,所述异常通信行为,包括:解析所述通信数据获取涉及到的指令类型,存在所述指令类型与预设指令库中的类型不相匹配的行为。
[0026]例如:上层数据中违反了已知协议的属性值,在USB Mass Storage设备中,SCSI协议中只有Read和Write等14种标准指令类型,若解析所述通信数据后,发现涉及到除了这14种标准指令类型之外的指令类型,则认为存在异常通信行为;所述预设指令库中存储有认为相对安全的指令类型,可以根据需要增删。
[0027]优选地,所述异常通信行为,包括:一组复杂通信行为的组合。
[0028]例如:对于比较复杂的恶意行为和更加隐蔽的恶意设备,通过上述单一的异常通信行为规则来匹配有些困难,此时,可以选择一组复杂通信行为的组合,以模式匹配方式识别和匹配。
[0029]更为优选地,所述异常通信行为,包括:用来修改USB固件的特定指令。一旦匹配后认为通信数据中存在相关异常通信行为,则认为存在恶意设备,可以防止主机设备恶意修改USB设备。
[0030]本发明还提供了一种基于USB通信数据进行恶意设备检测的装置实施例,如图2所示,包括:
两个双向USB接口,用于将检测判定模块与主机设备和USB设备相串接,并对通信数据进行传输和监测;
其中,第一双向USB接口 201,用于将检测判定模块203与主机设备相串接,并对通信数据进行传输和监测;
第二双向USB接口 202,用于将检测判定模块203与USB设备相串接,并对通信数据进行传输和监测;
检测判定模块203,用于解析所述通信数据,判断是否存在恶意行为规则库204中定义的异常通信行为,若存在,则判定所述主机设备和/或USB设备为恶意设备,否则认为不存在恶意设备;
恶意行为规则库204,用于存储定义的异常通信行为。
[0031]优选地,所述双向USB接口为利用USB物理层接口芯片实现。
[0032]优选地,还包括报警模块,用于当检测判定模块发现存在恶意设备时,发出报警信号。
[0033]优选地,所述发出报警信号包括:指示灯闪烁、液晶屏显示或者通过网络、USB或者RS232接口向上位机发送报警输出。
[0034]优选地,当检测判定模块发现存在恶意设备时,则阻断恶意设备的通信行为。
[0035]更为优选地,上述装置中的模块功能可使用FPGA来实现,两个双向USB接口都通过ULPI接口与FPGA芯片相连,FPGA芯片获取双向USB接口传来的通信数据,FPGA内置可控的直接转发链路和数据镜像逻辑,其中镜像数据被传递给检测判定模块,该检测判定模块鉴定通信数据中是否有异常通信行为。
[0036]如上所述,上述装置在正常通信时两个双向USB接口间的通信是透明的,在主机设备和USB设备看来本装置如同一根传统的USB直连电缆。但是,本装置内置有恶意行为规则库,在监测通信数据的同时,判断是否存在恶意行为规则库中定义的各种异常通信行为,若存在,则认为发现恶意设备,否则主机设备和USB设备之间正常通信。
[0037]综上,由于主机设备与USB设备之间的通信是经过USB总线进行的,USB标准对总线上的通信格式有严格的定义。经由USB总线进行的信息安全攻击一定会在通信行为上有所体现。本发明通过对USB总线上的通信数据进行监控和分析,并配合恶意行为规则库来判断是否存在恶意设备或者恶意行为,从而实现主机设备与USB设备间的异常通信行为的检测。
[0038]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
【主权项】
1.一种基于USB通信数据进行恶意设备检测的方法,其特征在于,包括: 获取主机设备与USB设备间的通信数据; 解析所述通信数据,判断是否存在恶意行为规则库中定义的异常通信行为; 若存在,则判定所述主机设备和/或USB设备为恶意设备,否则认为不存在恶意设备。2.如权利要求1所述的方法,其特征在于,所述异常通信行为,包括:不符合USB设备各层协议标准的数据传输行为。3.如权利要求1所述的方法,其特征在于,所述异常通信行为,包括:所述主机设备和/或USB设备在工作过程中,前后逻辑不一致的行为。4.如权利要求1所述的方法,其特征在于,所述异常通信行为,包括:解析所述通信数据获取涉及到的指令类型,存在所述指令类型与预设指令库中的类型不相匹配的行为。5.如权利要求1所述的方法,其特征在于,所述异常通信行为,包括:一组复杂通信行为的组合。6.一种基于USB通信数据进行恶意设备检测的装置,其特征在于,包括: 两个双向USB接口,用于将检测判定模块与主机设备和USB设备相串接,并对通信数据进行传输和监测; 检测判定模块,用于解析所述通信数据,判断是否存在恶意行为规则库中定义的异常通信行为,若存在,则判定所述主机设备和/或USB设备为恶意设备,否则认为不存在恶意设备; 恶意行为规则库,用于存储定义的异常通信行为。7.如权利要求6所述的装置,其特征在于,所述双向USB接口为利用USB物理层接口芯片实现。8.如权利要求6所述的装置,其特征在于,还包括报警模块,用于当检测判定模块发现存在恶意设备时,发出报警信号。9.如权利要求8所述的装置,其特征在于,所述发出报警信号包括:指示灯闪烁、液晶屏显示或者通过网络、USB或者RS232接口向上位机发送报警输出。10.如权利要求6所述的装置,其特征在于,当检测判定模块发现存在恶意设备时,则阻断恶意设备的通信行为。
【专利摘要】本发明公开了一种基于USB通信数据进行恶意设备检测的方法,包括:获取主机设备与USB设备间的通信数据;解析所述通信数据,判断是否存在恶意行为规则库中定义的异常通信行为;若存在,则判定所述主机设备和/或USB设备为恶意设备,否则认为不存在恶意设备。本发明同时给出了一种基于USB通信数据进行恶意设备检测的装置。本发明所给出的技术方案,克服了由于USB设备信息可以伪造,从而无法有效审计或者防御恶意USB设备的问题,能够有效识别恶意设备并及时阻断恶意通信行为。
【IPC分类】G06F21/55
【公开号】CN105488395
【申请号】CN201510302442
【发明人】李鹏, 桑胜田
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2015年6月4日