一种恶意外设检测系统及方法与流程

本发明涉及信息安全技术领域，尤其涉及一种恶意外设检测系统及方法。

背景技术：

目前通过外接设备向客户端发起恶意攻击成为攻击者采用的一大攻击手段，攻击者将恶意文件存在在U盘、手机等移动可外接设备中，通过客户端接口向用户PC机，甚至ATM终端等客户端进行恶意攻击。目前一些客户端中安装了对外接设备进行病毒查杀的软件，这类软件主要工作流程如下：

1.在例如U盘等外接设备接入时，扫描外接设备内文件，获取文件特征；

2.将文件特征和本地数据库或者云端数据库进行对比，判断文件是否是病毒文件；

3.针对病毒文件进行告警并隔离，针对白文件或者未知文件放行。

虽然这种检测机制能够识别出一些已知的恶意文件，但是，很多针对客户端攻击的病毒文件都是未知文件，因此这种传统的黑名单机制不能有效发现并防御这些未知文件，而且部分黑客并不直接将恶意文件直接放在外接设备中，而是通过手机热点的连接让客户端能够访问互联网网络，通过互联网将恶意文件植入客户端，因此检测系统不仅要能查杀外接设备中的已知恶意文件，同时还要能通过拷贝进入的行为，判断文件危害性，并要能监控并禁止外接设备违规行为，另外由于一些客户端配置较低，如ATM终端，因此检测与防御系统要尽可能较少的占用客户端硬件资源与网络带宽，不影响正常客户端的正常工作。

技术实现要素：

针对上述现有技术中存在的不足，本发明提出一种恶意外设检测系统及方法，主要通过三个维度进行客户端的防护：

1.外接设备安全文件植入。对外接设备植入安全认证文件，安全认证文件可以记录该外接设备使用权限，使用范围，驱动程序状态等，当外接设备接入时，客户端会读取安全认证文件内容，如果安全文件记录内容符合要求，则允许外接设备使用，如果不符合要求，则不允许外接设备使用。

2.外接设备信任体系。建立信任体系，只有受信任的外接设备才能在网内终端进行使用，一旦外接设备出现违规行为，会自动移除信任体系，移除后，该设备将不能再在网内使用；违规行为主要包括：包含恶意文件，进行过违规行为等。

3.外接设备文件模拟运行。针对未知文件，不能简单通过文件特征判断文件安全性，需搭建模拟运行环境，文件运行时，需要上报文件实体到环境中先进行运行测试，如果文件行为正常，才允许该文件在客户端进行运行，如果行为异常，例如修改客户端配置文件等，则立即阻止该文件运行。

具体发明内容包括：

一种恶意外设检测系统，包括服务端以及客户端，所述服务端包括注册模块、安全信任管理模块、云查杀模块、模拟运行模块、数据传输管理模块，所述客户端包括信息获取模块、判定执行模块、数据传输模块；所述服务端以及所述客户端通过数据传输管理模块与数据传输模块建立数据连接关系；

其中：

注册模块用于向可接入客户端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

安全信任管理模块用于保存并管理写入安全认证文件的外接设备信息和设备标识信息；

云查杀模块用于对客户端上传的指定数据进行云查杀；

模拟运行模块用于对可接入客户端的外接设备中的指定文件进行模拟运行及检测；

信息获取模块用于当有外接设备与客户端连接时，获取外接设备信息；

判定执行模块用于根据信息获取模块获取的信息判断外接设备是否包含安全认证文件，并根据判断结果对连接的外接设备进行接入或拦截操作。

进一步地，所述注册模块具体用于：将可接入客户端的外接设备接入服务端后，获取接入的外接设备信息，并根据外接设备信息设定设备权限，将外接设备信息与设备权限信息整理成外接设备的安全认证文件，并将安全认证文件植入到接入的外接设备中。

进一步地，所述外接设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

进一步地，所述判定执行模块具体用于：根据信息获取模块获取的信息判断外接设备是否包含安全认证文件，若不包含则执行拦截操作；若包含则通过数据传输模块将安全认证文件与服务端中的安全认证文件进行匹配，若匹配成功则执行接入操作，否则执行拦截操作。

