一种ATM安全防御系统及方法与流程

本发明涉及信息安全技术领域，尤其涉及一种ATM安全防御系统及方法。

背景技术：

随着金融行业的快速发展，ATM机已经成为了人们日常管理现金的一个重要渠道，随之而来的，是越来越多黑客开始以ATM终端为攻击目标，通过恶意代码从ATM终端获取不法之财。

由于ATM终端的网络多数都采用局域网络，而且ATM终端为自助形式，无人值守设备，所以传统的垃圾邮件、网站挂马等入侵方式无法作用于ATM终端，目前针对ATM终端的恶意攻击多数采用通过USB接口方式将恶意代码植入设备，黑客将恶意文件放入到U盘或者手机中，通过ATM终端的USB接口连接，对终端进行攻击。

目前很多ATM终端没有部署针对USB接入设备的检测与防御机制，而部分ATM终端安装了传统杀毒软件，这类杀毒软件主要工作流程如下：

1.在例如U盘等外接设备接入时，扫描外接设备文件，获取文件特征；

2.将文件特征和本地数据库或者云端数据库进行对比，判断文件是否是病毒文件；

3.针对病毒文件进行告警并隔离，针对白文件或者未知文件放行。

虽然这种检测机制能够识别出一些已知的恶意文件，但是，很多针对ATM攻击的病毒文件都是未知文件，因此这种传统的黑名单机制不能有效发现并防御这些未知文件，而且部分黑客并不直接将恶意文件直接放在外接设备中，而是通过手机热点的连接让ATM终端能够访问互联网网络，通过互联网将恶意文件植入终端，因此ATM外设检测系统不仅要能查杀外接设备中的已知恶意文件，同时还要能通过拷贝进入的行为，判断文件危害性，并要能监控并禁止外接设备违规行为，另外由于ATM终端配置较低，因此检测与防御系统要尽可能较少的占用终端硬件资源与网络带宽，不影响正常业务系统运行。

技术实现要素：

针对上述现有技术中存在的不足，本发明提出一种ATM安全防御系统及方法，主要通过三个维度进行ATM终端的防护：

1.外接设备安全文件植入。对外接设备植入安全认证文件，安全认证文件可以记录该外接设备使用权限，使用范围，驱动程序状态等，当外接设备接入时，客户端会读取安全认证文件内容，如果安全文件记录内容符合要求，则允许外接设备使用，如果不符合要求，则不允许外接设备使用。

2.外接设备信任体系。建立信任体系，只有受信任的外接设备才能在网内终端进行使用，一旦外接设备出现违规行为，会自动移除信任体系，移除后，该设备将不能再在网内使用；违规行为主要包括：包含恶意文件，进行过违规行为等。

3.外接设备文件模拟运行。针对未知文件，不能简单通过文件特征判断文件安全性，需搭建模拟运行环境，文件运行时，需要上报文件实体到环境中先进行运行测试，如果文件行为正常，才允许该文件在ATM终端进行运行，如果行为异常，例如修改ATM系统配置文件等，则立即阻止该文件运行。

具体发明内容包括：

一种ATM安全认证服务端，包括：注册模块、安全信任管理模块、数据传输管理模块；

其中：

注册模块用于向可接入ATM终端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

安全信任管理模块，用于保存并管理写入安全认证文件的外接设备信息和设备标识信息；

数据传输管理模块用于与ATM终端建立数据连接关系，并管理与ATM终端之间传输的数据。

进一步地，还包括云查杀模块，用于对ATM终端上传的指定数据进行云查杀。

进一步地，还包括模拟运行模块，用于对可接入ATM终端的外接设备中的指定文件进行模拟运行及检测。

进一步地，所述注册模块具体用于：将可接入ATM终端的外接设备接入ATM安全认证服务端后，获取接入的外接设备信息，并根据外接设备信息设定设备权限，将外接设备信息与设备权限信息整理成外接设备的安全认证文件，并将安全认证文件植入到接入的外接设备中。

进一步地，所述外接设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

进一步地，所述ATM安全认证服务端与ATM终端分离部署。

一种ATM安全防护客户端，包括：部署在ATM终端的信息获取模块、判定执行模块、数据传输模块；

其中：

信息获取模块用于当有外接设备与ATM终端连接时，获取外接设备信息；

判定执行模块用于根据信息获取模块获取的信息判断外接设备是否包含安全认证文件，并根据判断结果对连接的外接设备进行接入或拦截操作；

数据传输模块用于与ATM安全认证服务端建立数据连接关系。

进一步地，所述判定执行模块具体用于：根据信息获取模块获取的信息判断外接设备是否包含安全认证文件，若不包含则执行拦截操作；若包含则通过数据传输模块将安全认证文件与ATM安全认证服务端中的安全认证文件进行匹配，若匹配成功则执行接入操作，否则执行拦截操作。

