CN113343240B - 一种usb伪装入侵的检测方法及装置 - Google Patents
一种usb伪装入侵的检测方法及装置 Download PDFInfo
- Publication number
- CN113343240B CN113343240B CN202110774295.8A CN202110774295A CN113343240B CN 113343240 B CN113343240 B CN 113343240B CN 202110774295 A CN202110774295 A CN 202110774295A CN 113343240 B CN113343240 B CN 113343240B
- Authority
- CN
- China
- Prior art keywords
- usb
- equipment
- usb equipment
- keyboard
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 16
- 238000000034 method Methods 0.000 claims abstract description 24
- 238000012544 monitoring process Methods 0.000 claims abstract description 21
- 238000003780 insertion Methods 0.000 claims abstract description 16
- 230000037431 insertion Effects 0.000 claims abstract description 16
- 230000004044 response Effects 0.000 claims description 14
- 238000004088 simulation Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 12
- 238000010586 diagram Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/40—Bus structure
- G06F13/4063—Device-to-bus coupling
- G06F13/4068—Electrical coupling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种USB伪装入侵的检测方法及装置,其方法包括:S1,响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;S2,将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则以键盘驱动运行所述USB设备,并执行步骤S3;S3,监视所述USB设备模拟键盘和/或,鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行步骤S4;所述输入命令为所述USB设备通过所述键盘驱动生成;S4,确定所述USB设备为伪装USB,并断开与所述USB设备的连接。通过用于及时发现基于USB接口发起的对于目标机的损坏活动或者对于目标机的信息窃取活动,提高系统安全性。
Description
技术领域
本发明涉及信息安全技术技域,尤其涉及一种USB伪装入侵的检测方法及装置。
背景技术
传统主机防护方式是在受保护的主机上安装防护软件。这些防护软件更多关注的是U盘里面文件是否有病毒木马,而对于像BadUSB这样的新型攻击防护是不足的。因此,即使BadUSB的攻击点往往在驱动层就开始,现有的检测及防御技术也不能及时发现。
发明内容
本发明提供了一种USB伪装入侵的检测方法及装置,通过用于及时发现基于USB接口发起的对于目标机的损坏活动或者对于目标机的信息窃取活动,提高系统安全性。
第一方面,本发明提供的一种USB伪装入侵的检测方法,包括:
S1,响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;
S2,将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则以键盘驱动运行所述USB设备,并执行步骤S3;
S3,监视所述USB设备模拟键盘和/或,鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行步骤S4;所述输入命令为所述USB设备通过所述键盘驱动生成;
S4,确定所述USB设备为伪装USB,并断开与所述USB设备的连接。
可选地,所述步骤S1包括:
响应于USB设备的插入操作,读取所述USB设备的设备信息;
基于所述设备信息中,生成所述USB设备对应的加载类型;
在所述USB设备基于所述加载类型加载时,收集整理所述运行信息,得到所述驱动信息。
可选地,所述预先设定的风险特征具体为:预先设定的驱动设备类型特征;所述步骤S2包括:
S21,对所述驱动信息中的驱动设备类型与所述预先设定的驱动设备类型特征匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则执行步骤S22;
S22,判断所述驱动设备类型是否发生变化;若否,则执行步骤S3;若是,则执行步骤S4。
可选地,所述步骤S3包括:
S31,将所述键盘指令与所述预设键盘指令匹配,确定所述USB设备是否存在信息窃取嫌疑;若是,则执行步骤S32;若否,则确定所述USB设备为正常USB设备;
S32,判断所述键盘指令中,与所述预设键盘指令相匹配的匹配指令是否重复输入;若是,则执行步骤S4;若否,则确定所述USB设备为正常USB设备。
第二方面,本发明还提供了一种USB伪装入侵的检测装置,包括:
响应模块,用于响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;
匹配模块,用于将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行设备属性确定模块;若否,则以键盘驱动运行所述USB设备,并执行监视模块;
监视模块,用于监视所述USB设备模拟键盘和/或,鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行设备属性确定模块;所述输入命令为所述USB设备通过所述键盘驱动生成;
设备属性确定模块,用于确定所述USB设备为伪装USB,并断开与所述USB设备的连接。
可选地,所述响应模块包括:
响应子模块,用于响应于USB设备的插入操作,读取所述USB设备的设备信息;
加载类型生成子模块,用于基于所述设备信息中,生成所述USB设备对应的加载类型;
收集整理子模块,用于在所述USB设备基于所述加载类型加载时,收集整理所述运行信息,得到所述驱动信息。
可选地,所述预先设定的风险特征具体为:预先设定的驱动设备类型特征;所述匹配模块包括:
第一匹配子模块,用于对所述驱动信息中的驱动设备类型与所述预先设定的驱动设备类型特征匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行所述设备属性确定模块;若否,则执行判断子模块;
第一判断子模块,用于判断所述驱动设备类型是否发生变化;若否,则执行所述监视模块;若是,则执行所述设备属性确定模块。
可选地,所述监视模块包括:
第二匹配子模块,用于将所述键盘指令与所述预设键盘指令匹配,确定所述USB设备是否存在信息窃取嫌疑;若是,则执行第二判断子模块;若否,则确定所述USB设备为正常USB设备;
第二判断子模块,用于判断所述键盘指令中,与所述预设键盘指令相匹配的匹配指令是否重复输入;若是,则执行设备属性确定模块;若否,则确定所述USB设备为正常USB设备。
第三方面,本发明提供了一种电子设备,所述电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。
第四方面,本发明提供了一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤。
从以上技术方案可以看出,本发明具有以下优点:
本发明通过S1,响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;S2,将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则以键盘驱动运行所述USB设备,并执行步骤S3;S3,监视所述USB设备模拟键盘和/或,鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行步骤S4;所述输入命令为所述USB设备通过所述键盘驱动生成;S4,确定所述USB设备为伪装USB,并断开与所述USB设备的连接。通过用于及时发现基于USB接口发起的对于目标机的损坏活动或者对于目标机的信息窃取活动,提高系统安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图;
图1为本发明的一种USB伪装入侵的检测方法实施例一的步骤流程图;
图2为本发明的一种USB伪装入侵的检测方法实施例二的步骤流程图;
图3为本发明的一种USB伪装入侵的检测方法实施例二的实现原理图;
图4为USB设备识别原理;
图5为本发明的一种USB伪装入侵的检测装置实施例的结构框图。
具体实施方式
本发明实施例提供了一种USB伪装入侵的检测方法及装置,通过用于及时发现基于USB接口发起的对于目标机的损坏活动或者对于目标机的信息窃取活动,提高系统安全性。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,图1为USB设备识别原理,其中1为USB设备,2为USB驱动层,3为HID驱动,4为USB存储驱动,5为应用模块,当USB设备1插入系统之后,USB驱动层2会识别USB设备属于硬件设备还是存储设备,若USB设备1为硬件设备,则会通过USB存储驱动4将USB设备1与应用模块5连接,若USB设备1为存储设备,则会通过USB储存驱动4建立USB设备1与应用模块5之间的连接。传统的系统防护软件对于外来硬件设备的防护侧重点大多在于设备中是否存在病毒,而对于类似BadUSB这种伪装USB的新型攻击防护并不足够,由于这种新型攻击方法往往在驱动层就开始进行了,现有的系统防御技术不能及时检测。
请参阅图2,图2为本发明的一种USB伪装入侵的检测方法实施例一的步骤流程图,具体可以包括如下步骤:
S1,响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;
S2,将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则以键盘驱动运行所述USB设备,并执行步骤S3;
S3,监视所述USB设备模拟键盘和/或,鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行步骤S4;所述输入命令为所述USB设备通过所述键盘驱动生成;
S4,确定所述USB设备为伪装USB,并断开与所述USB设备的连接。
在本发明实施例中,通过S1,响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;S2,将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则以键盘驱动运行所述USB设备,并执行步骤S3;S3,监视所述USB设备模拟键盘和/或,鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行步骤S4;所述输入命令为所述USB设备通过所述键盘驱动生成;S4,确定所述USB设备为伪装USB,并断开与所述USB设备的连接。通过用于及时发现基于USB接口发起的对于目标机的损坏活动或者对于目标机的信息窃取活动,提高系统安全性。
请参阅图3,为本发明的一种USB伪装入侵的检测方法实施例二的步骤流程图,方法具体包括:
步骤S201,响应于USB设备的插入操作,读取所述USB设备的设备信息;
需要说明的是,本发明实施例运用于Linux操作系统。
步骤S202,基于所述设备信息中,生成所述USB设备对应的加载类型;
步骤S203,在所述USB设备基于所述加载类型加载时,收集整理所述运行信息,得到所述驱动信息;
步骤S204,对所述驱动信息中的驱动设备类型与所述预先设定的驱动设备类型特征匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S208;若否,则执行步骤S205;
需要说明的是,驱动信息一般包括:“设备类型”、“接口类型”、“接口数目”和“生产厂商”等。
在本发明实施例中,通过USB信息采集模块,基于Linux内核UDEV接口,实时获取USB设备基于加载类型加载时的运行信息,得到驱动信息,然后讲这些驱动信息整理后交给入侵分析模块做特征匹配,包括:如果发现驱动信息有BadUSB特征就断开系统与USB设备的连接,并产生告警;否则继续加载驱动。
在具体实现中,接入主机的设备类型(bDeviceClass)为ff,这和主流键盘的设备类型不符合,后面很快bDeviceClass变成00,完成一次切换动作,切换后它才符合一个USB键盘特征(bInterfaceClass:03,bInterfaceProtocol:01)。基于此USB入侵分析模块可以认定USB设备是非法设备——BadUSB设备。
步骤S205,判断所述驱动设备类型是否发生变化;若否,则执行步骤S206;若是,则执行步骤S208;
步骤S206,将所述键盘指令与所述预设键盘指令匹配,确定所述USB设备是否存在信息窃取嫌疑;若是,则执行步骤S207;若否,则确定所述USB设备为正常USB设备;
在本发明实施例中,如果BadUSB设备伪装程度足够高,以至于驱动信息没有异常,这个BadUSB设备就会被Linux操作系统认定为是一个USB键盘,且认定该USB键盘可以通过HID键盘驱动完成键盘驱动和所有必需的初始化流程。
在具体实现中,BadUSB设备会立即模拟键盘、鼠标对Linux操作系统进行操作,包括打开CMD或者Powershell并如可以实现信息窃取和发送邮件操作,从而达到控制Linux操作系统或者窃取信息等目的。
步骤S207,判断所述键盘指令中,与所述预设键盘指令相匹配的匹配指令是否重复输入;若是,则执行步骤S208;若否,则确定所述USB设备为正常USB设备;
在具体实现中,USB入侵分析模块会在键盘设备形成后立即监控键盘输入。如果立即收到键盘指令有“sendmail/outlook/Download”等重复输入。并认定这个USB设备是非法设备。
步骤S208,确定所述USB设备为伪装USB,并断开与所述USB设备的连接。
总而言之,本方案的具体原理如图4的本发明的一种USB伪装入侵的检测方法实施例二的实现原理图所示,其中a为Udev接口,b为键盘指令接收接口,A为USB信息采集层,B为USB入侵分析层,在USB信息采集层A和USB入侵分析层B的协同下,检测USB设备在Udev接口a,及键盘指令接收接口b的发送的指令,确定当前USB设备是否为BabUSB设备。
在本发明实施例所提供的一种USB伪装入侵的检测方法,通过S1,响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;S2,将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则以键盘驱动运行所述USB设备,并执行步骤S3;S3,监视所述USB设备模拟键盘和/或,鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行步骤S4;所述输入命令为所述USB设备通过所述键盘驱动生成;S4,确定所述USB设备为伪装USB,并断开与所述USB设备的连接。通过用于及时发现基于USB接口发起的对于目标机的损坏活动或者对于目标机的信息窃取活动,提高系统安全性。
请参阅图5,示出了一种USB伪装入侵的检测装置实施例的结构框图,包括如下模块:
响应模块401,用于响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;
匹配模块402,用于将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行设备属性确定模块;若否,则以键盘驱动运行所述USB设备,并执行监视模块;
监视模块403,用于监视所述USB设备模拟键盘和/或,鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行设备属性确定模块;所述输入命令为所述USB设备通过所述键盘驱动生成;
设备属性确定模块404,用于确定所述USB设备为伪装USB,并断开与所述USB设备的连接。
在一个可选实施例中,所述响应模块401包括:
响应子模块,用于响应于USB设备的插入操作,读取所述USB设备的设备信息;
加载类型生成子模块,用于基于所述设备信息中,生成所述USB设备对应的加载类型;
收集整理子模块,用于在所述USB设备基于所述加载类型加载时,收集整理所述运行信息,得到所述驱动信息。
在一个可选实施例中,所述预先设定的风险特征具体为:预先设定的驱动设备类型特征;所述匹配模块402包括:
第一匹配子模块,用于对所述驱动信息中的驱动设备类型与所述预先设定的驱动设备类型特征匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行所述设备属性确定模块;若否,则执行判断子模块;
第一判断子模块,用于判断所述驱动设备类型是否发生变化;若否,则执行所述监视模块;若是,则执行所述设备属性确定模块。
在一个可选实施例中,所述监视模块403包括:
第二匹配子模块,用于将所述键盘指令与所述预设键盘指令匹配,确定所述USB设备是否存在信息窃取嫌疑;若是,则执行第二判断子模块;若否,则确定所述USB设备为正常USB设备;
第二判断子模块,用于判断所述键盘指令中,与所述预设键盘指令相匹配的匹配指令是否重复输入;若是,则执行设备属性确定模块;若否,则确定所述USB设备为正常USB设备。
本发明实施例还提供了一种电子设备,包括存储器及处理器,所述存储器中储存有分析机程序,所述分析机程序被所述处理器执行时,使得所述处理器执行如上述任一实施例所述的USB伪装入侵的检测方法的步骤。
本发明实施例还提供了一种分析机可读存储介质,其上存储有分析机程序,所述分析机程序被所述处理器执行时实现如上述任一实施例所述的USB伪装入侵的检测方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,本发明所揭露的方法、装置、电子设备及存储介质,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个分析机可读取可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该分析机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台分析机设备(可以是个人分析机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种USB伪装入侵的检测方法,其特征在于,包括:
S1,响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;
S2,将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则以键盘驱动运行所述USB设备,并执行步骤S3;
S3,监视所述USB设备模拟键盘和/或模拟鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行步骤S4;所述输入命令为所述USB设备通过所述键盘驱动生成;
预设键盘指令包含:sendmail、outlook、Download其中之一;
S4,确定所述USB设备为伪装USB,并断开与所述USB设备的连接;
所述预先设定的风险特征具体为:预先设定的驱动设备类型特征;所述步骤S2包括:
S21,对所述驱动信息中的驱动设备类型与所述预先设定的驱动设备类型特征匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行步骤S4;若否,则执行步骤S22;
S22,判断所述驱动设备类型是否发生变化;若否,则执行步骤S3;若是,则执行步骤S4。
2.根据权利要求1所述的USB伪装入侵的检测方法,其特征在于,所述步骤S1包括:
响应于USB设备的插入操作,读取所述USB设备的设备信息;
基于所述设备信息中,生成所述USB设备对应的加载类型;
在所述USB设备基于所述加载类型加载时,收集整理运行信息,得到所述驱动信息。
3.根据权利要求1所述的USB伪装入侵的检测方法,其特征在于,所述步骤S3包括:
S31,将所述键盘指令与所述预设键盘指令匹配,确定所述USB设备是否存在信息窃取嫌疑;若是,则执行步骤S32;若否,则确定所述USB设备为正常USB设备;
S32,判断所述键盘指令中,与所述预设键盘指令相匹配的匹配指令是否重复输入;若是,则执行步骤S4;若否,则确定所述USB设备为正常USB设备。
4.一种USB伪装入侵的检测装置,其特征在于,包括:
响应模块,用于响应于USB设备的插入操作,生成所述USB设备对应的驱动信息;
匹配模块,用于将所述驱动信息与预先设定的风险特征进行匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行设备属性确定模块;若否,则以键盘驱动运行所述USB设备,并执行监视模块;
监视模块,用于监视所述USB设备模拟键盘和/或模拟鼠标的输入命令是否重复包含预先设定的键盘指令;若否,则确定所述USB设备为正常USB设备;若是,则执行设备属性确定模块;所述输入命令为所述USB设备通过所述键盘驱动生成;
设备属性确定模块,用于确定所述USB设备为伪装USB,并断开与所述USB设备的连接;
预设键盘指令包含:sendmail、outlook、Download其中之一;
所述预先设定的风险特征具体为:预先设定的驱动设备类型特征;所述匹配模块包括:
第一匹配子模块,用于对所述驱动信息中的驱动设备类型与所述预先设定的驱动设备类型特征匹配,确定所述USB设备是否存在BadUSB特征;若是,则执行所述设备属性确定模块;若否,则执行判断子模块;
第一判断子模块,用于判断所述驱动设备类型是否发生变化;若否,则执行所述监视模块;若是,则执行所述设备属性确定模块。
5.根据权利要求4所述的USB伪装入侵的检测装置,其特征在于,所述响应模块包括:
响应子模块,用于响应于USB设备的插入操作,读取所述USB设备的设备信息;
加载类型生成子模块,用于基于所述设备信息中,生成所述USB设备对应的加载类型;
收集整理子模块,用于在所述USB设备基于所述加载类型加载时,收集整理运行信息,得到所述驱动信息。
6.根据权利要求4所述的USB伪装入侵的检测装置,其特征在于,所述监视模块包括:
第二匹配子模块,用于将所述键盘指令与所述预设键盘指令匹配,确定所述USB设备是否存在信息窃取嫌疑;若是,则执行第二判断子模块;若否,则确定所述USB设备为正常USB设备;
第二判断子模块,用于判断所述键盘指令中,与所述预设键盘指令相匹配的匹配指令是否重复输入;若是,则执行设备属性确定模块;若否,则确定所述USB设备为正常USB设备。
7.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有分析机可读取指令,当所述分析机可读取指令由所述处理器执行时,运行如权利要求1-3任一项所述的方法。
8.一种计算机可读存储介质,其上存储有分析机程序,其特征在于,所述分析机程序被处理器执行时运行如权利要求1-3任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110774295.8A CN113343240B (zh) | 2021-07-08 | 2021-07-08 | 一种usb伪装入侵的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110774295.8A CN113343240B (zh) | 2021-07-08 | 2021-07-08 | 一种usb伪装入侵的检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113343240A CN113343240A (zh) | 2021-09-03 |
CN113343240B true CN113343240B (zh) | 2024-03-01 |
Family
ID=77483005
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110774295.8A Active CN113343240B (zh) | 2021-07-08 | 2021-07-08 | 一种usb伪装入侵的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113343240B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102015113207A1 (de) * | 2014-08-13 | 2016-02-18 | Wibu-Systems Ag | Verfahren zum Autorisieren neu angeschlossener Geräte beim Anschließen an einen Computer über eine Schnittstelle |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3104296B1 (en) * | 2015-06-10 | 2019-12-18 | Alcatel Lucent | Usb attack protection |
US20180324179A1 (en) * | 2017-05-02 | 2018-11-08 | Hao-Hsun Hou | Method for preventing badusb attack |
US11132441B2 (en) * | 2019-05-06 | 2021-09-28 | The Florida International University Board Of Trustees | Systems and methods for inhibiting threats to a computing environment |
-
2021
- 2021-07-08 CN CN202110774295.8A patent/CN113343240B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102015113207A1 (de) * | 2014-08-13 | 2016-02-18 | Wibu-Systems Ag | Verfahren zum Autorisieren neu angeschlossener Geräte beim Anschließen an einen Computer über eine Schnittstelle |
Also Published As
Publication number | Publication date |
---|---|
CN113343240A (zh) | 2021-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2940957B1 (en) | Method, apparatus and system for detecting malicious process behavior | |
US10025931B1 (en) | Method and system for malware detection | |
US8959641B2 (en) | Foiling a document exploit attack | |
JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
CN105718825B (zh) | 一种恶意usb设备的检测方法及装置 | |
KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
JP2016046654A (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
CN113632432B (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
KR101937325B1 (ko) | 악성코드 감지 및 차단방법 및 그 장치 | |
CN109753796B (zh) | 一种大数据计算机网络安全防护装置及使用方法 | |
US20200218809A1 (en) | Logical and Physical Security Device | |
US20220398316A1 (en) | Artificial intelligence detection of ransomware activity patterns on computer systems | |
US20070169198A1 (en) | System and method for managing pestware affecting an operating system of a computer | |
CN113239364A (zh) | 一种检测漏洞利用的方法、装置、设备及存储介质 | |
US20070168694A1 (en) | System and method for identifying and removing pestware using a secondary operating system | |
CN103679024B (zh) | 病毒的处理方法及设备 | |
KR20160099159A (ko) | 악성 코드를 탐지하기 위한 전자 시스템 및 방법 | |
EP3800570B1 (en) | Methods and systems for genetic malware analysis and classification using code reuse patterns | |
CN113343240B (zh) | 一种usb伪装入侵的检测方法及装置 | |
CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
CN113810344B (zh) | 安全编排系统、设备、方法以及计算机可读存储介质 | |
CN114499961A (zh) | 一种安全预警方法、装置及计算机可读存储介质 | |
Kono et al. | An unknown malware detection using execution registry access | |
CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
US20080155264A1 (en) | Anti-virus signature footprint |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |