一种恶意USB设备的检测方法及装置
技术领域
本发明涉及信息安全技术领域,尤其涉及一种恶意USB设备的检测方法及装置。
背景技术
得益于处理器技术、移动存储技术、网络通讯技术的飞速发展,硬件设备开始向着功能多元化、接口标准化的方向迈进。USB作为一个外部总线标准,被最广泛应用于各种设备间的连接和通讯。由于USB总线的标准化及其通用性特点,因此也成为了恶意代码传播主要媒介和恶意攻击的主要手段。
传统利用USB设备进行攻击所采用的方式,普遍为通过感染USB设备的用户存储区域得以实现。如今随着反病毒技术的发展以及应急响应能力的提升,利用传统手段感染用户USB设备存储区域的方式,已不能实现最终的攻击目的。因此,攻击者开发了新的攻击手段,即利用USB设备自身硬件或自身固件的漏洞完成恶意代码的注入。又或者采用自制的特种设备,实现攻击者的目的。例如:通过修改移动存储设备的主控固件来实现攻击,或自制基于“USB RUBBER DUCKY”、“Teensy USB”的USB设备,来实现攻击。第一种攻击方式可能发生在任何一个通用USB设备上,被感染的设备作为一个通用USB设备使用者无法发现,而且传统的病毒扫描机制无法检出隐藏其中的恶意代码,因此极具威胁性。第二种方式虽然是自制的特种设备,自身隐藏能力较弱,但是传统病毒扫描机制同样是无法检出。
发明内容
本发明所述的技术方案通过对合法的USB设备类型和允许的操作进行预配置生成白名单,同时提取已知存在威胁的硬件和固件信息生成黑名单,当监控发现存在USB设备接入主设备时,提取所述USB设备信息与黑白名单匹配,从而给出匹配结果。本发明所述技术方案能够第一时间检出有威胁的USB设备。
本发明采用如下方法来实现:一种恶意USB设备的检测方法,包括:
对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作;
分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单;
当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为;
将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作;
获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息;
将所述硬件信息与所述黑名单匹配,若匹配成功,则阻断USB设备接入主设备,否则,允许USB设备接入主设备。
进一步地,所述将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作,具体为:
将所述设备类型和操作行为与所述白名单匹配,若匹配成功,则允许USB设备接入主设备,否则,阻断USB设备接入主设备。
进一步地,还包括:当所述USB设备的硬件信息与所述设备类型不符;或者,当所述USB设备的设备类型与用户可见的外观不符,则判定所述USB设备为伪装设备。
进一步地,还包括:将所述USB设备的相关信息以可视化形式展示给用户,供用户参考决策;
所述相关信息包括:设备类型、操作行为或者枚举信息切换。
本发明可以采用如下装置来实现:一种恶意USB设备的检测装置,包括:
白名单配置模块,用于对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作;
黑名单配置模块,用于分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单;
行为类型记录模块,用于当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为;
白名单匹配模块,用于将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作;
硬件信息记录模块,用于获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息;
黑名单匹配模块,用于将所述硬件信息与所述黑名单匹配,若匹配成功,则阻断USB设备接入主设备,否则,允许USB设备接入主设备。
进一步地,所述白名单匹配模块,具体用于:
将所述设备类型和操作行为与所述白名单匹配,若匹配成功,则允许其接入主设备,否则,阻断其接入主设备。
进一步地,还包括:伪装设备识别模块,用于当所述USB设备的硬件信息与所述设备类型不符;或者,当所述USB设备的设备类型与用户可见的外观不符,则判定所述USB设备为伪装设备。
进一步地,还包括:可视化展示模块,用于将所述USB设备的相关信息以可视化形式展示给用户,供用户参考决策;
所述相关信息包括:设备类型、操作行为或者枚举信息切换。
综上,本发明给出一种恶意USB设备的检测方法及装置,首先在主设备端预配置允许接入的设备类型和允许执行的操作,即配置白名单;其次,分析已知存在安全威胁的硬件和固件,从而生成黑名单;当监控发现存在USB设备接入主设备时,识别其设备类型、记录操作行为,嗅探其硬件信息;将上述信息与黑白名单匹配,从而判断所述USB设备是否存在潜在威胁,并将上述信息以可视化的形式展示给用户。
有益效果为:本发明所述的方法及装置,不仅可以有效识别其操作行为与设备类型明显不符的恶意设备,同时对于利用已知硬件漏洞或者固件漏洞实现攻击的USB设备也能够及时辨别;对于恶意USB设备的检测从数据检测转换到硬件固件信息检测上,能够第一时间识别有威胁的USB设备,并且有效保证了主设备的信息安全。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种恶意USB设备的检测方法实施例流程图;
图2为本发明提供的一种恶意USB设备的检测装置实施例结构图。
具体实施方式