进一步地，所述判定执行模块还用于：当所述外接设备接入所述ATM终端后，动态监控外接设备的操作行为，并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，若是则执行拦截操作，否则允许其继续使用。

进一步地，所述根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，具体包括：根据外接设备包含的安全认证文件的内容，确定外接设备的使用范围，继而判断当前状态下外接设备的操作范围是否超出了使用范围，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作；根据外接设备包含的安全认证文件的内容，确定外接设备的使用权限，继而判断当前状态下外接设备的操作是否超出了使用权限，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作。

进一步地，所述判定执行模块还用于：对于成功接入ATM终端的外接设备，记录其驱动状态以及接入后的操作及使用信息，并整理成驱动记录写入相应的安全认证文件中，并通过数据传输模块将安全认证文件同步到ATM安全认证服务端中。

进一步地，所述判定执行模块还用于：当所述外接设备接入所述ATM终端后，读取外接设备包含的安全认证文件，判断安全认证文件是否被改写，和/或根据安全认证文件中的驱动记录判断外接设备是否存在非法操作的使用记录，若是则执行拦截操作，否则执行接入操作。

进一步地，针对被拦截的外接设备，将全网禁止其使用。

进一步地，还包括防御日志上传模块，具体用于：对于全网禁止使用的外接设备，记录ATM安全防护客户端对其防御的过程，并通过数据传输模块向ATM安全认证服务端上报防御检测日志，并将相应外接设备信息移出ATM安全认证服务端。

进一步地，所述判定执行模块具体用于：根据信息获取模块获取的信息判断外接设备是否包含安全认证文件，若不包含则获取外接设备内存文件的特征信息，并通过数据传输模块将特征信息上传给ATM安全认证服务端进行检测，并根据返回的检测结果对连接的外接设备进行接入或拦截操作；若包含则通过数据传输模块将安全认证文件与ATM安全认证服务端中的安全认证文件进行匹配，若匹配成功则执行接入操作，否则执行拦截操作。

一种ATM安全防御系统，包括上述服务端及客户端，具体包括：上述服务端的注册模块、安全信任管理模块、数据传输管理模块，以及上述客户端的信息获取模块、判定执行模块、数据传输模块；该系统通过服务端与客户端的数据交互，结合安全认证文件，实现对连接到ATM终端的外接设备的主动防御。

一种ATM安全检测系统，包括上述服务端及客户端，具体包括:上述服务端的数据传输管理模块、云查杀模块、模拟运行模块，以及上述客户端的信息获取模块、判定执行模块、数据传输模块；该系统通过服务端与客户端的数据交互，结合云查杀和模拟沙箱技术，实现对连接到ATM终端的外接设备的检测；

其中：

服务端的云查杀模块具体用于接收由客户端上传的特征信息，并对特征信息进行云查杀，同时根据特征信息判断外接设备中是否存在可执行文件，若是则通过数据传输管理模块向外接设备获取完整的可执行文件，否则只对特征信息进行云查杀；

服务端的模拟运行模块具体用于接收外接设备中完整的可执行文件，并对可执行文件进行模拟运行及检测，判断可执行文件是否存在恶意行为；

由数据传输管理模块向ATM终端下发云查杀模块和模拟运行模块的检测结果。

进一步地，所述恶意行为包括：更改设备权限、修改系统文件。

进一步地，所述判定执行模块还用于：针对被拦截的外接设备，获取并向所述服务端上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

进一步地，所述判定执行模块还用于：针对接入ATM终端的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截操作，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

进一步地，还包括检测日志上传模块，用于将判定执行模块对外接设备进行拦截或接入操作的具体处理过程上报给服务端，且服务端针对被拦截的外接设备向网内ATM终端下发全网禁止其使用的指令。

一种ATM安全防御方法，包括：

向可接入ATM终端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

当有外接设备与ATM终端连接时，获取外接设备信息，判断外接设备是否包含安全认证文件，若不包含则拒绝接入；若包含则将安全认证文件与原始保存的安全认证文件进行匹配，若匹配成功则允许接入，否则拒绝接入。

进一步地，所述向可接入ATM终端的外接设备写入安全认证文件，具体为：获取外接设备信息，并根据外接设备信息设定设备权限，将外接设备信息与设备权限信息整理成外接设备的安全认证文件，并将安全认证文件植入到接入的外接设备中。

