一种ATM程序更新的安全防护方法及系统与流程
本发明涉及信息安全技术领域,尤其涉及一种atm程序更新的安全防护方法及系统。
背景技术:
目前主流的杀毒软件都是以文件的md5做特征进行查杀的,这样势必会造成一个现象,杀毒软件总是要滞后于最新的病毒,对于个人用户而言,这种查杀是可以接受的,因为每天都会升级病毒库,同时会提示用户哪些程序具有一些可疑行为,供用户选择。但是对于atm这种查杀方式是不可行的。首先atm存在于封闭的内网中,不会每天都实时更新病毒库,同时atm是属于无人看管的机型,同时atm主营业务程序不能被打断。所以以往靠文件的md5方式进行查杀只能治标,但是不能治本,不能很有效同时很安全地保证atm的安全性。而atm的安全性确实是银行及各个用户所关心的,所以提出一个实际有效、安全准确、不影响主营业务正常运行的方法势在必行。
由于atm的特殊性,其感染病毒的途径很少。首先atm处于绝对的内网环境中,不会与任何外网进行连接,所以受外网攻击的情况几乎为零。其次除了运维人员,很少有人能够对atm进行除主营业务外的操作,所以减少了人为故意感染atm的可能。因此能够使atm感染主要途径就是atm进行人为更新软硬件,通过移动载体将atm感染病毒。一般主流杀毒软件都会实时监测是否有新增文件,提前监测该新增文件是否是威胁文件,如果该文件的md5已经在黑库中,则提示用户该文件为病毒文件,并禁止其运行。但这种传统方法只是预先判断,而且其判断范围有限,当预判失败时,则无法挽救损失,这对类似于atm这种安全性要求高的设备而言,是无法接受的。
如果能够在更新后能提供预防方式,同时配合着杀毒软件更新前的预判断,便可以提供双重保险,确保了atm运行的准确性。而更新后的预防方式既要保证其他文件的安全,又要检测出更新后的程序是否有被感染的可能。当发现有被感染可能后,需要将所有被感染文件删除,同时恢复到更新前的状态,保证主营业务的正常运行。
技术实现要素:
针对上述现有技术存在的缺陷,本发明提出一种atm程序更新的安全防护方法及系统,首先在更新前,及在运行更新程序时,能够感知更新程序的运行,此时先阻断更新程序运行,需要将未更新的程序及相关的所有信息加密备份,并保存到磁盘中的某一位置。为了验证更新后的程序是否具有病毒特征,添加诱饵文件夹,其中存放了相关诱饵信息,使更新后的程序能够感知诱饵文件夹的存在,并对诱饵文件夹提供感知文件变化支持。当更新过程完成后,验证其更新后的程序是否能够正常运行,因此进行自动化测试,而以往的一些数据是最能验证其准确性的,所以需要对atm更新后的程序进行自动化测试,如果更新程序通过了自动化测试,并且没有其他的恶意行为,可以认定此次的更新过程是安全的。而当自动化测试时,更新程序对以往的数据会产生不同结果时,势必该更新程序存在被感染的可能。对更新程序完成验证后,如果更新程序存在被感染的可能,需要将更新的程序彻底删除,并将加密的备份进行恢复,使atm可以继续正常运行,并提示运维人员此次更新存在威胁,需要重新获取更新文件。
具体发明内容包括:
一种atm程序更新的安全防护方法,包括:
动态感知atm终端中是否有更新程序运行;
当感知到有更新程序运行时,阻断更新程序的运行,并加密备份atm终端中所有程序及相关的所有信息;
所述加密备份结束后,放行更新程序的运行;
创建诱饵文件夹,存放诱饵文件,动态感知更新程序对诱饵文件的操作,若感知到更新程序有对诱饵文件进行修改的行为,则判定更新程序存在恶意,并阻断更新程序的运行;否则待更新程序运行结束后,对更新后的程序进行自动化测试,根据测试结果判断更新程序是否存在恶意;
针对更新程序存在恶意的情况,删除更新程序创建的所有信息,同时恢复加密备份的数据;若判定更新程序不存在恶意,则视为更新程序安全。
进一步地,所述加密备份atm终端中所有程序及相关的所有信息,其中相关的所有信息包括:文件信息、数据信息、注册表信息。
进一步地,所述创建诱饵文件夹,具体为:在待更新的程序的根分区下创建诱饵文件夹;所述诱饵文件包括:不同结构的pe文件、不同扩展名的文本文件。
