CN111859373A - 一种针对hid攻击的防御方法、装置和计算机设备 - Google Patents
一种针对hid攻击的防御方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN111859373A CN111859373A CN202010679924.4A CN202010679924A CN111859373A CN 111859373 A CN111859373 A CN 111859373A CN 202010679924 A CN202010679924 A CN 202010679924A CN 111859373 A CN111859373 A CN 111859373A
- Authority
- CN
- China
- Prior art keywords
- operating system
- user
- trigger area
- equipment
- triggered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000007123 defense Effects 0.000 title claims abstract description 31
- 230000001960 triggered effect Effects 0.000 claims description 51
- 230000003993 interaction Effects 0.000 claims description 36
- 238000004590 computer program Methods 0.000 claims description 17
- 238000011022 operating instruction Methods 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 2
- 238000001514 detection method Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 9
- 230000002452 interceptive effect Effects 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/83—Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
本申请涉及一种针对HID攻击的防御方法、装置、操作系统和计算机设备,其中,该针对HID攻击的防御方法包括:通过在设备被底层驱动枚举的情况下,判断设备的特征是否符合预设的白名单特征,在设备的特征符合白名单特征的情况下,允许操作系统加载设备,在设备的特征不符合白名单特征的情况下,判断预设的安全策略是否允许操作系统增加设备,在安全策略不允许操作系统增加设备的情况下,阻止操作系统注册设备,在安全策略允许操作系统增加设备的情况下,允许操作系统加载设备,解决了相关技术中通过设置键盘击键速度异常检测门限的方法,存在异常检测精确度低的问题,提高了异常检测的精确度。
Description
技术领域
本申请涉及计算机防御领域,特别是涉及一种针对HID攻击的防御方法、装置和计算机设备。
背景技术
人机接口设备(Human Interface Device,简称HID),它是对鼠标、键盘、游戏手柄等可以操控电脑设备的统称,由于电脑对这类设备缺少严格的检测措施,只是简单的识别设备类型,就允许设备对电脑进行各项操作,所以通过修改篡改设备反馈信息,就可以很轻松的让电脑将其他设备误认为HID设备,从而获取控制权限,尤其是USB和蓝牙这类即插即用接口的出现,导致HID攻击成为常见方式。
在相关技术中,对主机设置防护模式,主要是通过设置键盘击键速度异常检测门限,例如,设置键盘全局钩子,运行监听程序,获取键盘输入,判断输入速度是否超过设置的门限,如果超过门限,判断是HID攻击方式,根据设置的防护模式来选择相应防护机制,但是这种防护方式存在攻击者可以通过精确的调整模拟输入速度来绕过检测,同样的正常用户也可能因为打字速度过快而触发误报的情形,因此通过设置键盘击键速度异常检测门限的方法,存在异常检测精确度低的问题。
目前针对相关技术中通过设置键盘击键速度异常检测门限的方法,存在异常检测精确度低的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种针对HID攻击的防御方法、装置和计算机设备,以至少解决相关技术中通过设置键盘击键速度异常检测门限的方法,存在异常检测精确度低的问题。
第一方面,本申请实施例提供了一种针对HID攻击的防御方法,所述方法包括:
在设备被底层驱动枚举的情况下,判断所述设备的特征是否符合预设的白名单特征,其中,所述白名单特征包括以下至少之一:设备ID号、设备串号、设备物理路径;
在所述设备的特征符合所述白名单特征的情况下,允许操作系统加载所述设备,在所述设备的特征不符合所述白名单特征的情况下,判断预设的安全策略是否允许所述操作系统增加所述设备;