进一步地，所述外接设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

进一步地，还包括：当所述外接设备接入所述ATM终端后，动态监控外接设备的操作行为，并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，若是则阻止其使用，否则允许其继续使用。

进一步地，所述根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，具体包括：根据外接设备包含的安全认证文件的内容，确定外接设备的使用范围，继而判断当前状态下外接设备的操作范围是否超出了使用范围，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作；根据外接设备包含的安全认证文件的内容，确定外接设备的使用权限，继而判断当前状态下外接设备的操作是否超出了使用权限，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作。

进一步地，还包括：对于成功接入ATM终端的外接设备，记录其驱动状态以及接入后的操作及使用信息，并整理成驱动记录写入相应的安全认证文件中。

进一步地，还包括：当所述外接设备接入所述ATM终端后，读取外接设备包含的安全认证文件，判断安全认证文件是否被改写，和/或根据安全认证文件中的驱动记录判断外接设备是否存在非法操作的使用记录，若是则全网禁止相应外接设备的使用，否则允许其继续使用。

进一步地，还包括：对于全网禁止使用的外接设备，记录对其防御的过程，并上报防御日志。

进一步地，对于不包含安全认证文件的外接设备，还包括：获取外接设备内存文件的特征信息，对特征信息进行云查杀，判断外接设备是否存在恶意，并根据判断结果对外接设备进行拦截或放行处理，并上报处理日志。

进一步地，还包括：在所述进行云查杀的过程中，判断外接设备是否存在可执行文件，若存在则获取完整可执行文件，并在虚拟环境中运行，实时监控运行状态，判断是否存在敏感行为，若是则视为对应外接设备存在恶意，否则视为外接设备安全；其中，所述敏感行为包括：更改设备权限、修改系统文件。

进一步地，还包括：针对拦截的外接设备，获取并上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

进一步地，还包括：针对被放行的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

进一步地，针对被拦截的外接设备，将全网禁止其使用。

本发明的有益效果是：

本发明能够实现ATM恶意外设的多维度防御及检测，不仅能够通过文件特征防御，还能通过文件行为分析、使用权限限制等保证ATM 终端安全；

本发明能够阻止恶意外设在网内多台终端上使用，在以往案例中，黑客会短时间内在多台ATM设备上进行破坏，本系统在发现恶意外设后，能够阻止其在网内其他终端上使用，控制了破坏范围；

本发明能够控制外接设备访问范围和使用权限，更好地保证了ATM终端的安全性；

本发明对违规行为进行阻止并上报行为记录，便于收集ATM恶意攻击样本数据，并进行深度分析；

进一步地，本发明提出的防御检测方法在对外接设备中的特征进行云查杀的同时，若发现外接设备中存在可执行文件，则获取可执行文件的完整文件，并将其投入虚拟机中进行监控执行，该过程分离与ATM终端，不占用ATM终端内存，不影响ATM终端正常使用，且对完整文件进行监控执行更能确保检测结果的准确性，提高恶意行为的检出率。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种ATM安全认证服务端结构图；

图2为本发明一种ATM安全防护客户端的结构图；

图3为本发明一种ATM安全防御系统的结构图；

图4为本发明一种ATM安全检测系统的结构图；

图5为本发明一种ATM安全防御方法的流程图；

图6为本发明一种ATM安全防御检测方法的流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明给出了一种ATM安全认证服务端的实施例，如图1所示，包括：注册模块101、安全信任管理模块102、数据传输管理模块103；

其中：

注册模块101用于向可接入ATM终端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

安全信任管理模块102，用于保存并管理写入安全认证文件的外接设备信息和设备标识信息；

数据传输管理模块103用于与ATM终端建立数据连接关系，并管理与ATM终端之间传输的数据；

还包括云查杀模块104，用于对ATM终端上传的指定数据进行云查杀。

还包括模拟运行模块105，用于对可接入ATM终端的外接设备中的指定文件进行模拟运行及检测

其中，云查杀模块104与模拟运行模块105为优选模块，可根据具体场景或需求选择性的部署或删除。

优选地，所述注册模块101具体用于：将可接入ATM终端的外接设备接入ATM安全认证服务端后，获取接入的外接设备信息，并根据外接设备信息设定设备权限，将外接设备信息与设备权限信息整理成外接设备的安全认证文件，并将安全认证文件植入到接入的外接设备中。

