一种ATM安全防御检测系统及方法与流程

本发明涉及信息安全技术领域，尤其涉及一种atm安全防御检测系统及方法。

背景技术：

随着金融行业的快速发展，atm机已经成为了人们日常管理现金的一个重要渠道，随之而来的，是越来越多黑客开始以atm终端为攻击目标，通过恶意代码从atm终端获取不法之财。

由于atm终端的网络多数都采用局域网络，而且atm终端为自助形式，无人值守设备，所以传统的垃圾邮件、网站挂马等入侵方式无法作用于atm终端，目前针对atm终端的恶意攻击多数采用通过usb接口方式将恶意代码植入设备，黑客将恶意文件放入到u盘或者手机中，通过atm终端的usb接口连接，对终端进行攻击。

目前很多atm终端没有部署针对usb接入设备的检测与防御机制，而部分atm终端安装了传统杀毒软件，这类杀毒软件主要工作流程如下：

1.在例如u盘的等外界设备接入时，扫描u盘内文件获取文件特征；

2.将文件特征和本地数据库或者云端数据库进行对比，判断文件是否是病毒文件；

3.针对病毒文件进行告警并隔离，针对白文件或者未知文件放行。

虽然这种检测机制能够识别出一些已知的恶意文件，但是，很多针对atm攻击的病毒文件都是未知文件，因此这种传统的黑名单机制不能有效发现并防御这些未知文件，而且部分黑客并不直接将恶意文件直接放在外接设备中，而是通过手机热点的连接让atm终端能够访问互联网网络，通过互联网将恶意文件植入终端，因此atm外设检测系统不仅要能查杀外接设备中的已知恶意文件，同时还要能通过拷贝进入的行为，判断文件危害性，并要能监控并禁止外接设备违规行为，另外由于atm终端配置较低，因此检测与防御系统要尽可能较少的占用终端硬件资源与网络带宽，不影响正常业务系统运行。

技术实现要素：

针对上述现有技术中存在的不足，本发明提出一种atm安全防御检测系统及方法。包括：客户端模块、云查杀模块、日志上传模块；所述云查杀模块部署在服务器，客户端模块和日志上传模块部署在atm终端；客户端模块用于获取外接设备内存文件的特征信息，并将特征信息上传给云查杀模块，并根据云查杀模块下发的操作指令对外接设备进行拦截或放行处理；云查杀模块用于对特征信息进行云查杀，判断外接设备是否存在恶意，并根据判断结果向客户端模块下发拦截或放行的操作指令；日志上传模块用于向服务器上报客户端模块对外接设备的处理日志。

具体发明内容包括：

一种atm安全防御检测系统，包括：客户端模块、云查杀模块、日志上传模块；所述云查杀模块部署在服务器，客户端模块和日志上传模块部署在atm终端；

其中：

客户端模块用于获取外接设备内存文件的特征信息，并将特征信息上传给云查杀模块，并根据云查杀模块下发的操作指令对外接设备进行拦截或放行处理；

云查杀模块用于对特征信息进行云查杀，判断外接设备是否存在恶意，并根据判断结果向客户端模块下发拦截或放行的操作指令；

日志上传模块用于向服务器上报客户端模块对外接设备的处理日志。

进一步地，所述云查杀模块还用于：根据客户端模块上报的外接设备内存文件的特征信息，判断外接设备是否存在可执行文件，若存在则获取完整可执行文件，并在虚拟环境中运行，实时监控运行状态，判断是否存在敏感行为，若是则视为对应外接设备存在恶意，否则视为外接设备安全；其中，所述敏感行为包括：更改设备权限、修改系统文件。

进一步地，所述客户端模块还用于：针对拦截的外接设备，获取其包含的恶意数据，并上报给服务器进行深度分析，同时将恶意数据从外接设备中删除。

进一步地，所述客户端模块还用于：针对被放行的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

进一步地，所述云查杀模块还用于：统计被拦截的外接设备的设备信息，并向全网下发禁止其使用的操作指令；所述设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

一种atm安全防御检测方法，包括：

当有可接入atm终端的外接设备连接atm终端时，获取外接设备内存文件的特征信息；

对所述特征信息进行云查杀；

根据云查杀结果判断外接设备是否存在恶意；

根据判断结果对外接设备进行拦截或放行处理；

上报处理日志。

进一步地，还包括：在所述进行云查杀的过程中，判断外接设备是否存在可执行文件，若存在则获取完整可执行文件，并在虚拟环境中运行，实时监控运行状态，判断是否存在敏感行为，若是则视为对应外接设备存在恶意，否则视为外接设备安全；其中，所述敏感行为包括：更改设备权限、修改系统文件。