在所述安全策略不允许所述操作系统增加所述设备的情况下,阻止所述操作系统注册所述设备,在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备。
在其中一些实施例中,在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备之前,所述方法还包括:
弹出第一用户交互界面,其中,所述第一用户交互界面上显示有指示用户的操作指令,所述操作指令与允许所述操作系统加载所述设备有关;
判断所述用户输入的键盘指令与所述操作指令是否一致,在所述键盘指令与所述操作指令一致的情况下,允许所述操作系统加载所述设备,在所述键盘指令与所述操作指令不一致的情况下,阻止所述操作系统注册所述设备。
在其中一些实施例中,在所述第一用户交互界面上显示有用户触发区域,所述用户触发区域与阻止所述操作系统注册所述设备有关的情况下;
在判断所述用户输入的键盘指令与所述操作指令是否一致之前,所述方法还包括:
判断所述用户触发区域是否被触发,在所述用户触发区域被触发的情况下,阻止所述操作系统注册所述设备,在所述用户触发区域未被触发的情况下,判断所述键盘指令与所述操作指令是否一致。
在其中一些实施例中,在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备之前,所述方法还包括:
弹出第二用户交互界面,其中,所述第二用户交互界面上显示有第一触发区域,所述第一触发区域与加载所述设备有关;
判断所述第一触发区域是否在预设时间内被触发,所述第一触发区域在所述预设时间内被触发的情况下,加载所述设备,所述第一触发区域在所述预设时间内未被触发的情况下,阻止注册所述设备。
在其中一些实施例中,在所述第二用户交互界面上显示有第二触发区域,所述第二触发区域与阻止所述操作系统注册所述设备有关的情况下;
在判断所述第一触发区域是否在预设时间内被触发之前,所述方法还包括:
判断所述第二触发区域是否在所述预设时间内被触发,所述第二触发区域在所述预设时间内被触发的情况下,阻止所述操作系统注册所述设备,所述第二触发区域在所述预设时间内未被触发的情况下,判断所述第一触发区域是否在所述预设时间内被触发。
第二方面,本申请实施例提供了一种针对HID攻击的防御装置,所述装置包括:第一判断模块和第二判断模块;
所述第一判断模块,用于在设备被底层驱动枚举的情况下,判断所述设备的特征是否符合预设的白名单特征,其中,所述白名单特征包括以下至少之一:设备ID号、设备串号、设备物理路径;
所述第二判断模块,用于在所述设备的特征符合所述白名单特征的情况下,允许操作系统加载所述设备,在所述设备的特征不符合所述白名单特征的情况下,判断预设的安全策略是否允许所述操作系统增加所述设备,在所述安全策略不允许所述操作系统增加所述设备的情况下,阻止所述操作系统注册所述设备,在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备。
在其中一些实施例中,所述装置还包括:用户交互模块和第三判断模块;
所述用户交互模块,用于在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备之前,弹出第一用户交互界面,其中,所述第一用户交互界面上显示有指示用户的操作指令,所述操作指令与允许所述操作系统加载所述设备有关;
所述第三判断模块,用于判断所述用户输入的键盘指令与所述操作指令是否一致,在所述键盘指令与所述操作指令一致的情况下,允许所述操作系统加载所述设备,在所述键盘指令与所述操作指令不一致的情况下,阻止所述操作系统注册所述设备。
在其中一些实施例中,在所述第一用户交互界面上显示有用户触发区域,所述用户触发区域与阻止所述操作系统注册所述设备有关的情况下,所述第三判断模块,还用于在判断所述用户输入的键盘指令与所述操作指令是否一致之前,判断所述用户触发区域是否被触发,在所述用户触发区域被触发的情况下,阻止所述操作系统注册所述设备,在所述用户触发区域未被触发的情况下,判断所述键盘指令与所述操作指令是否一致。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的一种针对HID攻击的防御方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的一种针对HID攻击的防御方法。
相比于相关技术,本申请实施例提供的针对HID攻击的防御方法,通过在设备被底层驱动枚举的情况下,判断所述设备的特征是否符合预设的白名单特征,在所述设备的特征符合所述白名单特征的情况下,允许操作系统加载所述设备,在所述设备的特征不符合所述白名单特征的情况下,判断预设的安全策略是否允许所述操作系统增加所述设备,在所述安全策略不允许所述操作系统增加所述设备的情况下,阻止所述操作系统注册所述设备,在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备,解决了相关技术中通过设置键盘击键速度异常检测门限的方法,存在异常检测精确度低的问题,提高了异常检测的精确度。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的操作系统对于HID设备的处理流程;
图2是根据本申请实施例的针对HID攻击的防御方法的流程图一;
图3是根据本申请实施例的针对HID攻击的防御方法的流程图二;
图4a是根据本申请实施例的针对HID攻击的防御方法的流程图三;
图4b是根据本申请实施例的针对HID攻击的防御方法中的第一交互界面的示意图;
图5是根据本申请实施例的针对HID攻击的防御方法的流程图四;
图6是根据本申请实施例的针对HID攻击的防御方法的流程图五;
图7是根据本申请实施例的针对HID攻击的防御装置的结构框图;
图8是根据本申请实施例的针对HID攻击的防御装置的优选结构框图。
图9是根据本申请实施例的计算机设备的内部结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请提供的一种针对HID攻击的防御方法,基于操作系统内核层的驱动技术,应用于HID被USB底层驱动所枚举的情况下,且HID被注册到用户输入设备之前,图1是根据本申请实施例的操作系统对于HID设备的处理流程,如图1所示,HID的数据流从底层USB驱动(也就是图1中的HID Transport)流向HIDCLASS.SYS,其中HidParse.sys在做辅助作用,HIDCLASS.SYS将根据HID的类型选择后续的处理流程,例如可以是键盘(Keyboard)类型的处理流程或者鼠标(Mouse)类型的处理流程,以键盘(Keyboard)类型的处理流程为例,数据流会首先交由KBDHID.sys进行处理,然后进入KBDClass.sys进行处理,之后有一个可选的第三方过滤驱动(也就是图1中的3rdParty Keyboard Filter Driver)可以进一步处理数据流,随后数据流将交由内核直至用户键盘输入处理程序,其中,操作系统例如Windows操作系统在枚举新的HID时,会有两个关键的驱动程序参与,分别为KBDHID.sys和KBDClass.sys,并且在进入用户输入设备之前,存在允许第三方过滤驱动进行过滤的特殊驱动程序,此类特性可以让运行于内核态的安全引擎监控HID枚举的行为,如果第三方过滤驱动提供的应用程序接口不足以实现完整的监控功能,可以通过劫持KBDHID.sys、KBDClass.sys等范围,从用于发现USB的底层驱动到用户输入设备处理程序的关键路径上的程序的行为来实现(也就是图1中HIDServ.dll,其中HID.dll做辅助作用),同理对于其他操作系统,均可以在预设的第三方过滤驱动程序接口或通过劫持关键执行路径上的程序行为执行针对HID攻击的防御方法。
本实施例提供了一种针对HID攻击的防御方法,图2是根据本申请实施例的针对HID攻击的防御方法的流程图一,如图2所示,该流程包括如下步骤:
步骤S201,在设备被底层驱动枚举的情况下,判断设备的特征是否符合预设的白名单特征,其中,白名单特征包括以下至少之一:设备ID号、设备串号、设备物理路径;
需要说明的是,预设的白名单特征可以理解为是操作系统中的安全引擎之前所允许放行的设备特征,且白名单特征包括以下至少之一:设备ID号、设备串号、设备物理路径,其中设备ID号可以是厂商与设备ID号,也就是PID/VID,用来确定设备的生产厂商与设备型号,设备串号也就是Serial,用于确定设备唯一身份,设备物理路径也就是HUB Port,即该设备插入了具体哪一个USB端口;需要进一步说明的是,PID/VID、Serial就像网卡的MAC地址一样,可以伪造,但是对于HID攻击的发起方来说,通常情况下不能收集到如此详细的信息,即使一旦攻击者掌握了前两个信息,一般场景下受害者都会将恶意设备插在已有键盘之外的USB端口上(几乎没人会在插入U盘的时候把自己的键盘拔下来),从而触发安全引擎的告警;
步骤S202,在设备的特征符合白名单特征的情况下,允许操作系统加载设备,在设备的特征不符合白名单特征的情况下,判断预设的安全策略是否允许操作系统增加设备;
可以理解为如果设备的特征符合白名单特征,则允许后续的枚举与注册流程,如果设备的特征不符合白名单特征,此设备的输入将会被安全引擎所过滤,同时会检查目前操作系统的安全策略,判断目前操作系统的安全策略是否允许该操作系统新增设备;
步骤S203,在安全策略不允许操作系统增加设备的情况下,阻止操作系统注册设备,在安全策略允许操作系统增加设备的情况下,允许操作系统加载设备;
通过上述步骤S201至步骤S203,基于操作系统中内核层的驱动流程,在设备被底层驱动枚举的情况下,判断设备的特征是否符合预设的白名单特征,在设备的特征符合白名单特征的情况下,允许操作系统加载设备,在设备的特征不符合预设的白名单特征的情况下,设备的输入将会被过滤,并判断目前操作系统中的安全策略是否允许新增设备,在安全策略允许新增设备的情况下,允许操作系统加载设备,在安全策略不允许新增设备的情况下,阻止操作系统注册设备,解决相关技术中通过设置键盘击键速度异常检测门限的方法,存在异常HID检测精确度低的问题,提高了异常HID检测的精确度。