进一步地，所述判定执行模块还用于：当所述外接设备接入所述客户端后，动态监控外接设备的操作行为，并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，若是则执行拦截操作，否则允许其继续使用。

进一步地，所述根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，具体包括：根据外接设备包含的安全认证文件的内容，确定外接设备的使用范围，继而判断当前状态下外接设备的操作范围是否超出了使用范围，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作；根据外接设备包含的安全认证文件的内容，确定外接设备的使用权限，继而判断当前状态下外接设备的操作是否超出了使用权限，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作。

进一步地，所述判定执行模块还用于：对于成功接入客户端的外接设备，记录其驱动状态以及接入后的操作及使用信息，并整理成驱动记录写入相应的安全认证文件中，并通过数据传输模块将安全认证文件同步到服务端中。

进一步地，所述判定执行模块还用于：当所述外接设备接入所述客户端后，读取外接设备包含的安全认证文件，判断安全认证文件是否被改写，和/或根据安全认证文件中的驱动记录判断外接设备是否存在非法操作的使用记录，若是则执行拦截操作，否则执行接入操作。

进一步地，所述客户端还包括防御日志上传模块，具体用于：记录对连接到客户端的外接设备进行拦截或接入操作的防御处理过程，并通过数据传输模块向服务端上报防御检测日志，服务端针对被拦截的外接设备将其安全认证文件信息移出安全信任管理模块，并向网内客户端下发全网禁止其使用的指令。

进一步地，所述判定执行模块具体用于：根据信息获取模块获取的信息判断外接设备是否包含安全认证文件，若不包含则获取外接设备内存文件的特征信息，并通过数据传输模块将特征信息上传给服务端进行检测，并根据返回的检测结果对连接的外接设备进行接入或拦截操作；若包含则通过数据传输模块将安全认证文件与服务端中的安全认证文件进行匹配，若匹配成功则执行接入操作，否则执行拦截操作。

进一步地，所述云查杀模块具体用于：接收由客户端上传的特征信息，并对特征信息进行云查杀，同时根据特征信息判断外接设备中是否存在可执行文件，若是则通过数据传输管理模块向外接设备获取完整的可执行文件，否则只对特征信息进行云查杀；所述模拟运行模块具体用于：接收外接设备中完整的可执行文件，并对可执行文件进行模拟运行及检测，判断可执行文件是否存在恶意行为；由数据传输管理模块向客户端下发云查杀模块和模拟运行模块的检测结果。

进一步地，所述恶意行为包括：更改设备权限、修改系统文件。

进一步地，所述判定执行模块还用于：针对被拦截的外接设备，获取并向所述服务端上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

进一步地，所述判定执行模块还用于：针对接入客户端的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截操作，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

进一步地，还包括检测日志上传模块，用于将判定执行模块对外接设备进行拦截或接入操作的具体处理过程上报给服务端，且服务端针对被拦截的外接设备向网内客户端下发全网禁止其使用的指令。

一种恶意外设检测方法，包括：

向可接入客户端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

当有外接设备与客户端连接时，获取外接设备信息，判断外接设备是否包含安全认证文件，若不包含则拒绝接入；若包含则将安全认证文件与原始保存的安全认证文件进行匹配，若匹配成功则允许接入，否则拒绝接入。

进一步地，所述向可接入客户端的外接设备写入安全认证文件，具体为：获取外接设备信息，并根据外接设备信息设定设备权限，将外接设备信息与设备权限信息整理成外接设备的安全认证文件，并将安全认证文件植入到接入的外接设备中。

进一步地，所述外接设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

进一步地，还包括：当所述外接设备接入所述客户端后，动态监控外接设备的操作行为，并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，若是则阻止其使用，否则允许其继续使用。

进一步地，所述根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，具体包括：根据外接设备包含的安全认证文件的内容，确定外接设备的使用范围，继而判断当前状态下外接设备的操作范围是否超出了使用范围，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作；根据外接设备包含的安全认证文件的内容，确定外接设备的使用权限，继而判断当前状态下外接设备的操作是否超出了使用权限，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作。