进一步地，还包括：针对拦截的外接设备，获取并上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

进一步地，还包括：针对被放行的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

进一步地，针对被拦截的外接设备，将全网禁止其使用。

本发明的有益效果是：

本发明能够阻止恶意外设在网内多台终端上使用，在以往案例中，黑客会短时间内在多台atm设备上进行破坏，本系统在发现恶意外设后，能够阻止其在网内其他终端上使用，控制了破坏范围；

本发明收集atm恶意攻击样本数据，并进行深度分析，有助于完善防御策略；

本发明提出的防御检测方法在对外接设备中的特征进行云查杀的同时，若发现外接设备中存在可执行文件，则获取可执行文件的完整文件，并将其投入虚拟机中进行监控执行，该过程分离与atm终端，不占用atm终端内存，不影响atm终端正常使用，且对完整文件进行监控执行更能确保检测结果的准确性，提高恶意行为的检出率。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种atm安全防御检测的系统结构图；

图2为本发明一种atm安全防御检测的方法流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明给出了一种atm安全防御检测的系统实施例，如图1所示，包括：客户端模块101、日志上传模块102、云查杀模块103；所述云查杀模块103部署在服务器，客户端模块101和日志上传模块102部署在atm终端；

其中：

客户端模块101用于获取外接设备内存文件的特征信息，并将特征信息上传给云查杀模块103，并根据云查杀模块103下发的操作指令对外接设备进行拦截或放行处理；

日志上传模块102用于向服务器上报客户端模块101对外接设备的处理日志；

云查杀模块103用于对特征信息进行云查杀，判断外接设备是否存在恶意，并根据判断结果向客户端模块101下发拦截或放行的操作指令。

进一步地，所述云查杀模块103还用于：根据客户端模块101上报的外接设备内存文件的特征信息，判断外接设备是否存在可执行文件，若存在则获取完整可执行文件，并在虚拟环境中运行，实时监控运行状态，判断是否存在敏感行为，若是则视为对应外接设备存在恶意，否则视为外接设备安全；其中，所述敏感行为包括：更改设备权限、修改系统文件。

进一步地，所述客户端模块101还用于：针对拦截的外接设备，获取其包含的恶意数据，并上报给服务器进行深度分析，同时将恶意数据从外接设备中删除。

进一步地，所述客户端模块101还用于：针对被放行的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

进一步地，所述云查杀模块103还用于：统计被拦截的外接设备的设备信息，并向全网下发禁止其使用的操作指令；所述设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

本发明还给出了一种atm安全防御检测的方法实施例，如图2所示，包括：

s201：当有可接入atm终端的外接设备连接atm终端时，获取外接设备内存文件的特征信息；

s202：对所述特征信息进行云查杀；

s203：根据云查杀结果判断外接设备是否存在恶意；

s204：根据判断结果对外接设备进行拦截或放行处理；

s205：上报处理日志。

进一步地，还包括：在所述进行云查杀的过程中，判断外接设备是否存在可执行文件，若存在则获取完整可执行文件，并在虚拟环境中运行，实时监控运行状态，判断是否存在敏感行为，若是则视为对应外接设备存在恶意，否则视为外接设备安全；其中，所述敏感行为包括：更改设备权限、修改系统文件。

进一步地，还包括：针对拦截的外接设备，获取并上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

进一步地，还包括：针对被放行的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

进一步地，针对被拦截的外接设备，将全网禁止其使用。

本说明书中系统的实施例采用递进的方式描述，对于方法的实施例而言，由于其基本相似于系统实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。本发明提出一种atm安全防御检测系统及方法。包括：客户端模块、云查杀模块、日志上传模块；所述云查杀模块部署在服务器，客户端模块和日志上传模块部署在atm终端；客户端模块用于获取外接设备内存文件的特征信息，并将特征信息上传给云查杀模块，并根据云查杀模块下发的操作指令对外接设备进行拦截或放行处理；云查杀模块用于对特征信息进行云查杀，判断外接设备是否存在恶意，并根据判断结果向客户端模块下发拦截或放行的操作指令；日志上传模块用于向服务器上报客户端模块对外接设备的处理日志。本发明能够阻止恶意外设在网内多台终端上使用，在以往案例中，黑客会短时间内在多台atm设备上进行破坏，本系统在发现恶意外设后，能够阻止其在网内其他终端上使用，控制了破坏范围；本发明收集atm恶意攻击样本数据，并进行深度分析，有助于完善防御策略；本发明提出的防御检测方法在对外接设备中的特征进行云查杀的同时，若发现外接设备中存在可执行文件，则获取可执行文件的完整文件，并将其投入虚拟机中进行监控执行，该过程分离与atm终端，不占用atm终端内存，不影响atm终端正常使用，且对完整文件进行监控执行更能确保检测结果的准确性，提高恶意行为的检出率。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。