在其中一些实施例中,图3是根据本申请实施例的针对HID攻击的防御方法的流程图二,如图3所示,在安全策略允许操作系统增加设备的情况下,允许操作系统加载设备之前,该方法还包括如下步骤:
步骤S301,弹出第一用户交互界面,其中,第一用户交互界面上显示有指示用户的操作指令,操作指令与允许操作系统加载设备有关;需要说明的是,第一用户交互界面上显示的操作指令,用于指示用户的操作,例如,“请在新插入的键盘上依次按下****”,其中,新插入的键盘可以理解为是用户在USB端口上新插入的设备,如果用户新插入的是键盘,则用户是可以在新键盘上操作第一用户交互界面给予的操作指令;
步骤S302,判断用户输入的键盘指令与操作指令是否一致,在键盘指令与操作指令一致的情况下,允许操作系统加载设备,在键盘指令与操作指令不一致的情况下,阻止操作系统注册设备;
其中,若用户在USB端口新插入键盘上输入的键盘指令与第一用户交互界面上显示的操作指令一致的情况下,则说明插入USB端口的设备是用户插入的键盘,而不是攻击者模拟一个键盘类型的HID输入设备插入了USB端口,在键盘指令与操作指令不一致的情况下,则极大概率说明插入USB端口的设备是攻击者模拟一个键盘类型的HID输入设备,例如,用户在新插入的键盘上按下特定的按键顺序(比如要求键入DAS#[四位随机数])才可以放行新插入的HID输入设备;
通过上述步骤S301至步骤S302,在目前操作系统的安全策略允许操作系统增加设备的情况下,则弹出第一交互界面,并在用户完成交互式验证后,放行新插入的HID输入设备,且在交互式验证的过程中,需要用户在新插入的键盘上按下特定的按键顺序,也就是用户输入的键盘指令与操作指令一致的情况下,完成交互验证,提高了验证难度,以提高攻击者攻击的难度。
在其中一些实施例中,图4a是根据本申请实施例的针对HID攻击的防御方法的流程图三,如图4a所示,在第一用户交互界面上显示有用户触发区域,用户触发区域与阻止操作系统注册设备有关的情况下,在判断用户输入的键盘指令与操作指令是否一致之前,该方法还包括如下步骤:
步骤S401,判断用户触发区域是否被触发,在用户触发区域被触发的情况下,阻止操作系统注册设备,在用户触发区域未被触发的情况下,判断键盘指令与操作指令是否一致;图4b是根据本申请实施例的针对HID攻击的防御方法中的第一交互界面的示意图,如图4b所示,用户触发区域便是图4b中“取消”按钮所在区域,若插入USB端口的设备不是用户插入的键盘,则说明是攻击者模拟一个键盘类型的HID输入设备插入了USB端口,因此通过用户点击“取消”按钮,便可阻止操作系统注册设备,在用户触发区域未被触发的情况下,进一步判断键盘指令与操作指令是否一致,若一致,则说明插入USB端口的设备是用户插入的键盘,而不是攻击者模拟一个键盘类型的HID输入设备插入了USB端口;
通过上述步骤S401,在判断用户输入的键盘指令与操作指令是否一致之前,先判断用户是否触发与阻止操作系统注册设备有关的用户触发区域,若用户触发了与阻止操作系统注册设备有关的用户触发区域,则可直接阻止操作系统注册设备,无需再判断键盘指令与操作指令是否一致。
在其中一些实施例中,图5是根据本申请实施例的针对HID攻击的防御方法的流程图四,如图5所示,在安全策略允许操作系统增加设备的情况下,允许操作系统加载设备之前,该方法还包括如下步骤:
步骤S501,弹出第二用户交互界面,其中,第二用户交互界面上显示有第一触发区域,第一触发区域与加载设备有关;
需要说明的是,第二用户交互界面上的第一触发区域可以理解为是与加载设备有关的按钮区域,例如,第二用户交互界面上显示有“检测到新的HID输入设备是否为新插入的键盘”,且第二用户交互界面上显示有与加载设备有关的按钮区域,也就是第一触发区域;
步骤S502,判断第一触发区域是否在预设时间内被触发,第一触发区域在预设时间内被触发的情况下,加载设备,第一触发区域在预设时间内未被触发的情况下,阻止注册设备;
需要说明的是,若用户点击第二用户交互界面上第一触发区域,则说明检测到新的HID输入设备是新插入的键盘,若用户未在预设时间内点击第二用户交互界面上第一触发区域,则说明检测到新的HID输入设备不是新插入的键盘,而是攻击者模拟一个键盘类型的HID输入设备插入了USB端口。
通过上述步骤S501至步骤S502,通过判断用户是否在预设时间内触发第二交互界面上与加载设备有关的第一触发区域,来判断当前检测到新的HID输入设备是否为攻击者模拟一个键盘类型的HID输入设备插入了USB端口,进而提高攻击行为的检测精度。
在其中一些实施例中,图6是根据本申请实施例的针对HID攻击的防御方法的流程图五,如图6所示,在第二用户交互界面上显示有第二触发区域,第二触发区域与阻止操作系统注册设备有关的情况下,在判断第一触发区域是否在预设时间内被触发之前,该方法还包括如下步骤:
步骤S601,判断第二触发区域是否在预设时间内被触发,第二触发区域在预设时间内被触发的情况下,阻止操作系统注册设备,第二触发区域在预设时间内未被触发的情况下,判断第一触发区域是否在预设时间内被触发;
