CN101965571B

CN101965571B - 用于防御对具有即插即用功能的系统的攻击的方法和设备

Info

Publication number: CN101965571B
Application number: CN200980106736.4A
Authority: CN
Inventors: C·冯德利佩; B·里希特
Original assignee: Wincor Nixdorf GmbH and Co KG
Current assignee: Wincor Nixdorf International GmbH
Priority date: 2008-03-11
Filing date: 2009-02-25
Publication date: 2016-11-30
Anticipated expiration: 2029-02-25

Abstract

一种用于识别对计算机系统、尤其是自助服务式自动机的至少一个接口的攻击的方法，其包括：‑监控所述接口，以便确定所述接口处的改变；‑如果出现改变，则根据所述改变的类型确定对所述接口的不允许的攻击的概率；‑如果所述概率处于所限定的阈值之上，则采取防御措施。

Description

用于防御对具有即插即用功能的系统的攻击的方法和设备

技术领域

本发明涉及一种用于识别对计算机系统的至少一个接口的攻击、尤其是对即插即用接口的攻击的方法。

背景技术

如今的典型攻击场景是：通过使用即插即用(Plug & Play)机制对PC造成危害，诸如通过在插入USB记忆棒之后由自动播放(AutoPlay)功能来执行代码而对PC造成危害。在自助服务领域中也越来越多地要求防止这样的攻击。但是问题是，不允许预防性地禁止全部的即插即用功能，因为由此也限制了GAA(自动取款机)的所要求的功能。在外部设备未被录入白名单时(例如在PSD 5中所涉及的USB过滤驱动器)，例如在USB驱动器层上不允许识别和处理所述外部设备的解决方案不是没有限制地有效的，并且不是完备的解决方案。

发明内容

本发明的任务是提高计算机系统的安全性、尤其是避免对安装在公共场所的自助服务式自动机、如自动柜员机(自动取款机)和自动售货机的攻击。

该任务通过具有独立权利要求的特征的一种方法和一种设备来解决。

该任务尤其是通过一种用于识别对计算机系统、优选地自助服务式自动机的至少一个接口的攻击的方法来解决，该方法连续地监控所述接口，以便确定所述接口处的改变。该监控可以被中断控制，通过驱动器的数据消息进行，或者是面向轮询的方案。当数据到达所述接口或者由所述接口来发送时，中断可以在硬件侧以及在软件侧都通过进程(Prozess)来触发。数据消息也可以由其它软件层来提供，其接着通过进程间通信来提供。在一种可能的实施形式中采用经过修改的或者附加的驱动器。

如果出现改变，则根据改变的类型确定对接口的或通过接口的不允许的攻击的概率。改变通常是异常的数据通信。在接口上登记和注销设备时，异常的数据通信是非常有可能的。被改动的通信协议也是可疑的。此外，当数据的类型与所连接的设备的类型不相配时，所述数据的内容可能是异常的。这样，对于面向字符的设备、比如键盘而言，面向块的通信(例如硬盘、USB棒)是异常的。例如如果USB棒作为键盘在USB接口上登记，则这是异常的。如果攻击的概率处于所限定的阈值之上，则采取防御措施。

所连接的设备的列表根据规则体系(Regelwerk)来监控。如果确定攻击的概率处于所限定的阈值之上，则制订用于事后诊断(Post-Mortem-Diagnose)的日志条目(Logeintrag)，必要时将消息发送给远程服务器并且即刻生效地关闭该系统，以避免所述攻击可显示出影响。此外，也可以设想在不使用远程服务器的情况下直接关闭该计算机系统。也可以给目标系统或者目标人员发送如SMS、电子邮件、SMTP之类的警告消息。其它的可能性是：停用整个接口或者也仅仅停用新近连接的设备。此外可设想的是，该系统被切换到绝对不再允许连接设备并且仅可由技术服务工程师(Servicetechniker)切换的安全模式。

接下来给出关于所述接口的概况，其中下面的列举不要求完整性：串行接口、并行接口、串行总线接口、并行总线接口、网络、无线电网络接口、光网络接口、有线网络接口、IEEE 1394、火线(FireWire)、IEEE 1284、LAN、WLAN、蓝牙(Bluetooth)、PS/2、RS232。

应理解，技术后继物(Nachfolger)也被包含。

特别是要注意即插即用接口、如USB或者火线，所述即插即用接口在连接设备时直接地触发对计算机系统的动作(诸如安装驱动器)。如果接着仅仅深入探讨一种接口类型(例如USB)，则这绝不是对本发明的限制。更确切地说，涉及具有非常高的危险潜在性的最熟悉的接口类型。

