方法或该方法的部 分;在逻辑上被布置在标准驱动器之下的附加的驱动器,使得到达标准驱动器的信息以经 过过滤的方式被转交;在逻辑上被布置在标准驱动器之上的附加的驱动器,使得信息以经 过过滤的方式被转交给系统。
10.根据前述权利要求的一个或多个所述的方法,其中,软件进程连续地监控所述接口 上的通信,以便检测不允许的攻击。
11.一种具有至少一个接口的计算机系统、尤其是自助服务式自动机,其包括用于监控所述接口以便确定所述接口处的改变的装置;如果出现改变,则根据所述改变的类型通过计算器确定对所述接口的不允许的攻击的 概率;如果所述概率处于所限定的阈值之上,则通过其它装置采取防御措施。
12.根据前一权利要求所述的计算机系统,其中,通过所述其它装置采取防御措施,所 述防御措施包括下列处理方式中的一个或多个在数据载体上制订日志条目;自动关闭该 计算机系统;通过网络给目标系统或者目标人员发送警告消息;停用所述接口 ;停用新近 连接的设备;切换到安全模式。
13.根据前述计算机系统权利要求的一个或多个所述的计算机系统,其中,该计算机系 统在计算所述概率时考虑下列事件的一个或多个连接在所述接口上的设备的序列号的容 许性;所连接的设备的制造商产品组合的容许性;设备类别的容许性;来自一个设备类别 的设备的容许的数目;设备路径或连接形式;在所述接口上去除和连接设备之间的时间间 隔;在所述接口上连接或者去除设备的时间;该计算机系统在所述接口上连接或者去除设 备时所处的模式、如客户运行或者服务模式。
14.根据前一计算机系统权利要求所述的计算机系统,其中,与每个事件相关有优选地 可调节的分值,所述分值能够被存在存储器系统上,并且计算器将事件相加,使得根据总和 能够检查是否已超过阈值,以便接着采取防御措施。
15.根据前述计算机系统权利要求的一个或多个所述的计算机系统,其中,该计算机系 统是自助服务系统、尤其是自动柜员机和/或饮料自动销售机。
16.根据前一计算机系统权利要求所述的计算机系统,其中,自助服务系统具有用于切 换到分别涉及安全性的度量的运行模式和维护模式中的装置,其中根据运行类型,一个或 者多个阈值和/或概率是不同的。
17.根据前述计算机系统权利要求的一个或多个所述的计算机系统,其中,所述接口是 下列内容中的一个或多个,其中包括技术后继物串行接口、并行接口、串行总线接口、并行 总线接口、网络接口、无线电网络接口、光网络接口、有线网络接口、IEEE 1394、火线、IEEE 1284、LAN、WLAN、蓝牙、PS/2、RS232。
18.根据前述计算机系统权利要求的一个或多个所述的计算机系统,其包括所述接口 的驱动器,所述驱动器具有下列特性中的一个或多个由经过修改的驱动器替换标准接口 驱动器,所述经过修改的驱动器除了现有功能以外还实施该方法或者该方法的部分;在逻 辑上被布置在标准驱动器之下的附加的驱动器,使得到达标准驱动器的信息以经过过滤的 方式被转交;在逻辑上被布置在标准驱动器之上的附加的驱动器,使得信息以经过过滤的 方式被转交给该系统。
19.根据前述计算机系统权利要求的一个或多个所述的计算机系统,其包括一种包含 软件进程的设备,所述软件进程连续地监控所述接口上的通信,以便检测不允许的攻击。
全文摘要
一种用于识别对计算机系统、尤其是自助服务式自动机的至少一个接口的攻击的方法,其包括监控所述接口,以便确定所述接口处的改变;如果出现改变,则根据所述改变的类型确定对所述接口的不允许的攻击的概率;如果所述概率处于所限定的阈值之上,则采取防御措施。
文档编号G06F21/55GK101965571SQ200980106736
公开日2011年2月2日 申请日期2009年2月25日 优先权日2008年3月11日
发明者B·里希特, C·冯德利佩 申请人:温科尼克斯多夫国际有限公司