需要说明的是,第二用户交互界面上的第一触发区域可以理解为是与加载设备有关的按钮区域,第二触发区域可以理解为是与阻止操作系统注册设备有关的按钮区域,例如,类似于Yes和No的按钮,第二用户界面上显示有:检测到新的HID输入设备,如果插入的是键盘,请点击Yes按钮,如果插入的不是键盘,请点击No按钮,因此先判断第二触发区域是否被触发,若在预设时间内第二触发区域被触发,则说明新的HID输入设备是攻击者模拟一个键盘类型的HID输入设备插入了USB端口,则可直接阻止操作系统注册该设备,节省判断时间,并在尽可能短的时间内将攻击者模拟一个键盘类型的HID输入设备卸载,在预设时间内第二触发区域未被触发的情况下,再进一步判断第一触发区域是否在预设时间内被触发,其中预设时间可以是5秒或者10秒,具体数值可根据实际使用情况进行调整。
通过上述步骤S601,先判断第二用户交互界面上与阻止操作系统注册设备有关的第二触发区域是否在预设时间内被触发后,一旦第二触发区域被触发,则直接阻止操作系统注册该设备,节省时间。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机操作系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种针对HID攻击的防御装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图7是根据本申请实施例的针对HID攻击的防御装置的结构框图,如图7所示,该装置包括:第一判断模块70和第二判断模块71;
第一判断模块70,用于在设备被底层驱动枚举的情况下,判断设备的特征是否符合预设的白名单特征,其中,白名单特征包括以下至少之一:设备ID号、设备串号、设备物理路径;
第二判断模块71,用于在设备的特征符合白名单特征的情况下,允许操作系统加载设备,在设备的特征不符合白名单特征的情况下,判断预设的安全策略是否允许操作系统增加设备,在安全策略不允许操作系统增加设备的情况下,阻止操作系统注册设备,在安全策略允许操作系统增加设备的情况下,允许操作系统加载设备。
在其中一些实施例中,图8是根据本申请实施例的针对HID攻击的防御装置的优选结构框图,如图8所示,该装置包括图7所示的所有模块,此外还包括:用户交互模块80和第三判断模块81;
用户交互模块80,用于在安全策略允许操作系统增加设备的情况下,允许操作系统加载设备之前,弹出第一用户交互界面,其中,第一用户交互界面上显示有指示用户的操作指令,操作指令与允许操作系统加载设备有关;
第三判断模块81,用于判断用户输入的键盘指令与操作指令是否一致,在键盘指令与操作指令一致的情况下,允许操作系统加载设备,在键盘指令与操作指令不一致的情况下,阻止操作系统注册设备。
在其中一些实施例中,在第一用户交互界面上显示有用户触发区域,用户触发区域与阻止操作系统注册设备有关的情况下,第三判断模块81,还用于在判断用户输入的键盘指令与操作指令是否一致之前,判断用户触发区域是否被触发,在用户触发区域被触发的情况下,阻止操作系统注册设备,在用户触发区域未被触发的情况下,判断键盘指令与操作指令是否一致。
在其中一些实施例中,第三判断模块81还用于实现上述各实施例提供的针对HID攻击的防御方法中的步骤,在这里不再赘述。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种针对HID攻击的防御方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
在一个实施例中,图9是根据本申请实施例的计算机设备的内部结构示意图,如图9所示,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种针对HID攻击的防御方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述各实施例提供的针对HID攻击的防御方法中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各个实施例提供的针对HID攻击的防御方法中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种针对HID攻击的防御方法,其特征在于,所述方法包括:
在设备被底层驱动枚举的情况下,判断所述设备的特征是否符合预设的白名单特征,其中,所述白名单特征包括以下至少之一:设备ID号、设备串号、设备物理路径;
在所述设备的特征符合所述白名单特征的情况下,允许操作系统加载所述设备,在所述设备的特征不符合所述白名单特征的情况下,判断预设的安全策略是否允许所述操作系统增加所述设备;
在所述安全策略不允许所述操作系统增加所述设备的情况下,阻止所述操作系统注册所述设备,在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备。
2.根据权利要求1所述的方法,其特征在于,在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备之前,所述方法还包括:
弹出第一用户交互界面,其中,所述第一用户交互界面上显示有指示用户的操作指令,所述操作指令与允许所述操作系统加载所述设备有关;
判断所述用户输入的键盘指令与所述操作指令是否一致,在所述键盘指令与所述操作指令一致的情况下,允许所述操作系统加载所述设备,在所述键盘指令与所述操作指令不一致的情况下,阻止所述操作系统注册所述设备。
3.根据权利要求2所述的方法,其特征在于,在所述第一用户交互界面上显示有用户触发区域,所述用户触发区域与阻止所述操作系统注册所述设备有关的情况下;
在判断所述用户输入的键盘指令与所述操作指令是否一致之前,所述方法还包括:
判断所述用户触发区域是否被触发,在所述用户触发区域被触发的情况下,阻止所述操作系统注册所述设备,在所述用户触发区域未被触发的情况下,判断所述键盘指令与所述操作指令是否一致。
4.根据权利要求1所述的方法,其特征在于,在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备之前,所述方法还包括:
弹出第二用户交互界面,其中,所述第二用户交互界面上显示有第一触发区域,所述第一触发区域与加载所述设备有关;
判断所述第一触发区域是否在预设时间内被触发,所述第一触发区域在所述预设时间内被触发的情况下,加载所述设备,所述第一触发区域在所述预设时间内未被触发的情况下,阻止注册所述设备。
5.根据权利要求4所述的方法,其特征在于,在所述第二用户交互界面上显示有第二触发区域,所述第二触发区域与阻止所述操作系统注册所述设备有关的情况下;
在判断所述第一触发区域是否在预设时间内被触发之前,所述方法还包括:
判断所述第二触发区域是否在所述预设时间内被触发,所述第二触发区域在所述预设时间内被触发的情况下,阻止所述操作系统注册所述设备,所述第二触发区域在所述预设时间内未被触发的情况下,判断所述第一触发区域是否在所述预设时间内被触发。
6.一种针对HID攻击的防御装置,其特征在于,所述装置包括:第一判断模块和第二判断模块;
所述第一判断模块,用于在设备被底层驱动枚举的情况下,判断所述设备的特征是否符合预设的白名单特征,其中,所述白名单特征包括以下至少之一:设备ID号、设备串号、设备物理路径;
所述第二判断模块,用于在所述设备的特征符合所述白名单特征的情况下,允许操作系统加载所述设备,在所述设备的特征不符合所述白名单特征的情况下,判断预设的安全策略是否允许所述操作系统增加所述设备,在所述安全策略不允许所述操作系统增加所述设备的情况下,阻止所述操作系统注册所述设备,在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:用户交互模块和第三判断模块;
所述用户交互模块,用于在所述安全策略允许所述操作系统增加所述设备的情况下,允许所述操作系统加载所述设备之前,弹出第一用户交互界面,其中,所述第一用户交互界面上显示有指示用户的操作指令,所述操作指令与允许所述操作系统加载所述设备有关;
所述第三判断模块,用于判断所述用户输入的键盘指令与所述操作指令是否一致,在所述键盘指令与所述操作指令一致的情况下,允许所述操作系统加载所述设备,在所述键盘指令与所述操作指令不一致的情况下,阻止所述操作系统注册所述设备。
8.根据权利要求7所述的装置,其特征在于,在所述第一用户交互界面上显示有用户触发区域,所述用户触发区域与阻止所述操作系统注册所述设备有关的情况下,所述第三判断模块,还用于在判断所述用户输入的键盘指令与所述操作指令是否一致之前,判断所述用户触发区域是否被触发,在所述用户触发区域被触发的情况下,阻止所述操作系统注册所述设备,在所述用户触发区域未被触发的情况下,判断所述键盘指令与所述操作指令是否一致。
9.一种计算机设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至5中任一项所述的针对HID攻击的防御方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至5中任一项所述的针对HID攻击的防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010679924.4A CN111859373B (zh) | 2020-07-15 | 2020-07-15 | 一种针对hid攻击的防御方法、装置和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010679924.4A CN111859373B (zh) | 2020-07-15 | 2020-07-15 | 一种针对hid攻击的防御方法、装置和计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111859373A true CN111859373A (zh) | 2020-10-30 |
| CN111859373B CN111859373B (zh) | 2024-05-28 |