在计算所述概率时考虑下列事件的一个或多个：

-连接在接口上的设备的序列号的容许性。在过滤驱动器的情况下，该设备可以根据列表被容许或者被拒绝。所述序列号可以根据列表/样式(Muster)而受到限制。

-连接在系统和/或接口上的设备的数目。各个设备、设备类别或者制造商/产品组合仅作为有限数目的设备在系统中出现。例如，大多数计算机系统仅仅连接有最多一个MFII键盘。如果并行地还连接有第二键盘，则这是攻击的标志。不同的多功能系统也具有两个键盘(前一个用于客户，后一个用于服务)。在这种情况下，第三键盘是临界的(kritisch)。所允许的每类设备的数目由该设备的硬件配置和服务策略得到。所述设定自然可以以设备独特的方式被调节。相同的方案适用于其它的输入介质(读卡器)或者存储介质(硬盘)。

-另一方面是要考虑的设备路径。在USB设备的情况下，设备路径例如是到PC的“道路”、即用来连接设备的端口和集线器。服务的设备例如常常被直接连接到PC上，而不具有特别的速度要求或要求长的电缆连接的设备常常通过集线器被连接。如果现在例如键盘通过集线器被连接到上面另外仅悬挂有打印机的PC上，则这是并入到计分(Scoring)中的异常活动。

-还有另一方面是所连接的设备的制造商产品组合的容许性。许多针对SB系统(自助服务系统)中的运行被释放的设备在制造商标号、产品标号和设备类别之间具有固定关系。就此而言，组合分析给出是否应当允许设备的依据。当然不排除的是：这些标号被伪造。但是如果在复制者(Nachbauer)的情况下在所述组合中犯下错误，例如供应商ID、产品ID、设备类共同不匹配，则这可以并入评分(Punktebewertung)。

例子：

为了绕开上面所列举的过滤驱动器，某人对设备进行编程，该设备具有与被装入到系统中的读卡器相同的供应商ID和产品ID。因此，该设备被容许。但是，“伪造”的设备类别是键盘(其作为“通用的(generell)”设备类别被容许)。由于已知该供应商不存在键盘，所以这是表示该设备潜在地为危险的标志。

在这种情况下还应当考虑到，在一些情况下正常的是：在正在进行的运行中，设备例如因为外围设备已被引导而“消失”或者再次“出现”。

-另一方面是识别和去除设备的(在时间上的)相符。

如果发生：悬挂在端口上的新的设备被识别并且不久前另一设备被从该端口分开，则其在该新的设备具有另一设备类别时是可疑的，因为在这种情况下，这不是在服务领域中常常发生的简单的设备更换。但是当在计算机系统中存在足够空闲的插入位置时，该准则几乎不起作用。但是有时对此明显更相关的是，例如在后装载(Rearload)(其中在后面有足够空闲的插入位置)的情况下，设备在前端(Front)之后被直接去除并且另一设备被插入。还可以设想，将该监控构造为与端口无关的，以便将该监控与其它准则相关联。因此，例如可以仅仅允许在服务模式下交换设备。在这种情况下会并入逻辑关联，或者

-另一方面是检测接口上的改变的时间。当前的(本地的)时间是表示即插即用活动是否被允许的另一标志。例如极少能够接受的是，授权的服务活动在半夜进行。但是，该准则也强烈地与计算机系统的停留位置有关。

-运行模式可以例如作为“与”关联或者作为乘数(Multiplikator)并入所有方面中。自助服务式自动机知道不同的运行状态，例如“客户运行”或者“服务模式”。在“服务模式”期间而不是在正常的“客户运行”中常见的是，设备被插入或者被去除。在许多情况下，通过附加的认证来保证仅仅允许经授权的人员来调用“服务模式”。

在一种实施形式中，可以基于所述准则根据计分系统来计算攻击概率。在这种情况下，特别严重的干扰可以具有高的特征数，所述特征数然后可以与其它特征数相加或者如在运行模式的情况下那样执行乘法。当然，也可以设想逻辑关联。接着，在超过阈值的情况下可以采取相对应的防御措施。

