一种防护恶意USB设备的系统及方法技术方案

本发明专利技术提出一种防护恶意USB设备的系统及方法，由客户端防护中心与外设指定监控设备共同实现，防护中心首先获取并分析接入客户端的USB设备，下发驱动程序到指定监控设备，指定监控设备安装驱动并完成初始化，同时防护中心将检测规则与检测策略下发给指定监控设备；防护系统使用时，将USB设备接入指定监控设备并加载，利用检测规则库对其进行检测，并将检测结果与设备信息发送给防护中心，防护中心再对设备的安全性进行最终检测，最后将检测结果发送给指定监控设备，由指定监控设备执行放行或者弹出操作。本发明专利技术弥补了现有技术中不能有效对恶意USB设备进行检测的不足，并有效防御BadUsb类高级威胁，阻隔借助定制设备的高级可持续威胁对主机的入侵。

System and method for protecting malicious USB device

The invention provides a system of protection against malicious USB device and method, and designated by the client protection center peripheral monitoring equipment to achieve protection center first obtain and analyze client access USB device driver to the designated monitoring equipment issued, designated monitoring equipment installed driver and completed the initialization and protection center will detect the rules and the detection strategy to designated monitoring equipment; protection system is used, the USB device access designated monitoring equipment and loading, were detected based on the detection rules, and the result of detection equipment and information sent to the center door, door center and then the safety of equipment for final detection, finally the detection result will be sent to the designated monitoring equipment, monitoring equipment designated by the executive or pop release operation. The invention makes up for the defects that the prior art can not effectively detect the malicious USB devices, and effectively prevents the advanced threat of the BadUsb class, so as to prevent the intrusion of the host by the advanced sustainable threat of the customized device.

