一种恶意usb设备的检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种恶意USB设备的检测方法及装置。
【背景技术】
[0002]得益于处理器技术、移动存储技术、网络通讯技术的飞速发展,硬件设备开始向着功能多元化、接口标准化的方向迈进。USB作为一个外部总线标准,被最广泛应用于各种设备间的连接和通讯。由于USB总线的标准化及其通用性特点,因此也成为了恶意代码传播主要媒介和恶意攻击的主要手段。
[0003]传统利用USB设备进行攻击所采用的方式,普遍为通过感染USB设备的用户存储区域得以实现。如今随着反病毒技术的发展以及应急响应能力的提升,利用传统手段感染用户USB设备存储区域的方式,已不能实现最终的攻击目的。因此,攻击者开发了新的攻击手段,即利用USB设备自身硬件或自身固件的漏洞完成恶意代码的注入。又或者采用自制的特种设备,实现攻击者的目的。例如:通过修改移动存储设备的主控固件来实现攻击,或自制基于“USB RUBBER DUCKY”、“Teensy USB”的USB设备,来实现攻击。第一种攻击方式可能发生在任何一个通用USB设备上,被感染的设备作为一个通用USB设备使用者无法发现,而且传统的病毒扫描机制无法检出隐藏其中的恶意代码,因此极具威胁性。第二种方式虽然是自制的特种设备,自身隐藏能力较弱,但是传统病毒扫描机制同样是无法检出。
【发明内容】
[0004]本发明所述的技术方案通过对合法的USB设备类型和允许的操作进行预配置生成白名单,同时提取已知存在威胁的硬件和固件信息生成黑名单,当监控发现存在USB设备接入主设备时,提取所述USB设备信息与黑白名单匹配,从而给出匹配结果。本发明所述技术方案能够第一时间检出有威胁的USB设备。
[0005]本发明采用如下方法来实现:一种恶意USB设备的检测方法,包括:
对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作;
分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单;
当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为;
将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作;
获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息; 将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作。
[0006]进一步地,所述将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作,具体为:
将所述设备类型和操作行为与所述白名单匹配,若匹配成功,则允许USB设备接入主设备,否则,阻断USB设备接入主设备。
[0007]进一步地,所述将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作,具体为:
将所述硬件信息与所述黑名单匹配,若匹配成功,则阻断USB设备接入主设备,否则,允许USB设备接入主设备。
[0008]进一步地,还包括:当所述USB设备的硬件信息与所述设备类型不符;或者,当所述USB设备的设备类型与用户可见的外观不符,则判定所述USB设备为伪装设备。
[0009]进一步地,还包括:将所述USB设备的相关信息以可视化形式展示给用户,供用户参考决策;
所述相关信息包括:设备类型、操作行为或者枚举信息切换。
[0010]本发明可以采用如下装置来实现:一种恶意USB设备的检测装置,包括:
白名单配置模块,用于对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作;
黑名单配置模块,用于分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单;
行为类型记录模块,用于当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为;
白名单匹配模块,用于将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作;
硬件信息记录模块,用于获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息;
黑名单匹配模块,用于将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作。
[0011]进一步地,所述白名单匹配模块,具体用于:
将所述设备类型和操作行为与所述白名单匹配,若匹配成功,则允许其接入主设备,否贝IJ,阻断其接入主设备。
[0012]进一步地,所述黑名单匹配模块,具体用于:
将所述硬件信息与所述黑名单匹配,若匹配成功,则阻断其接入主设备,否则,允许其接入主设备。
[0013]进一步地,还包括:伪装设备识别模块,用于当所述USB设备的硬件信息与所述设备类型不符;或者,当所述USB设备的设备类型与用户可见的外观不符,则判定所述USB设备为伪装设备。
[0014]进一步地,还包括:可视化展示模块,用于将所述USB设备的相关信息以可视化形式展示给用户,供用户参考决策;
所述相关信息包括:设备类型、操作行为或者枚举信息切换。
[0015]综上,本发明给出一种恶意USB设备的检测方法及装置,首先在主设备端预配置允许接入的设备类型和允许执行的操作,即配置白名单;其次,分析已知存在安全威胁的硬件和固件,从而生成黑名单;当监控发现存在USB设备接入主设备时,识别其设备类型、记录操作行为,嗅探其硬件信息;将上述信息与黑白名单匹配,从而判断所述USB设备是否存在潜在威胁,并将上述信息以可视化的形式展示给用户。
[0016]有益效果为:本发明所述的方法及装置,不仅可以有效识别其操作行为与设备类型明显不符的恶意设备,同时对于利用已知硬件漏洞或者固件漏洞实现攻击的USB设备也能够及时辨别;对于恶意USB设备的检测从数据检测转换到硬件固件信息检测上,能够第一时间识别有威胁的USB设备,并且有效保证了主设备的信息安全。
【附图说明】
[0017]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本发明提供的一种恶意USB设备的检测方法实施例流程图;
图2为本发明提供的一种恶意USB设备的检测装置实施例结构图。
【具体实施方式】
[0019]本发明给出了一种恶意USB设备的检测方法及装置实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种恶意USB设备的检测方法实施例,如图1所示,包括:
SlOl对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作;
S102分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单;
S103当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为;所述设备类型,包括但不仅限于:大容量存储设备、光驱设备或者HID设备等;
S104将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作;例如:若插入的设备类型为存储设备,则只允许其进行读写操作,不允许其执行AutoRun程序;通过对接入USB设备的行为进行预判,对于不符合白名单的行为进行拦截或者警告提示;
S105获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息;
例如:通过标准的USB通讯协议向主控芯片发送具备查询功能的SCSI指令,从而获得主控芯片信息;利用其它已知方法获取固件版本信息或者存储芯片信息;
S106将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作。
[0020]其中,需要注意的是,S103、S104与S105、S106不严格区分前后关系,可以同时执行。
[0021 ] 例如:所述硬件信息,包括但不仅限于:主控芯片型号、固件版本号、PID或者VID等;进而实现对于使用该硬件或者固件的不同品牌,不同批次设备的检测,能够有效识别利用已知硬件漏洞或者固件漏洞实现恶意攻击的USB设备;