本发明给出了一种恶意USB设备的检测方法及装置实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种恶意USB设备的检测方法实施例,如图1所示,包括:
S101对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作;
S102分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单;
S103当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为;所述设备类型,包括但不仅限于:大容量存储设备、光驱设备或者HID设备等;
S104将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作;
例如:若插入的设备类型为存储设备,则只允许其进行读写操作,不允许其执行AutoRun程序;通过对接入USB设备的行为进行预判,对于不符合白名单的行为进行拦截或者警告提示;
S105获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息;
例如:通过标准的USB通讯协议向主控芯片发送具备查询功能的SCSI指令,从而获得主控芯片信息;利用其它已知方法获取固件版本信息或者存储芯片信息;
S106将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作。
其中,需要注意的是,S103、S104与S105、S106不严格区分前后关系,可以同时执行。
例如:所述硬件信息,包括但不仅限于:主控芯片型号、固件版本号、PID或者VID等;进而实现对于使用该硬件或者固件的不同品牌,不同批次设备的检测,能够有效识别利用已知硬件漏洞或者固件漏洞实现恶意攻击的USB设备;
优选地,所述将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作,具体为:
将所述设备类型和操作行为与所述白名单匹配,若匹配成功,则允许USB设备接入主设备,否则,阻断USB设备接入主设备。
优选地,所述将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作,具体为:
将所述硬件信息与所述黑名单匹配,若匹配成功,则阻断USB设备接入主设备,否则,允许USB设备接入主设备。
优选地,还包括:当所述USB设备的硬件信息与所述设备类型不符;或者,当所述USB设备的设备类型与用户可见的外观不符,则判定所述USB设备为伪装设备。
例如:该主控芯片一般用于某种USB设备中,但是被识别出的设备类型与常识不符,则所述USB设备极有可能是伪装设备;或者主设备识别该USB设备为大容量存储设备,但是该设备外观为鼠标,则该USB设备为伪装设备。
优选地,还包括:将所述USB设备的相关信息以可视化形式展示给用户,供用户参考决策;
所述相关信息包括:设备类型、操作行为或者枚举信息切换。
例如:若枚举信息从大容量存储设备切换到HID键盘设备,键盘正向Prot13端口执行输入操作;当前接入的USB设备存在三个接口,分别为大容量存储设备、光驱设备和HID设备;大容量存储设备正在进行数据交换操作或者HID设备正在进行输出操作等。将上述的相关信息以可视化的形式展示给用户,用户基于经验判断是否存在恶意行为,以便及时作出处置响应。
本发明还提供了一种恶意USB设备的检测装置实施例,如图2所示,包括:
白名单配置模块201,用于对主设备的USB端口进行白名单配置,所述白名单包括:允许接入的设备类型和各设备类型允许执行的操作;
黑名单配置模块202,用于分析已知存在安全威胁的硬件和固件,并提取特征信息存入黑名单;
行为类型记录模块203,用于当监控发现USB设备接入主设备,则识别设备类型并记录其操作行为;
白名单匹配模块204,用于将所述设备类型和操作行为与所述白名单匹配,并基于匹配结果进行处置操作;
硬件信息记录模块205,用于获取所述USB设备的硬件信息,包括:主控芯片信息、固件版本信息或者存储芯片信息;
黑名单匹配模块206,用于将所述硬件信息与所述黑名单匹配,并基于匹配结果进行处置操作。
优选地,所述白名单匹配模块,具体用于:
将所述设备类型和操作行为与所述白名单匹配,若匹配成功,则允许其接入主设备,否则,阻断其接入主设备。
优选地,所述黑名单匹配模块,具体用于:
将所述硬件信息与所述黑名单匹配,若匹配成功,则阻断其接入主设备,否则,允许其接入主设备。
优选地,还包括:伪装设备识别模块,用于当所述USB设备的硬件信息与所述设备类型不符;或者,当所述USB设备的设备类型与用户可见的外观不符,则判定所述USB设备为伪装设备。
优选地,还包括:可视化展示模块,用于将所述USB设备的相关信息以可视化形式展示给用户,供用户参考决策;
所述相关信息包括:设备类型、操作行为或者枚举信息切换。
如上所述,本发明公开的实施例通过预设白名单和黑名单,并与后续接入USB设备匹配,其中,所述白名单中存储有允许接入的USB设备类型及各设备类型下允许的操作,所述黑名单中存储有存在已知安全威胁的硬件和固件的特征信息;提取接入主设备的USB设备的设备类型,操作行为和硬件信息,将上述信息与黑白名单匹配,并基于匹配结果判断所述USB设备是否是可疑设备。更为优选地,利用可视化的形式,将接入的USB设备的相关信息实时展示给用户,辅助用户及时作出有效响应。本发明所述的方法及装置不仅能够有效识别USB设备中的恶意行为,对于使用已知恶意硬件的USB设备也能够及时发现,从而第一时间阻断其进一步恶意操作,尽量减少并避免对主设备中信息的威胁。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。