Family
ID=72984684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010679924.4A Active CN111859373B (zh) | 2020-07-15 | 2020-07-15 | 一种针对hid攻击的防御方法、装置和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111859373B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113836601A (zh) * | 2021-08-26 | 2021-12-24 | 青岛中科英泰商用系统股份有限公司 | 一种专用usb键盘及其控制方法及系统、设备 |
| CN117056917A (zh) * | 2023-10-13 | 2023-11-14 | 北京安天网络安全技术有限公司 | Bad人机接口设备攻击检测防御装置、方法、电子设备及存储介质 |
| CN117389421A (zh) * | 2023-12-07 | 2024-01-12 | 浙江网商银行股份有限公司 | 一种可信接入处理方法、装置、存储介质及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101662480A (zh) * | 2009-09-01 | 2010-03-03 | 卡斯柯信号有限公司 | 一种基于访问控制的日志系统 |
| CN104243460A (zh) * | 2014-09-03 | 2014-12-24 | 飞天诚信科技股份有限公司 | 一种实现网络防钓鱼的方法 |
| CN105812270A (zh) * | 2016-03-09 | 2016-07-27 | 联想(北京)有限公司 | 一种信息处理方法和无线路由设备 |
| CN106230627A (zh) * | 2016-07-28 | 2016-12-14 | 浪潮软件股份有限公司 | 一种基于可定制策略的web访问高峰缓解方法 |
| CN107209840A (zh) * | 2015-03-25 | 2017-09-26 | 英特尔公司 | 与所连接的外围设备的安全交易 |
| CN109840414A (zh) * | 2018-12-13 | 2019-06-04 | 北京华胜天成信息技术发展有限公司 | 基板管理控制器的安全防护方法、装置与电子设备 |
| CN111274620A (zh) * | 2020-01-16 | 2020-06-12 | 四川效率源科技有限责任公司 | 一种基于Windows操作系统的USB设备的管控方法 |
-
2020
- 2020-07-15 CN CN202010679924.4A patent/CN111859373B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101662480A (zh) * | 2009-09-01 | 2010-03-03 | 卡斯柯信号有限公司 | 一种基于访问控制的日志系统 |
| CN104243460A (zh) * | 2014-09-03 | 2014-12-24 | 飞天诚信科技股份有限公司 | 一种实现网络防钓鱼的方法 |
| US20170237775A1 (en) * | 2014-09-03 | 2017-08-17 | Feitian Technologies Co., Ltd. | Method for implementing online anti-phishing |
| CN107209840A (zh) * | 2015-03-25 | 2017-09-26 | 英特尔公司 | 与所连接的外围设备的安全交易 |
| CN105812270A (zh) * | 2016-03-09 | 2016-07-27 | 联想(北京)有限公司 | 一种信息处理方法和无线路由设备 |
| CN106230627A (zh) * | 2016-07-28 | 2016-12-14 | 浪潮软件股份有限公司 | 一种基于可定制策略的web访问高峰缓解方法 |
| CN109840414A (zh) * | 2018-12-13 | 2019-06-04 | 北京华胜天成信息技术发展有限公司 | 基板管理控制器的安全防护方法、装置与电子设备 |
| CN111274620A (zh) * | 2020-01-16 | 2020-06-12 | 四川效率源科技有限责任公司 | 一种基于Windows操作系统的USB设备的管控方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113836601A (zh) * | 2021-08-26 | 2021-12-24 | 青岛中科英泰商用系统股份有限公司 | 一种专用usb键盘及其控制方法及系统、设备 |
