优选地,所述将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作,具体为:
将所述设备类型和操作行为与所述白名单匹配,若匹配成功,则允许USB设备接入主设备,否则,阻断USB设备接入主设备。
[0022]优选地,所述将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作,具体为:
将所述硬件信息与所述黑名单匹配,若匹配成功,则阻断USB设备接入主设备,否则,允许USB设备接入主设备。
[0023]优选地,还包括:当所述USB设备的硬件信息与所述设备类型不符;或者,当所述USB设备的设备类型与用户可见的外观不符,则判定所述USB设备为伪装设备。
[0024]例如:该主控芯片一般用于某种USB设备中,但是被识别出的设备类型与常识不符,则所述USB设备极有可能是伪装设备;或者主设备识别该USB设备为大容量存储设备,但是该设备外观为鼠标,则该USB设备为伪装设备。
[0025]优选地,还包括:将所述USB设备的相关信息以可视化形式展示给用户,供用户参考决策;
所述相关信息包括:设备类型、操作行为或者枚举信息切换。
[0026]例如:若枚举信息从大容量存储设备切换到HID键盘设备,键盘正向Protl3端口执行输入操作;当前接入的USB设备存在三个接口,分别为大容量存储设备、光驱设备和HID设备;大容量存储设备正在进行数据交换操作或者HID设备正在进行输出操作等。将上述的相关信息以可视化的形式展示给用户,用户基于经验判断是否存在恶意行为,以便及时作出处置响应。
[0027]本发明还提供了一种恶意USB设备的检测装置实施例,如图2所示,包括:
白名单配置模块201,用于对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作;
黑名单配置模块202,用于分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单;
行为类型记录模块203,用于当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为;
白名单匹配模块204,用于将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作;
硬件信息记录模块205,用于获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息;
黑名单匹配模块206,用于将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作。
[0028]优选地,所述白名单匹配模块,具体用于:
将所述设备类型和操作行为与所述白名单匹配,若匹配成功,则允许其接入主设备,否贝IJ,阻断其接入主设备。
[0029]优选地,所述黑名单匹配模块,具体用于:
将所述硬件信息与所述黑名单匹配,若匹配成功,则阻断其接入主设备,否则,允许其接入主设备。
[0030]优选地,还包括:伪装设备识别模块,用于当所述USB设备的硬件信息与所述设备类型不符;或者,当所述USB设备的设备类型与用户可见的外观不符,则判定所述USB设备为伪装设备。
[0031]优选地,还包括:可视化展示模块,用于将所述USB设备的相关信息以可视化形式展示给用户,供用户参考决策;
所述相关信息包括:设备类型、操作行为或者枚举信息切换。
[0032]如上所述,本发明公开的实施例通过预设白名单和黑名单,并与后续接入USB设备匹配,其中,所述白名单中存储有允许接入的USB设备类型及各设备类型下允许的操作,所述黑名单中存储有存在已知安全威胁的硬件和固件的特征信息;提取接入主设备的USB设备的设备类型,操作行为和硬件信息,将上述信息与黑白名单匹配,并基于匹配结果判断所述USB设备是否是可疑设备。更为优选地,利用可视化的形式,将接入的USB设备的相关信息实时展示给用户,辅助用户及时作出有效响应。本发明所述的方法及装置不仅能够有效识另IjUSB设备中的恶意行为,对于使用已知恶意硬件的USB设备也能够及时发现,从而第一时间阻断其进一步恶意操作,尽量减少并避免对主设备中信息的威胁。
[0033]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
【主权项】
1.一种恶意USB设备的检测方法,其特征在于,包括: 对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作; 分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单; 当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为; 将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作; 获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息; 将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作。2.如权利要求1所述方法,其特征在于,所述将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作,具体为: 将所述设备类型和操作行为与所述白名单匹配,若匹配成功,则允许USB设备接入主设备,否则,阻断USB设备接入主设备。3.如权利要求1所述方法,其特征在于,所述将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作,具体为: 将所述硬件信息与所述黑名单匹配,若匹配成功,则阻断USB设备接入主设备,否则,允许USB设备接入主设备。4.如权利要求1所述方法,其特征在于,还包括:当所述USB设备的硬件信息与所述设备类型不符;或者,当所述USB设备的设备类型与用户可见的外观不符,则判定所述USB设备为伪装设备。5.如权利要求1所述方法,其特征在于,还包括:将所述USB设备的相关信息以可视化形式展示给用户,供用户参考决策; 所述相关信息包括:设备类型、操作行为或者枚举信息切换。6.一种恶意USB设备的检测装置,其特征在于,包括: 白名单配置模块,用于对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作; 黑名单配置模块,用于分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单; 行为类型记录模块,用于当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为; 白名单匹配模块,用于将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作; 硬件信息记录模块,用于获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息; 黑名单匹配模块,用于将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作。7.如权利要求6所述装置,其特征在于,所述白名单匹配模块,具体用于: 将所述设备类型和操作行为与所述白名单匹配,若匹配成功,则允许其接入主设备,否贝IJ,阻断其接入主设备。8.如权利要求6所述装置,其特征在于,所述黑名单匹配模块,具体用于: 将所述硬件信息与所述黑名单匹配,若匹配成功,则阻断其接入主设备,否则,允许其接入主设备。9.如权利要求6所述装置,其特征在于,还包括:伪装设备识别模块,用于当所述USB设备的硬件信息与所述设备类型不符;或者,当所述USB设备的设备类型与用户可见的外观不符,则判定所述USB设备为伪装设备。10.如权利要求6所述装置,其特征在于,还包括:可视化展示模块,用于将所述USB设备的相关信息以可视化形式展示给用户,供用户参考决策; 所述相关信息包括:设备类型、操作行为或者枚举信息切换。
【专利摘要】本发明公开了一种恶意USB设备的检测方法及装置,包括:对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作;分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单;当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为;将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作;获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息;将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作。本发明所述技术方案能够有效识别利用已知硬件漏洞和固件漏洞实现攻击的USB设备。
【IPC分类】G06F21/85, G06F21/71
【公开号】CN105718825
【申请号】CN201510783527
【发明人】林长伟, 黄显澍, 肖新光
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年6月29日
【申请日】2015年11月16日