进一步地，还包括：对于成功接入客户端的外接设备，记录其驱动状态以及接入后的操作及使用信息，并整理成驱动记录写入相应的安全认证文件中。

进一步地，还包括：当所述外接设备接入所述客户端后，读取外接设备包含的安全认证文件，判断安全认证文件是否被改写，和/或根据安全认证文件中的驱动记录判断外接设备是否存在非法操作的使用记录，若是则全网禁止相应外接设备的使用，否则允许其继续使用。

进一步地，还包括：对于全网禁止使用的外接设备，记录对其防御的过程，并上报防御日志。

进一步地，对于不包含安全认证文件的外接设备，还包括：获取外接设备内存文件的特征信息，对特征信息进行云查杀，判断外接设备是否存在恶意，并根据判断结果对外接设备进行拦截或放行处理，并上报处理日志。

进一步地，还包括：在所述进行云查杀的过程中，判断外接设备是否存在可执行文件，若存在则获取完整可执行文件，并在虚拟环境中运行，实时监控运行状态，判断是否存在敏感行为，若是则视为对应外接设备存在恶意，否则视为外接设备安全；其中，所述敏感行为包括：更改设备权限、修改系统文件。

进一步地，还包括：针对拦截的外接设备，获取并上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

进一步地，还包括：针对被放行的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

进一步地，针对被拦截的外接设备，将全网禁止其使用。

本发明的有益效果是：

本发明能够实现恶意外设的多维度防御及检测，不仅能够通过文件特征防御，还能通过文件行为分析、使用权限限制等保证客户端安全；

本发明能够阻止恶意外设在网内多台客户端上使用，在以往案例中，黑客会短时间内在多台客户端上进行破坏，本发明在发现恶意外设后，能够阻止其在网内其他终端上使用，控制了破坏范围；

本发明能够控制外接设备访问范围和使用权限，更好地保证了客户端的安全性；

本发明对违规行为进行阻止并上报行为记录，便于收集恶意攻击样本数据，并进行深度分析；

本发明在对外接设备中的特征进行云查杀的同时，若发现外接设备中存在可执行文件，则获取可执行文件的完整文件，并将其投入虚拟机中进行监控执行，该过程分离与客户端，不占用客户端内存，不影响客户端正常使用，且对完整文件进行监控执行更能确保检测结果的准确性，提高恶意行为的检出率。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种恶意外设检测的系统结构图；

图2为本发明一种恶意外设检测的防御方法流程图；

图3为本发明一种恶意外设检测的检测方法流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明给出了一种恶意外设检测的系统实施例，如图1所示，包括服务端101以及客户端102，所述服务端101包括注册模块101-1、安全信任管理模块101-2、云查杀模块101-3、模拟运行模块101-4、数据传输管理模块101-5，所述客户端102包括信息获取模块102-1、判定执行模块102-2、数据传输模块102-3；所述服务端101以及所述客户端102通过数据传输管理模块101-5与数据传输模块102-3建立数据连接关系；

其中：

注册模块101-1用于向可接入客户端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

安全信任管理模块101-2用于保存并管理写入安全认证文件的外接设备信息和设备标识信息；

云查杀模块101-3用于对客户端102上传的指定数据进行云查杀；

模拟运行模块101-4用于对可接入客户端102的外接设备中的指定文件进行模拟运行及检测；

信息获取模块102-1用于当有外接设备与客户端102连接时，获取外接设备信息；

判定执行模块102-2用于根据信息获取模块102-1获取的信息判断外接设备是否包含安全认证文件，并根据判断结果对连接的外接设备进行接入或拦截操作。

优选地，所述注册模块101-1具体用于：将可接入客户端的外接设备接入服务端102后，获取接入的外接设备信息，并根据外接设备信息设定设备权限，将外接设备信息与设备权限信息整理成外接设备的安全认证文件，并将安全认证文件植入到接入的外接设备中。