优选地，所述外接设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

优选地，所述ATM安全认证服务端与ATM终端分离部署。

本发明还给出一种ATM安全防护客户端的实施例，如图2所示，包括：部署在ATM终端的信息获取模块201、判定执行模块202、数据传输模块203；

其中：

信息获取模块201用于当有外接设备与ATM终端连接时，获取外接设备信息；

判定执行模块202用于根据信息获取模块201获取的信息判断外接设备是否包含安全认证文件，并根据判断结果对连接的外接设备进行接入或拦截操作；

数据传输模块203用于与ATM安全认证服务端建立数据连接关系。

优选地，所述判定执行模块202具体用于：根据信息获取模块201获取的信息判断外接设备是否包含安全认证文件，若不包含则执行拦截操作；若包含则通过数据传输模块203将安全认证文件与ATM安全认证服务端中的安全认证文件进行匹配，若匹配成功则执行接入操作，否则执行拦截操作。

优选地，所述判定执行模块202还用于：当所述外接设备接入所述ATM终端后，动态监控外接设备的操作行为，并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，若是则执行拦截操作，否则允许其继续使用。

优选地，所述根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，具体包括：根据外接设备包含的安全认证文件的内容，确定外接设备的使用范围，继而判断当前状态下外接设备的操作范围是否超出了使用范围，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作；根据外接设备包含的安全认证文件的内容，确定外接设备的使用权限，继而判断当前状态下外接设备的操作是否超出了使用权限，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作。

优选地，所述判定执行模块202还用于：对于成功接入ATM终端的外接设备，记录其驱动状态以及接入后的操作及使用信息，并整理成驱动记录写入相应的安全认证文件中，并通过数据传输模块203将安全认证文件同步到ATM安全认证服务端中。

优选地，所述判定执行模块202还用于：当所述外接设备接入所述ATM终端后，读取外接设备包含的安全认证文件，判断安全认证文件是否被改写，和/或根据安全认证文件中的驱动记录判断外接设备是否存在非法操作的使用记录，若是则执行拦截操作，否则执行接入操作。

优选地，针对被拦截的外接设备，将全网禁止其使用。

优选地，还包括防御日志上传模块，具体用于：对于全网禁止使用的外接设备，记录ATM安全防护客户端对其防御的过程，并通过数据传输模块向ATM安全认证服务端上报防御检测日志，并将相应外接设备信息移出ATM安全认证服务端。

优选地，所述判定执行模块202具体用于：根据信息获取模块获取的信息判断外接设备是否包含安全认证文件，若不包含则获取外接设备内存文件的特征信息，并通过数据传输模块203将特征信息上传给ATM安全认证服务端进行检测，并根据返回的检测结果对连接的外接设备进行接入或拦截操作；若包含则通过数据传输模块203将安全认证文件与ATM安全认证服务端中的安全认证文件进行匹配，若匹配成功则执行接入操作，否则执行拦截操作。

本发明还给出一种ATM安全防御系统的实施例，如图3所示，包括上述服务端及客户端，具体包括：上述服务端的注册模块101、安全信任管理模块102、数据传输管理模块103，以及上述客户端的信息获取模块201、判定执行模块202、数据传输模块203；该系统通过服务端与客户端的数据交互，结合安全认证文件，实现对连接到ATM终端的外接设备的主动防御。

本发明还给出一种ATM安全检测系统的实施例，如图4所示，包括上述服务端及客户端，具体包括:上述服务端的数据传输管理模块103、云查杀模块104、模拟运行模块105，以及上述客户端的信息获取模块201、判定执行模块202、数据传输模块203；该系统通过服务端与客户端的数据交互，结合云查杀和模拟沙箱技术，实现对连接到ATM终端的外接设备的检测；

其中：

服务端的云查杀模块104具体用于接收由客户端上传的特征信息，并对特征信息进行云查杀，同时根据特征信息判断外接设备中是否存在可执行文件，若是则通过数据传输管理模块向外接设备获取完整的可执行文件，否则只对特征信息进行云查杀；

服务端的模拟运行模块105具体用于接收外接设备中完整的可执行文件，并对可执行文件进行模拟运行及检测，判断可执行文件是否存在恶意行为；

由数据传输管理模块103向ATM终端下发云查杀模块和模拟运行模块的检测结果。

优选地，所述恶意行为包括：更改设备权限、修改系统文件。

优选地，所述判定执行模块202还用于：针对被拦截的外接设备，获取并向所述服务端上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

优选地，所述判定执行模块202还用于：针对接入ATM终端的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截操作，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

优选地，还包括检测日志上传模块，用于将判定执行模块对外接设备进行拦截或接入操作的具体处理过程上报给服务端，且服务端针对被拦截的外接设备向网内ATM终端下发全网禁止其使用的指令。