根据操作系统，可以设想通过匹配的驱动器进行可能的实施。下文进一步描述一实施例。在这种情况下，整个方法或者部分由接口的驱动器来实施。在此，该驱动器可以具有不同的形式。一方面，该驱动器可以完全替换标准总线驱动器。在这种情况下，标准总线驱动器被经过修改的驱动器替换，该经过修改的驱动器除了标准功能以外还实施该方法的方面或该方法的部分。也可以使用在逻辑上被布置在标准驱动器之下的附加的驱动器，使得到达标准驱动器的信息以经过过滤的方式被转交。同样可以采用在逻辑上被布置在标准驱动器之上的附加的驱动器，使得信息以经过过滤的方式被转交给该系统。对此的前提是：针对每个连接到所述接口上的设备使用特定的设备驱动器。

在可替换的实施方式中，以面向中断或面向轮询的方式控制以下软件进程：所述软件进程连续地监控接口上的通信，以便检测不允许的攻击。

这样被安装在系统上的监控实体监控：哪些设备被连接在具有即插即用能力的接头上。

上面列举的计分系统和由此得出的动作应当是可配置的，优选地也可以远程地由存在到其的网络连接的另一系统来配置。

在另一实施形式中，所述用于计分的各个准则不是被单独地被计算并且被相加，而是彼此相关联。例如准则“识别和去除的(在时间上的)相符”与“设备路径”一起用于确定：设备在正面或者在背面曾被替换。

附图说明

图1示出了用于标准键盘驱动器的驱动器略图。

图2示出了具有经过修改的USB驱动栈(USBD，USB-Driver Stack)驱动器的驱动器略图。

图3示出了具有处于USBD驱动器之下的驱动器的驱动器略图。

图4示出了具有处于USBD驱动器之上的被构造成经过修改的键盘驱动器的驱动器的驱动器略图。

具体实施方式

尽管下面主要深入探讨USB接头，但是大多数规则也可以应用于其它的接头。

图1示出了如用在Windows操作系统中的驱动器模型的分层结构。硬件7可以被看成是最下面的层，所述硬件7在本情况下被构造为键盘。在其上构造有物理USB总线6，所述物理USB总线6包括电缆和计算机系统上的USB接头(芯片组的部分或者单独的插入卡)。在此之上布置有硬件抽象层(HAL，Hardware Abstraction Layer)的软件层5，在该软件层5上接着再次布置有制造商特定的USB总线驱动器。UHCD驱动器4和OHCD驱动器6代表如Intel或者VIA的不同制造商的不同USB芯片实施方式。在其上布置有操作系统的通用USBD驱动器2。所述3个驱动器构成USB驱动栈8。由于在单个USB总线上可以连接多个设备，所以各个驱动器的驱动器与USB驱动栈8相连接并且在该USB驱动栈8上登记。然后，该驱动栈根据对通过该总线获得的数据的标识将信息发送给相对应的设备驱动器1。

图2现在示出了一种可替换的实施形式，其中USBD驱动器2a已经被修改。图3示出了一种可替换的实施形式，其中经过修改的驱动器处于USBD驱动器之下。在这种情况下，OHCD驱动器3a和UHCD驱动器4a已经被修改。图4示出了经过修改的键盘驱动器1a。在该方案中应注意，可以给所有可能的设备提供经过修改的驱动器。

附图标记列表

1.键盘驱动器

1a.经过修改的键盘驱动器

2.USBD驱动器(总线驱动器)

2a 经过修改的USBD驱动器

3 OHCD驱动器

3a 经过修改的OHCD驱动器

4 UHCD驱动器

4a 经过修改的UHCD驱动器

5 HAL(硬件抽象层)

6 USB总线(通用串行总线)

7 键盘(硬件)

8 USB驱动栈

Claims

1.一种用于识别对自助服务式自动机的至少一个接口的攻击的方法，其包括：

－监控所述接口，以便确定所述接口处的改变，其中所述接口是用于计算机的外围设备的以连接外部外围输入和输出装置的接口；

－如果出现改变，则根据所述改变的类型确定对所述接口的不允许的攻击的概率；其中，在计算所述概率时考虑下列事件的一个或多个：连接在所述接口上的设备的序列号的容许性；所连接的设备的制造商产品组合的容许性；设备类别的容许性；来自一个设备类别的设备的容许的数目；设备路径或连接形式；在所述接口上去除和连接设备之间的时间间隔；在所述接口上连接或者去除设备的时间；自助服务式自动机在所述接口上连接或者去除设备时所处的模式，其中所述模式为客户运行或者服务模式；

其中，与每个事件相关有可调节的分值，并且所述事件被相加，使得根据总和能够检查是否已超过阈值，以便接着采取防御措施；

－如果所述概率处于所限定的阈值之上，则采取防御措施。

2.根据权利要求1所述的方法，其中，所述防御措施包括下列处理方式中的一个或多个：制订日志条目；自动关闭该自助服务式自动机；给目标系统或者目标人员发送警告消息；停用所述接口；停用新近连接的设备；切换到安全模式。