进一步地,所述对更新后的程序进行自动化测试,根据测试结果判断更新程序是否存在恶意,具体为:使用预先设置的安全测试用例对更新后的程序进行测试,若测试成功则视为更新程序安全,否则视为更新程序存在恶意。
进一步地,还包括:针对视为更新程序安全的情况,使用atm终端中原有数据在断网状态下对更新后的程序进行测试,感知更新后的程序是否存在异常发送数据包的请求,和/或感知更新后的程序是否存在敏感操作,若是则视为更新程序存在恶意,否则视为更新程序安全;其中,所述敏感操作包括:修改注册表信息、释放可执行文件、删除数据操作。
一种atm程序更新的安全防护系统,包括:
动态感知加密模块,用于动态感知atm终端中是否有更新程序运行,当感知到有更新程序运行时,阻断更新程序的运行,并加密备份atm终端中所有程序及相关的所有信息,所述加密备份结束后,放行更新程序的运行;
恶意检测模块,用于创建诱饵文件夹,存放诱饵文件,动态感知更新程序对诱饵文件的操作,若感知到更新程序有对诱饵文件进行修改的行为,则判定更新程序存在恶意,并阻断更新程序的运行;否则待更新程序运行结束后,对更新后的程序进行自动化测试,根据测试结果判断更新程序是否存在恶意;
备份恢复模块,用于针对更新程序存在恶意的情况,删除更新程序创建的所有信息,同时恢复加密备份的数据;若判定更新程序不存在恶意,则视为更新程序安全。
进一步地,所述加密备份atm终端中所有程序及相关的所有信息,其中相关的所有信息包括:文件信息、数据信息、注册表信息。
进一步地,所述创建诱饵文件夹,具体为:在待更新的程序的根分区下创建诱饵文件夹;所述诱饵文件包括:不同结构的pe文件、不同扩展名的文本文件。
进一步地,所述对更新后的程序进行自动化测试,根据测试结果判断更新程序是否存在恶意,具体为:使用预先设置的安全测试用例对更新后的程序进行测试,若测试成功则视为更新程序安全,否则视为更新程序存在恶意。
进一步地,还包括单机检测模块,具体用于:针对视为更新程序安全的情况,使用atm终端中原有数据在断网状态下对更新后的程序进行测试,感知更新后的程序是否存在异常发送数据包的请求,和/或感知更新后的程序是否存在敏感操作,若是则视为更新程序存在恶意,否则视为更新程序安全;其中,所述敏感操作包括:修改注册表信息、释放可执行文件、删除数据操作。
本发明的有益效果是:
本发明能有效判断更新后的程序是否存在潜在的威胁;
本发明与预判不同,需要让更新文件真正运行起来,并在运行后对更新程序进行自动化测试,同时感知更新后的程序是否存在感染可能,能够有效保证检测结果的准确性及检出率,充分确保atm终端环境安全;
本发明为了系统安全,在更新程序运行时,对系统数据提供加密备份保护支持,并创建诱饵文件用以直接对更新程序恶意性进行检测,并在发现系统环境被感染后提供数据还原功能,保证atm终端的正常工作。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种atm程序更新的安全防护方法流程图;
图2为本发明一种atm程序更新的安全防护系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种atm程序更新的安全防护方法实施例,如图1所示,包括:
s101:动态感知atm终端中是否有更新程序运行;
s102:当感知到有更新程序运行时,阻断更新程序的运行,并加密备份atm终端中所有程序及相关的所有信息;
s103:所述加密备份结束后,放行更新程序的运行;
s104:创建诱饵文件夹,存放诱饵文件,动态感知更新程序对诱饵文件的操作;
s105:判断更新程序是否有对诱饵文件进行修改的行为,若是则判定更新程序存在恶意,并阻断更新程序的运行;否则待更新程序运行结束后,对更新后的程序进行自动化测试,根据测试结果判断更新程序是否存在恶意;
针对更新程序存在恶意的情况,删除更新程序创建的所有信息,同时恢复加密备份的数据;若判定更新程序不存在恶意,则视为更新程序安全。
优选地,所述加密备份atm终端中所有程序及相关的所有信息,其中相关的所有信息包括:文件信息、数据信息、注册表信息。