优选地，所述外接设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

优选地，所述判定执行模块102-2具体用于：根据信息获取模块102-1获取的信息判断外接设备是否包含安全认证文件，若不包含则执行拦截操作；若包含则通过数据传输模块102-3将安全认证文件与服务端101中的安全认证文件进行匹配，若匹配成功则执行接入操作，否则执行拦截操作。

优选地，所述判定执行模块102-2还用于：当所述外接设备接入所述客户端102后，动态监控外接设备的操作行为，并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，若是则执行拦截操作，否则允许其继续使用。

优选地，所述根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，具体包括：根据外接设备包含的安全认证文件的内容，确定外接设备的使用范围，继而判断当前状态下外接设备的操作范围是否超出了使用范围，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作；根据外接设备包含的安全认证文件的内容，确定外接设备的使用权限，继而判断当前状态下外接设备的操作是否超出了使用权限，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作。

优选地，所述判定执行模块102-2还用于：对于成功接入客户端102的外接设备，记录其驱动状态以及接入后的操作及使用信息，并整理成驱动记录写入相应的安全认证文件中，并通过数据传输模块102-3将安全认证文件同步到服务端101中。

优选地，所述判定执行模块102-2还用于：当所述外接设备接入所述客户端102后，读取外接设备包含的安全认证文件，判断安全认证文件是否被改写，和/或根据安全认证文件中的驱动记录判断外接设备是否存在非法操作的使用记录，若是则执行拦截操作，否则执行接入操作。

优选地，所述客户端102还包括防御日志上传模块，具体用于：记录对连接到客户端102的外接设备进行拦截或接入操作的防御处理过程，并通过数据传输模块102-3向服务端101上报防御检测日志，服务端101针对被拦截的外接设备将其安全认证文件信息移出安全信任管理模块101-2，并向网内客户端下发全网禁止其使用的指令。

优选地，所述判定执行模块102-2具体用于：根据信息获取模块102-1获取的信息判断外接设备是否包含安全认证文件，若不包含则获取外接设备内存文件的特征信息，并通过数据传输模块102-3将特征信息上传给服务端101进行检测，并根据返回的检测结果对连接的外接设备进行接入或拦截操作；若包含则通过数据传输模块102-3将安全认证文件与服务端101中的安全认证文件进行匹配，若匹配成功则执行接入操作，否则执行拦截操作。

优选地，所述云查杀模块101-3具体用于：接收由客户端102上传的特征信息，并对特征信息进行云查杀，同时根据特征信息判断外接设备中是否存在可执行文件，若是则通过数据传输管理模块102-3向外接设备获取完整的可执行文件，否则只对特征信息进行云查杀；所述模拟运行模块101-4具体用于：接收外接设备中完整的可执行文件，并对可执行文件进行模拟运行及检测，判断可执行文件是否存在恶意行为；由数据传输管理模块101-5向客户端102下发云查杀模块101-3和模拟运行模块101-4的检测结果。

优选地，所述恶意行为包括：更改设备权限、修改系统文件。

优选地，所述判定执行模块102-2还用于：针对被拦截的外接设备，获取并向所述服务端101上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

优选地，所述判定执行模块102-2还用于：针对接入客户端102的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截操作，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

优选地，还包括检测日志上传模块，用于将判定执行模块对外接设备进行拦截或接入操作的具体处理过程上报给服务端101，且服务端101针对被拦截的外接设备向网内客户端下发全网禁止其使用的指令。

本发明还给出一种恶意外设检测的防御方法实施例，如图2所示，包括：

S201：向可接入客户端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

S202：当有外接设备与客户端连接时，获取外接设备信息；

S203：判断外接设备是否包含安全认证文件，若不包含则拒绝接入；若包含则进入S204；

S204：将安全认证文件与原始保存的安全认证文件进行匹配；

S205：判断匹配是否成功，若匹配成功则允许接入，否则拒绝接入。

优选地，所述向可接入客户端的外接设备写入安全认证文件，具体为：获取外接设备信息，并根据外接设备信息设定设备权限，将外接设备信息与设备权限信息整理成外接设备的安全认证文件，并将安全认证文件植入到接入的外接设备中。