本发明还给出一种ATM安全防御方法的实施例，如图5所示，包括：

S501：向可接入ATM终端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

S502：当有外接设备与ATM终端连接时，获取外接设备信息；

S503：判断外接设备是否包含安全认证文件，若不包含则拒绝接入；若包含则进入S504；

S504：将安全认证文件与原始保存的安全认证文件进行匹配；

S505：判断匹配是否成功，若匹配成功则允许接入，否则拒绝接入。

优选地，所述向可接入ATM终端的外接设备写入安全认证文件，具体为：获取外接设备信息，并根据外接设备信息设定设备权限，将外接设备信息与设备权限信息整理成外接设备的安全认证文件，并将安全认证文件植入到接入的外接设备中。

优选地，所述外接设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

优选地，还包括：当所述外接设备接入所述ATM终端后，动态监控外接设备的操作行为，并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，若是则阻止其使用，否则允许其继续使用。

优选地，所述根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，具体包括：根据外接设备包含的安全认证文件的内容，确定外接设备的使用范围，继而判断当前状态下外接设备的操作范围是否超出了使用范围，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作；根据外接设备包含的安全认证文件的内容，确定外接设备的使用权限，继而判断当前状态下外接设备的操作是否超出了使用权限，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作。

优选地，还包括：对于成功接入ATM终端的外接设备，记录其驱动状态以及接入后的操作及使用信息，并整理成驱动记录写入相应的安全认证文件中。

优选地，还包括：当所述外接设备接入所述ATM终端后，读取外接设备包含的安全认证文件，判断安全认证文件是否被改写，和/或根据安全认证文件中的驱动记录判断外接设备是否存在非法操作的使用记录，若是则全网禁止相应外接设备的使用，否则允许其继续使用。

优选地，还包括：对于全网禁止使用的外接设备，记录对其防御的过程，并上报防御日志。

本发明还给出一种ATM安全防御检测方法的实施例，如图6所示，包括：

S601：向可接入ATM终端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

S602：当有外接设备与ATM终端连接时，获取外接设备信息；

S603：判断外接设备是否包含安全认证文件，若包含则将安全认证文件与原始保存的安全认证文件进行匹配，若匹配成功则允许接入，否则拒绝接入；若不包含则进入S604；

S604：获取外接设备内存文件的特征信息，对特征信息进行云查杀；

S605：根据S604的查杀结果判断外接设备是否存在恶意，并根据判断结果对外接设备进行拦截或放行处理，并上报处理日志。

优选地，还包括：在所述进行云查杀的过程中，判断外接设备是否存在可执行文件，若存在则获取完整可执行文件，并在虚拟环境中运行，实时监控运行状态，判断是否存在敏感行为，若是则视为对应外接设备存在恶意，否则视为外接设备安全；其中，所述敏感行为包括：更改设备权限、修改系统文件。

优选地，还包括：针对拦截的外接设备，获取并上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

优选地，还包括：针对被放行的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

优选地，针对被拦截的外接设备，将全网禁止其使用。

本发明提出一种ATM安全防御系统及方法，通过设备安全文件植入，对外接设备植入安全认证文件，安全认证文件可以记录该外接设备使用权限，使用范围，驱动程序状态等；通过设备信任体系，建立信任体系，只有受信任的外接设备才能在网内终端进行使用；通过外接设备文件模拟运行，解决未知文件不能简单通过文件特征判断文件安全性的问题，将文件实体上报到虚拟环境运行测试，文件正常才允许其在ATM终端进行运行。本发明能够实现ATM恶意外设的多维度防御及检测，不仅能够通过文件特征防御，还能通过文件行为分析、使用权限限制等保证ATM 终端安全；本发明能够阻止恶意外设在网内多台终端上使用，在以往案例中，黑客会短时间内在多台ATM设备上进行破坏，本系统在发现恶意外设后，能够阻止其在网内其他终端上使用，控制了破坏范围；本发明能够控制外接设备访问范围和使用权限，更好地保证了ATM终端的安全性；本发明对违规行为进行阻止并上报行为记录，便于收集ATM恶意攻击样本数据，并进行深度分析；进一步地，本发明提出的防御检测方法在对外接设备中的特征进行云查杀的同时，若发现外接设备中存在可执行文件，则获取可执行文件的完整文件，并将其投入虚拟机中进行监控执行，该过程分离与ATM终端，不占用ATM终端内存，不影响ATM终端正常使用，且对完整文件进行监控执行更能确保检测结果的准确性，提高恶意行为的检出率。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。