优选地,所述创建诱饵文件夹,具体为:在待更新的程序的根分区下创建诱饵文件夹;所述诱饵文件包括:不同结构的pe文件、不同扩展名的文本文件。
优选地,所述对更新后的程序进行自动化测试,根据测试结果判断更新程序是否存在恶意,具体为:使用预先设置的安全测试用例对更新后的程序进行测试,若测试成功则视为更新程序安全,否则视为更新程序存在恶意。
优选地,还包括:针对视为更新程序安全的情况,使用atm终端中原有数据在断网状态下对更新后的程序进行测试,感知更新后的程序是否存在异常发送数据包的请求,和/或感知更新后的程序是否存在敏感操作,若是则视为更新程序存在恶意,否则视为更新程序安全;其中,所述敏感操作包括:修改注册表信息、释放可执行文件、删除数据操作。
本发明还给出了一种atm程序更新的安全防护系统实施例,如图2所示,包括:
动态感知加密模块201,用于动态感知atm终端中是否有更新程序运行,当感知到有更新程序运行时,阻断更新程序的运行,并加密备份atm终端中所有程序及相关的所有信息,所述加密备份结束后,放行更新程序的运行;
恶意检测模块202,用于创建诱饵文件夹,存放诱饵文件,动态感知更新程序对诱饵文件的操作,若感知到更新程序有对诱饵文件进行修改的行为,则判定更新程序存在恶意,并阻断更新程序的运行;否则待更新程序运行结束后,对更新后的程序进行自动化测试,根据测试结果判断更新程序是否存在恶意;
备份恢复模块203,用于针对更新程序存在恶意的情况,删除更新程序创建的所有信息,同时恢复加密备份的数据;若判定更新程序不存在恶意,则视为更新程序安全。
优选地,所述加密备份atm终端中所有程序及相关的所有信息,其中相关的所有信息包括:文件信息、数据信息、注册表信息。
优选地,所述创建诱饵文件夹,具体为:在待更新的程序的根分区下创建诱饵文件夹;所述诱饵文件包括:不同结构的pe文件、不同扩展名的文本文件。
优选地,所述对更新后的程序进行自动化测试,根据测试结果判断更新程序是否存在恶意,具体为:使用预先设置的安全测试用例对更新后的程序进行测试,若测试成功则视为更新程序安全,否则视为更新程序存在恶意。
优选地,还包括单机检测模块,具体用于:针对视为更新程序安全的情况,使用atm终端中原有数据在断网状态下对更新后的程序进行测试,感知更新后的程序是否存在异常发送数据包的请求,和/或感知更新后的程序是否存在敏感操作,若是则视为更新程序存在恶意,否则视为更新程序安全;其中,所述敏感操作包括:修改注册表信息、释放可执行文件、删除数据操作。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。针对现有技术存在的缺陷,本发明提出一种atm程序更新的安全防护方法及系统,动态感知atm终端中是否有更新程序运行;当感知到有更新程序运行时,阻断更新程序的运行,并加密备份atm终端中所有程序及相关的所有信息;所述加密备份结束后,放行更新程序的运行;创建诱饵文件夹,存放诱饵文件,动态感知更新程序对诱饵文件的操作,若感知到更新程序有对诱饵文件进行修改的行为,则判定更新程序存在恶意,并阻断更新程序的运行;否则待更新程序运行结束后,对更新后的程序进行自动化测试,根据测试结果判断更新程序是否存在恶意;针对更新程序存在恶意的情况,删除更新程序创建的所有信息,同时恢复加密备份的数据;若判定更新程序不存在恶意,则视为更新程序安全。本发明能有效判断更新后的程序是否存在潜在的威胁;本发明与预判不同,需要让更新文件真正运行起来,并在运行后对更新程序进行自动化测试,同时感知更新后的程序是否存在感染可能,能够有效保证检测结果的准确性及检出率,充分确保atm终端环境安全;本发明为了系统安全,在更新程序运行时,对系统数据提供加密备份保护支持,并创建诱饵文件用以直接对更新程序恶意性进行检测,并在发现系统环境被感染后提供数据还原功能,保证atm终端的正常工作。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
- 还没有人留言评论。精彩留言会获得点赞!