优选地，所述外接设备信息包括：设备生产厂家信息、设备容量信息、设备序列号；所述设备权限信息包括：设备使用范围、设备读写权限。

优选地，还包括：当所述外接设备接入所述客户端后，动态监控外接设备的操作行为，并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，若是则阻止其使用，否则允许其继续使用。

优选地，所述根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作，具体包括：根据外接设备包含的安全认证文件的内容，确定外接设备的使用范围，继而判断当前状态下外接设备的操作范围是否超出了使用范围，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作；根据外接设备包含的安全认证文件的内容，确定外接设备的使用权限，继而判断当前状态下外接设备的操作是否超出了使用权限，若是则视为外接设备进行了非法操作，否则视为外接设备的操作为合法操作。

优选地，还包括：对于成功接入客户端的外接设备，记录其驱动状态以及接入后的操作及使用信息，并整理成驱动记录写入相应的安全认证文件中。

优选地，还包括：当所述外接设备接入所述客户端后，读取外接设备包含的安全认证文件，判断安全认证文件是否被改写，和/或根据安全认证文件中的驱动记录判断外接设备是否存在非法操作的使用记录，若是则全网禁止相应外接设备的使用，否则允许其继续使用。

优选地，还包括：对于全网禁止使用的外接设备，记录对其防御的过程，并上报防御日志。

本发明还给出一种恶意外设检测的检测方法实施例，如图3所示，包括：

S301：向可接入客户端的外接设备写入安全认证文件，并为每个写入安全认证文件的外接设备分配唯一的设备标识，并将设备标识信息也写入对应外接设备的安全认证文件中；

S302：当有外接设备与客户端连接时，获取外接设备信息；

S303：判断外接设备是否包含安全认证文件，若包含则将安全认证文件与原始保存的安全认证文件进行匹配，若匹配成功则允许接入，否则拒绝接入；若不包含则进入S304；

S304：获取外接设备内存文件的特征信息，对特征信息进行云查杀；

S305：根据S304的查杀结果判断外接设备是否存在恶意，并根据判断结果对外接设备进行拦截或放行处理，并上报处理日志。

优选地，还包括：在所述进行云查杀的过程中，判断外接设备是否存在可执行文件，若存在则获取完整可执行文件，并在虚拟环境中运行，实时监控运行状态，判断是否存在敏感行为，若是则视为对应外接设备存在恶意，否则视为外接设备安全；其中，所述敏感行为包括：更改设备权限、修改系统文件。

优选地，还包括：针对拦截的外接设备，获取并上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

优选地，还包括：针对被放行的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

优选地，针对被拦截的外接设备，将全网禁止其使用。

本发明提出一种恶意外设检测系统及方法，通过设备安全文件植入，对外接设备植入安全认证文件，安全认证文件可以记录该外接设备使用权限，使用范围，驱动程序状态等；通过设备信任体系，建立信任体系，只有受信任的外接设备才能在网内终端进行使用；通过外接设备文件模拟运行，解决未知文件不能简单通过文件特征判断文件安全性的问题，将文件实体上报到虚拟环境运行测试，文件正常才允许其在客户端进行运行。本发明能够实现恶意外设的多维度防御及检测，不仅能够通过文件特征防御，还能通过文件行为分析、使用权限限制等保证客户端安全；本发明能够阻止恶意外设在网内多台客户端上使用，在以往案例中，黑客会短时间内在多台客户端上进行破坏，本发明在发现恶意外设后，能够阻止其在网内其他终端上使用，控制了破坏范围；本发明能够控制外接设备访问范围和使用权限，更好地保证了客户端的安全性；本发明对违规行为进行阻止并上报行为记录，便于收集恶意攻击样本数据，并进行深度分析；本发明在对外接设备中的特征进行云查杀的同时，若发现外接设备中存在可执行文件，则获取可执行文件的完整文件，并将其投入虚拟机中进行监控执行，该过程分离与客户端，不占用客户端内存，不影响客户端正常使用，且对完整文件进行监控执行更能确保检测结果的准确性，提高恶意行为的检出率。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。