【技术实现步骤摘要】

本专利技术涉及移动设备安全
，尤其涉及一种防护恶意USB设备的系统及方法。
技术介绍
目前高级持续威胁APT引起了信息安全领域极大的重视，其带来的危害也正在逐步的显现出来，由于APT自身的一些特征，导致传统的防御方式无法有效对其进行防御。在一些案例中发现，APT中很多定向攻击是借助一些定制的，包含恶意程序的，并且可以应用系统漏洞执行恶意代码的硬件设备，比如说BadUsb等。这些设备外观与普通USB存储设备无异，在使用中不容易被发现，配合社会工程学对目标发动渗透攻击时极容易得手。所以如何防御此类攻击，对系统安全有极大的意义。针对定制构造的恶意USB设备，传统的恶意程序防护系统存在以下问题：1.设备一般为USB接口设备，会遵循USB协议，传统防护系统无法判断其是否为恶意设备；2.攻击载荷存储在隐藏区域，系统不加载此存储空间，传统防护系统无法识别检测隐藏区域；3.在一些情况下，恶意设备可重新加载驱动，变更为其他类型设备，躲避检测；4.通过变更为鼠标键盘类设备，模拟用户调用键盘，调用命令行执行shell，此行为传统防护系统不检测；5.使用0Daty漏洞，释放并执行恶意载荷，传统防护系统很难对其检测。
技术实现思路
针对现有USB设备安全防护技术中存在的不足，本专利技术提出一种防护恶意USB设备的系统及方法，由客户端防护中心与外设指定监控设备共同实现，防护中心首先获取并分析接入客户端的USB设备，检测出指定监控设备接入时，下发指定驱动程序到指定监控设备，指定监控设备安装驱动后与客户端进行初始化验证，完成指定监控设备初始化，同时防护中心将检测规则与检测策略下发给指定监控设备；防护系统使用时，将USB设备设备接入指定监控设备，指定监控设备内置操作系统，用于对USB设备进行加载和加载过程的行为检测，提取加载过程中不存在恶意行为的USB设备的设备信息，利用检测规则库对其进行检测，并将检测结果与设备信息发送给防护中心，防护中心再对设备的安全性进行最终检测，最后将检测结果发送给指定监控设备，由指定监控设备执行放行或者弹出操作。具体
技术实现思路
包括：一种防护恶意USB设备的系统，包括指定监控设备和防护中心，其中指定监控设备包括初步检测模块、匹配上传模块、任务处理模块，防护中心包括安全检测模块、命令发放模块，具体为：初步检测模块，用于在指定监控设备接入客户端后，当有USB设备接入指定监控设备时，对USB设备进行加载，并检测加载过程中是否存在恶意行为，若不存在恶意行为，则采集USB设备信息，否则弹出USB设备；匹配上传模块，用于根据检测规则库对USB设备信息进行匹配检测，并将匹配检测结果以及USB设备信息上传至防护中心的安全检测模块；安全检测模块，用于根据接收到的匹配检测结果以及USB设备信息，对USB设备进行检测，判断USB设备是否为恶意设备；命令发放模块，用于根据安全检测模块的检测结果向指定监控设备的任务处理模块发送命令，具体为：若检测结果为USB设备不是恶意设备，则发送设备放行命令，否则发送禁止接入命令；任务处理模块，用于获取并解析防护中心的命令发放模块发送的命令，对USB设备进行放行或者弹出操作。进一步地，所述防护中心还包括识别驱动模块，用于识别和驱动指定监控设备，具体为：当有移动设备接入客户端时，识别驱动模块获取移动设备信息，判断连接的移动设备是否为指定监控设备；以及，若是指定监控设备，则进一步判断指定监控设备是否安装了指定驱动程序，若是，则等待USB设备的接入，否则识别驱动模块为指定监控设备安装指定驱动程序；若不是指定监控设备，则等待新的移动设备接入。进一步地，所述防护中心还包括策略发放模块，用于将检测规则库以及USB设备检测与监控策略发送给指定监控设备的匹配上传模块。进一步地，还包括日志上传管理模块，所述指定监控设备还包括初步检测日志生成模块、设备使用日志生成模块，所述防护中心还包括安全检测日志生成模块，具体为：初步检测日志生成模块，用于记录初步检测模块的检测结果，以及是否弹出USB设备信息，形成初步检测日志；安全检测日志生成模块，用于记录安全检测模块的检测结果，以及命令发放模块发送的命令信息，形成安全检测日志；设备使用日志生成模块，用于监控并记录放行的USB设备使用信息，形成设备使用日志；日志上传管理模块，用于将所述初步检测日志、安全检测日志、设备使用日志，上传至服务器。进一步地，所述USB设备信息包括：设备类型、设备序列号、设备名称、设备内存、内存数据信息。进一步地，所述移动设备信息包括：设备类型、设备序列号、设备名称。进一步地，所述USB设备使用信息包括：文件创建信息、文件拷贝信息、文件删除信息、文件重命名信息、文件读写信息、文件移动信息。一种防护恶意USB设备的方法，包括：将用于监控和检测USB设备的指定监控设备接入客户端；当有USB设备接入指定监控设备时，指定监控设备对USB设备进行加载，并检测加载过程中是否存在恶意行为，若不存在恶意行为，则采集USB设备信息，否则弹出USB设备；指定监控设备根据检测规则库对USB设备信息进行匹配检测，并将匹配检测结果以及USB设备信息上传至防护中心；防护中心根据接收到的匹配检测结果以及USB设备信息，对USB设备进行检测，判断USB设备是否为恶意设备，若不是，则向指定监控设备发放设备放行命令，否则向指定监控设备发送禁止接入命令；指定监控设备获取并解析防护中心发送的命令，对USB设备进行放行或者弹出操作。进一步地，所述防护中心还用于识别和驱动指定监控设备，具体为：当有移动设备接入客户端时，防护中心获取移动设备信息，判断连接的移动设备是否为指定监控设备；以及，若是指定监控设备，则进一步判断指定监控设备是否安装了指定驱动程序，若是，则等待USB设备的接入，否则防护中心为指定监控设备安装指定驱动程序；若不是指定监控设备，则等待新的移动设备接入。进一步地，所述防护中心还用于，将检测规则库以及USB设备检测与监控策略发送给指定监控设备。进一步地，还包括：当指定监控设备对USB设备进行加载，并检测加载过程中是否存在恶意行为时，记录检测结果，以及是否弹出USB设备信息，形成初步检测日志；当防护中心根据接收到的匹配检测结果以及USB设备信息，对USB设备进行检测时，记录检测结果，以及防护中心向指定监控设备发送的命令信息，形成安全检测日志；指定监控设备监控并记录放行的USB设备使用信息，形成设备使用日志；将所述初步检测日志、安全检测日志、设备使用日志，上传至服务器。进一步地，所述USB设备信息包括：设备类型、设备序列号、设备名称、设备内存、内存数据信息。进一步地，所述移动设备信息包括：设备类型、设备序列号、设备名称。进一步地，所述USB设备使用信息包括：文件创建信息、文件拷贝信息、文件删除信息、文件重命名信息、文件读写信息、文件移动信息。本文档来自技高网...

【技术保护点】
一种防护恶意USB设备的系统，其特征在于，包括指定监控设备和防护中心，其中指定监控设备包括初步检测模块、匹配上传模块、任务处理模块，防护中心包括安全检测模块、命令发放模块，具体为：初步检测模块，用于在指定监控设备接入客户端后，当有USB设备接入指定监控设备时，对USB设备进行加载，并检测加载过程中是否存在恶意行为，若不存在恶意行为，则采集USB设备信息，否则弹出USB设备；匹配上传模块，用于根据检测规则库对USB设备信息进行匹配检测，并将匹配检测结果以及USB设备信息上传至防护中心的安全检测模块；安全检测模块，用于根据接收到的匹配检测结果以及USB设备信息，对USB设备进行检测，判断USB设备是否为恶意设备；命令发放模块，用于根据安全检测模块的检测结果向指定监控设备的任务处理模块发送命令，具体为：若检测结果为USB设备不是恶意设备，则发送设备放行命令，否则发送禁止接入命令；任务处理模块，用于获取并解析防护中心的命令发放模块发送的命令，对USB设备进行放行或者弹出操作。

【技术特征摘要】
1.一种防护恶意USB设备的系统，其特征在于，包括指定监控设备和防护中心，其中指定监控设备包括初步检测模块、匹配上传模块、任务处理模块，防护中心包括安全检测模块、命令发放模块，具体为：
初步检测模块，用于在指定监控设备接入客户端后，当有USB设备接入指定监控设备时，对USB设备进行加载，并检测加载过程中是否存在恶意行为，若不存在恶意行为，则采集USB设备信息，否则弹出USB设备；
匹配上传模块，用于根据检测规则库对USB设备信息进行匹配检测，并将匹配检测结果以及USB设备信息上传至防护中心的安全检测模块；
安全检测模块，用于根据接收到的匹配检测结果以及USB设备信息，对USB设备进行检测，判断USB设备是否为恶意设备；
命令发放模块，用于根据安全检测模块的检测结果向指定监控设备的任务处理模块发送命令，具体为：若检测结果为USB设备不是恶意设备，则发送设备放行命令，否则发送禁止接入命令；
任务处理模块，用于获取并解析防护中心的命令发放模块发送的命令，对USB设备进行放行或者弹出操作。
2.如权利要求1所述的系统，其特征在于，所述防护中心还包括识别驱动模块，用于识别和驱动指定监控设备，具体为：当有移动设备接入客户端时，识别驱动模块获取移动设备信息，判断连接的移动设备是否为指定监控设备；以及，若是指定监控设备，则进一步判断指定监控设备是否安装了指定驱动程序，若是，则等待USB设备的接入，否则识别驱动模块为指定监控设备安装指定驱动程序；若不是指定监控设备，则等待新的移动设备接入。
3.如权利要求1或2所述的系统，其特征在于，所述防护中心还包括策略发放模块，用于将检测规则库以及USB设备检测与监控策略发送给指定监控设备的匹配上传模块。
4.如权利要求1所述的系统，其特征在于，还包括日志上传管理模块，所述指定监控设备还包括初步检测日志生成模块、设备使用日志生成模块，所述防护中心还包括安全检测日志生成模块，具体为：
初步检测日志生成模块，用于记录初步检测模块的检测结果，以及是否弹出USB设备信息，形成初步检测日志；
安全检测日志生成模块，用于记录安全检测模块的检测结果，以及命令发放模块发送的命令信息，形成安全检测日志；
设备使用日志生成模块，用于监控并记录放行的USB设备使用信息，形成设备使用日志；
日志上传管理模块，用于将所述初步检测日志、安全检测日志、设备使用日志，上传至服务器。
5.如权利要求1所述的系统，其特征在于，所述USB设备信息包括：设备类型、设备序列号、设备名称、设备内存、内存数据信息。
6.如权利要求2所述的系统，其特征在于，所述移动设备信息包括：设备类型、设备序列号、设...

【专利技术属性】
技术研发人员：匡贺，庞齐，徐翰隆，肖新光，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23