3.根据权利要求1所述的方法，其中，自助服务式自动机是自动柜员机和/或饮料自动销售机。

4.根据前述权利要求3所述的方法，其中，所述自助服务式自动机允许客户运行和维护运行，其中根据运行类型，一个或多个阈值和/或概率是不同的。

5.根据前述权利要求1至4之一所述的方法，其中，所述接口是下列内容中的一个或多个：

串行接口、并行接口、串行总线接口、并行总线接口、无线电网络接口、光网络接口、有线网络接口、IEEE 1394、火线、IEEE 1284、LAN、WLAN、蓝牙、PS/2、RS232。

6.根据前述权利要求5所述的方法，其中，所述接口具有触发对该自助服务式自动机的自动动作的即插即用功能。

7.根据前述权利要求1所述的方法，其中，该方法或该方法的部分由所述接口的驱动器来实施，所述驱动器具有下列特性中的一个或多个：由经过修改的驱动器替换标准接口驱动器，所述经过修改的驱动器除了现有功能以外还实施该方法；在逻辑上被布置在标准驱动器之下的附加的驱动器，使得到达标准驱动器的信息以经过过滤的方式被转交；在逻辑上被布置在标准驱动器之上的附加的驱动器，使得信息以经过过滤的方式被转交给自助服务式自动机。

8.根据权利要求1所述的方法，其中，软件进程连续地监控所述接口上的通信，以便检测不允许的攻击。

9.一种具有至少一个接口的自助服务式自动机，其包括：

用于监控所述接口以便确定所述接口处的改变的装置，其中所述接口是用于计算机的外围设备的以连接外部外围输入和输出装置的接口；

如果出现改变，则根据所述改变的类型通过计算器确定对所述接口的不允许的攻击的概率；

如果所述概率处于所限定的阈值之上，则通过其它装置采取防御措施；

其中，该计算器在计算所述概率时考虑下列事件的一个或多个：连接在所述接口上的设备的序列号的容许性；所连接的设备的制造商产品组合的容许性；设备类别的容许性；来自一个设备类别的设备的容许的数目；设备路径或连接形式；在所述接口上去除和连接设备之间的时间间隔；在所述接口上连接或者去除设备的时间；该自助服务式自动机在所述接口上连接或者去除设备时所处的模式，其中所述模式为客户运行或者服务模式；

其中，与每个事件相关有可调节的分值，所述分值能够被存在存储器系统上，并且计算器将事件相加，使得根据总和能够检查是否已超过阈值，以便接着采取防御措施。

10.根据权利要求9所述的自助服务式自动机，其中，通过所述其它装置采取防御措施，所述防御措施包括下列处理方式中的一个或多个：在数据载体上制订日志条目；自动关闭该自助服务式自动机；通过网络给目标系统或者目标人员发送警告消息；停用所述接口；停用新近连接的设备；切换到安全模式。

11.根据权利要求9所述的自助服务式自动机，其中，该自助服务式自动机是自动柜员机和/或饮料自动销售机。

12.根据权利要求11所述的自助服务式自动机，其中，自助服务式自动机具有用于切换到分别涉及安全性的度量的运行模式和维护模式中的装置，其中根据运行类型，一个或者多个阈值和/或概率是不同的。

13.根据权利要求9至12之一所述的自助服务式自动机，其中，所述接口是下列内容中的一个或多个：串行接口、并行接口、串行总线接口、并行总线接口、无线电网络接口、光网络接口、有线网络接口、IEEE 1394、火线、IEEE 1284、LAN、WLAN、蓝牙、PS/2、RS232。

14.根据权利要求9所述的自助服务式自动机，其包括所述接口的驱动器，所述驱动器具有下列特性中的一个或多个：由经过修改的驱动器替换标准接口驱动器，所述经过修改的驱动器除了现有功能以外还实施根据权利要求1至8之一所述的方法；在逻辑上被布置在标准驱动器之下的附加的驱动器，使得到达标准驱动器的信息以经过过滤的方式被转交；在逻辑上被布置在标准驱动器之上的附加的驱动器，使得信息以经过过滤的方式被转交给该自助服务式自动机。

15.根据权利要求9所述的自助服务式自动机，其包括一种包含软件进程的设备，所述软件进程连续地监控所述接口上的通信，以便检测不允许的攻击。