| CN117056917A (zh) * | 2023-10-13 | 2023-11-14 | 北京安天网络安全技术有限公司 | Bad人机接口设备攻击检测防御装置、方法、电子设备及存储介质 |
| CN117056917B (zh) * | 2023-10-13 | 2024-01-26 | 北京安天网络安全技术有限公司 | Bad人机接口设备攻击检测防御装置、方法、电子设备及存储介质 |
| CN117389421A (zh) * | 2023-12-07 | 2024-01-12 | 浙江网商银行股份有限公司 | 一种可信接入处理方法、装置、存储介质及电子设备 |
| CN117389421B (zh) * | 2023-12-07 | 2024-05-14 | 浙江网商银行股份有限公司 | 一种可信接入处理方法、装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111859373B (zh) | 2024-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111859373B (zh) | 一种针对hid攻击的防御方法、装置和计算机设备 | |
| JP6842367B2 (ja) | ファイル中の悪意のあるコードの検出システム及び方法 | |
| US10499248B2 (en) | Secure interaction method and device | |
| US11194586B2 (en) | Secure boot override in a computing device equipped with unified-extensible firmware interface (UEFI)-compliant firmware | |
| AU2016293058B2 (en) | Computer security systems and methods using asynchronous introspection exceptions | |
| CN109241745B (zh) | 一种计算平台的可信启动方法及装置 | |
| US20090288161A1 (en) | Method for establishing a trusted running environment in the computer | |
| US20100228997A1 (en) | Method and apparatus for verifying authenticity of initial boot code | |
| JP2018041438A5 (zh) | ||
| US20130117006A1 (en) | Simulated boot process to detect introduction of unauthorized information | |
| CN104268475B (zh) | 一种运行应用程序的系统 | |
| US10803176B2 (en) | Bios security | |
| CN110334522A (zh) | 启动度量的方法及装置 | |
| US20150143163A1 (en) | Preventing a rollback attack in a computing system that includes a primary memory bank and a backup memory bank | |
| US20230259636A1 (en) | Security assessment apparatus and method for processor | |
| US20180226136A1 (en) | System management mode test operations | |
| US20220391507A1 (en) | Malware identification | |
| WO2020007249A1 (zh) | 一种操作系统安全主动防御方法及操作系统 | |
| CN113051576A (zh) | 控制方法和电子设备 | |
| US11328055B2 (en) | Process verification | |
| RU2538286C2 (ru) | Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера | |
| CN112114908A (zh) | 硬件平台及其启动方法、装置和电子设备 | |
| CN109409123B (zh) | 一种电子设备、控制方法及处理装置 | |
| JP2018036695A (ja) | 情報処理監視装置、情報処理監視方法、監視プログラム、記録媒体及び情報処理装置 | |
| CN114282178A (zh) | 一种软件自防护方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |