WO2023169148A1

WO2023169148A1 - 一种用于hid键鼠设备防护的外接式防护设备和方法

Info

Publication number: WO2023169148A1
Application number: PCT/CN2023/075623
Authority: WO
Inventors: 张昊; 杜华; 蔡镇河
Original assignee: 北京博衍思创信息科技有限公司
Priority date: 2022-03-11
Filing date: 2023-02-13
Publication date: 2023-09-14
Also published as: CN114595178A

Abstract

本发明提出一种用于HID键鼠设备防护的外接式防护设备和方法，所述设备包括：HID对内接口，用于连接被保护设备的HID输入接口；HID对外接口，用于连接外接设备；转发控制模块，分别连接所述HID对内接口与HID对外接口；以及协议分析模块，用于对连接至所述HID对外接口的外接设备进行协议分析以判断该外接设备是否是合法的HID键鼠设备；其中，所述转发控制模块根据协议分析模块提供的判断结果来控制所述HID对内接口与HID对外接口的连通或断开，以防止非法的HID键鼠设备连通所述被保护设备。本发明能够防止非法的HID键鼠设备的接入对被防护设备的破坏。

Description

一种用于HID键鼠设备防护的外接式防护设备和方法

技术领域

本发明属于设备安全防护技术领域，尤其涉及一种用于HID键鼠设备防护的外接式防护设备和方法。

背景技术

对于工业控制系统、商业系统或办公系统等计算机系统，非法入侵的手段变得越来越隐敝和复杂，因此系统安全防护越来越受到人们的重视。一种入侵计算机系统的方式是利用伪装或改造过的键盘、鼠标等用户输入设备，插入系统的接口，通过向系统传输非法代码来对系统进行非法的读写或破坏。

为了防止用户利用鼠标、键盘来对系统进行破坏，ZL 201410564213 .7号中国发明专利提出了一种PS/2鼠标、键盘操作审计及控制方法，该装置提供是一种对主机PS/2鼠标、键盘操作审计与控制的方法。主要通过单片机解析PS/2鼠标、键盘协议解析，在不影响主机使用的情况下来获取鼠标、键盘的动作信息并可以通过控制PS/2鼠标、键盘开启与关闭。

然而，现有技术一方面无法识别接入系统的鼠标、键盘是否是非法的鼠标、键盘，或者是伪装成鼠标、键盘的非法设备；另一方面，现有技术在被防护设备内部不安装审计软件的情况下，也无法实时地对接入相应接口的鼠标、键盘等设备的合法性以及操作行为进行审计或鉴权。由于伪装成鼠标、键盘的非法设备在进行非法数据交互的过程中也会产生正常的键盘、鼠标操作数据，因此现有技术实际上无法真正防护非法设备的接入和非法操作，也无法对正常的操作行为进行记录和审计。

此外，目前的鼠标、键盘已基本上不再使用PS/2接口，而使用更通用的支持HID设备的USB接口。

技术问题

有鉴于此，本发明的一个方面旨在解决现有技术无法有效防止非法设备伪装成键盘、鼠标对系统进行破坏的问题。

本发明的另一方面旨在解决在被防护设备内无法安装审计软件的情况下，无法对键盘、鼠标通信协议及操作行为进行记录和审计的问题。

技术解决方案

为了实现上述目的，作为本发明的第一个方面，提出了一种用于HID键鼠设备防护的外接式防护设备，包括：HID对内接口，用于连接被保护设备的HID输入接口；HID对外接口，用于连接外接设备；转发控制模块，分别连接所述HID对内接口与HID对外接口；以及协议分析模块，用于对连接至所述HID对外接口的外接设备进行协议分析以判断该外接设备是否是合法的HID键鼠设备；其中，所述转发控制模块根据协议分析模块提供的判断结果来控制所述HID对内接口与HID对外接口的连通或断开，以防止非法的HID键鼠设备连通所述被保护设备。

根据本发明的优选实施例，所述根据协议分析模块提供的判断结果来控制所述HID对内接口与HID对外接口的连通或断开包括：当所述外接设备经协议分析后判断为非法HID键鼠设备或非HID键鼠设备时，控制所述HID对内接口与HID对外接口断开；当所述外接设备经协议分析后判断为合法的HID键鼠设备时，控制所述HID对内接口与HID对外接口连通。

根据本发明的优选实施例，当所述外部设备为HID键盘时，所述协议分析模块还用于对该HID键盘的输入数据进行监控和记录；当所述输入数据包含预定黑名单中的数据时，所述协议分析模块指示转发控制模块控制所述HID对内接口与HID对外接口断开。

根据本发明的优选实施例，所述外接式防护设备还包括：视频对内接口，用于连接被保护设备的视频输出接口；视频对外接口，用于连接视频设备；录屏模块，连接所述视频对内接口，用于记录所述被保护设备输出的视频数据。

根据本发明的优选实施例，所述录屏模块连接至所述协议分析模块，并接收所述协议分析模块的控制；当所述协议分析模块判断所述外接设备执行了特定操作时，控制所述录屏模块进行视频数据的记录操作。

根据本发明的优选实施例，所述外接式防护设备还包括图像处理模块，其分别连接所述录屏模块和协议分析模块，用于从所述录屏模块获取实时的视频数据并对该视频数据进行实时分析，并且，当分析结果表示视频数据存在异常时，通知所述协议分析模块，以便所述协议分析模块控制所述HID对内接口与HID对外接口断开。

根据本发明的优选实施例，所述实时分析包括：对所述视频数据进行帧图像的提取，并对的取得的帧图像进行识别，当所述识别结果包含预定黑名单操作时，产生表示视频数据存在异常的分析结果。

根据本发明的优选实施例，所述实时分析包括：对所述视频数据进行帧图像的提取，并计算帧图像的图像特征并与预定图像的图像特征进行比较，当所述帧图像的图像特征与预定图像的图像特征的相似度高于阈值时，产生表示视频数据存在异常的分析结果。

本发明的另一方面提出一种用于HID键鼠设备防护的设备防护方法，包括以下步骤：提供外接式防护设备以接管被保护设备的HID输入接口；对连接至所述外接式防护设备的外部设备进行协议分析以判断该外接设备是否是合法的HID键鼠设备；根据判断的结果来控制所述外部设备与被保护设备的连通或断开，以防止非法的HID键鼠设备连通所述被保护设备。

根据本发明的优选实施例，所述根据判断的结果来控制所述外部设备与被保护设备的连通或断开包括：当所述外接设备经协议分析后判断为非法HID键鼠设备或非HID键鼠设备时，控制外部设备与被保护设备断开；当所述外接设备经协议分析后判断为合法的HID键鼠设备时，控制外部设备与被保护设备连通。

根据本发明的优选实施例，当所述外部设备为HID键盘时，所述方法还包括：对该HID键盘的输入数据进行监控和记录；当所述输入数据包含预定黑名单中的数据时，控制所述外部设备与被保护设备断开。

根据本发明的优选实施例，方法还包括：实时监测外部设备与被保护设备之间的数据传输，当监测到USB IN事务存在风险时，或者USB OUT事务的数据存在时，中断被保护设备到外部设备的数据传输。

有益效果

本发明相对于现有技术至少具有如下有益效果：

（1）本发明具有协议分析模块控制的转发控制模块，因此非法的HID键鼠设备无法连接到被保护设备，解决了无法有效防止非法设备伪装成键盘、鼠标对系统进行破坏的问题，提高了系统对于非法HID键鼠设备的防护。

（2）本发明具有协议分析模块控制的键盘输入监控记录模块，可以有效阻断非授权的键盘输入操作。

（3）本发明具有实时的录屏模块，能够实现对于界面图像的实时备份、监控，以便实时监控HID键鼠设备的操作。

（4）本发明具有图像分析模块，从而能够实时分析合法HID键鼠设备的非法操作，进一步提高了HID键鼠设备接入的安全性。

附图说明

图1是本发明的用于HID键鼠设备防护的外接式防护设备的第一实施例的结构示意图；

图2是本发明的用于HID键鼠设备防护的外接式防护设备的第二实施例的结构示意图；

图3是本发明的用于HID键鼠设备防护的外接式防护设备的第三实施例的结构示意图；

图4是本发明的用于HID键鼠设备防护的设备防护方法的实施例的流程图。

本发明的实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明作进一步的详细说明。

为解决现有技术无法有效防止非法设备伪装成键盘、鼠标对系统进行破坏的问题，本发明提出一种用于HID键鼠设备（Human Interface Device of Keyboard or Mouse）防护的外接式防护设备（External Protective Device, EPD）。所谓的外接式防护设备是外接于被保护设备的一种实体设备，通过对被保护设备（Protected Device, PD）的特定接口进行接管，确保需要访问被保护设备的外接设备必须通过与该外接式防护设备连接才能接入，从而无需在被保护设备上安装安全防护软件即可达到对被保护设备进行防护的目的。

HID设备也称人机界面设备，即Human Interface Device，其是一种旨在直接供人使用的计算机附加设备。与外部硬盘或无线卡等其他设备不同，HID通常具有按钮或控件，允许人类与计算机进行交互。大多数现代人机界面设备使用通用串行总线（USB）通信协议；HID设备这个名称被使用之前，计算机设备的协议数量是有限的。制造商被限制制造属于狭义类别的输入设备，每当一个新的实验性输入控制器被制造出来时，计算机公司就被迫编写驱动程序。HID设备则旨在解决此限制并鼓励构建新类型的输入设备。HID设备包含预编程数据，称为HID描述符，当设备第一次连接时向主机报告的信息。HID描述符告诉计算机将从接口设备发送的每个信息包的用途。基本上，这些数据向主机提供“更新”，并通知计算机需要哪些输入虽然大多数HID硬件是为用户控制计算机而设计的，但协议不仅限于输入。HID输出也可以从计算机发送到设备。这种通信能力通常用于提供信息，例如状态灯。

本发明中所称的HID键鼠设备是指符合HID定义的鼠标或键盘。正是出于HID设备的较为通用的特性，目前的键盘、鼠标等设备大多配置为HID键鼠设备，这为非法的HID键鼠设备接入也提供了更多的便利条件，由此，本发明提出用于HID键鼠设备防护的外接式防护设备，其至少包括HID对内接口、HID对外接口、转发控制模块和协议分析模块。HID对内接口用于连接被保护设备的HID输入接口，HID对外接口则用于连接外接设备。通常，所述的HID输入接口一般是USB接口，因此本发明的HID对内接口和HID对外接口通常也是符合USB协议的接口。但是本发明的HID对内接口和HID对外接口也不排除符合其他标准的协议的接口类型。

本发明中的被保护设备是指具有安全需求的计算机系统，例如工业控制的主机、服务器等，也可以是其他商有或家用的计算机设备。作为被保护设备的主机、服务器等，本发明不限于其使用的操作系统，只要其具有HID设备的接入功能和相应的硬件接口（HID输入接口）即可。例如，被保护设备具有用于连接键盘、鼠标等设备的USB接口，则本发明可以直接通过USB连接线将本发明的外接式防护设备的HID对内接口连接到被保护设备。优选的是，外接式防护设备的对内接口不止一个，以便其能够连接被保护设备的所有HID输入接口，以便形成对HID输入接口的全面防护。

当外接式防护设备连接到了被保护设备的所有HID输入接口时，外接式防护设备相当于接管了被保护设备的HID输入。当外部设备（包括HID键鼠设备或可能伪装成HID键鼠设备的其他设备）需要连接到被保护设备以进行用户输入操作时，其必须连接至该外接式防护设备。具体地，该外部设备连接至外接式防护设备的HID对外接口，通常，该HID对外接口也是符合USB标准协议的接口。

为了对连接到本发明的外接式防护设备的外部设备进行安全监测，外接式防护设备的内部具有一些功能模块。需要说明的是，本发明此处所称的模块是具有特定功能的硬件或软件，或者是软硬件的结合。例如，模块可以是被写入特定计算机程序的单片机，也可以是能够读入并执行计算机程序的通用处理器，及相关控制电路所构成的，具备特定功能的部件等。并且，不同的模块，在此仅作功能上的区别，具体实现时，其可以各自由不同的硬件或软件实现，也可以在同一硬件或同一软件中实现，或者部分由硬件实现，部分由软件实现。

如前所述，本发明的外接式防护设备包括有转发控制模块和协议分析模块。转发控制模块分别连接所述HID对内接口与HID对外接口。协议分析模块连接至转发控制模块，并且对连接至所述HID对外接口的外接设备进行协议分析以判断该外接设备是否是合法的HID键鼠设备。转发控制模块则根据协议分析模块提供的判断结果来控制所述HID对内接口与HID对外接口的连通或断开，以防止非法的HID键鼠设备连通所述被保护设备。需要说明的是，转发控制模块实时地检测HID对外接口是否连接了外部设备，并在监测到连接了外部设备时，协议分析模块实时地进行协议分析以判断该外部设备的合法性，并根据该判断结果来决定是否连通所述HID对内接口与HID对外接口，这样，虚假的或非法的HID键鼠设备就无法连接到对内接口，从而从根本上防止了不法人员通过伪装或伪造HID键鼠设备的方式非法访问被保护设备。

具体来说，所述的判断与控制是指：当所述外接设备未经协议分析，或者经协议分析后判断为非法HID键鼠设备时，控制所述HID对内接口与HID对外接口断开；当所述外接设备经协议分析后判断为合法HID键鼠设备时，控制所述HID对内接口与HID对外接口连通。这样，经协议分析后，只有合法的HID键鼠设备被允许接入到被保护设备中。

更进一步来说，本发明中的协议分析过程为：

（一）设备枚举阶段

USB设备特性是由USB设备内部固件中的USB描述符进行描述的，在USB设备插入计算机或其他设备的USB接口后，计算机或其他设备的USB控制器将获得USB设备的描述符信息，以确认USB设备的访问方式，并加载相应驱动程序。USB描述符包括设备描述符（供应商ID、产品标识码(PID)及序列号信息）、配置描述符（配置数、当前使用的配置标识、配置支持的接口数）、接口描述符（接口子类、接口协议）、端点描述符、字符串描述符，符合USB协议的HID类设备还会多出HID描述符、报告描述符、物理描述符这三种描述符。

据此，本发明的协议分析模块通过连接至转发控制模块来获取HID对外接口上连接的外部设备所传送的依照USB通信协议的数据实时监测该外部设备的通信过程，对HID对外接口上连接的设备进行控制。

在外部设备插入HID对外接口时，转发控制模块启动USB设备枚举。在USB设备枚举过程中，转发控制模块接收外部设备发送的用于USB设备枚举的数据并发送给协议分析模块，协议分析模块通过对从转发控制模块接收的数据进行分析。当所述的数据符合USB协议时，协议分析模块根据USB协议规范提取：供应商ID、产品标识码(PID)及序列号信息、配置数、当前使用的配置标识、配置支持的接口数、接口编号、接口类、接口子类、接口协议等。

根据USB协议规范，HID设备的类型定义放置在接口描述符中。根据本发明，协议分析模块根据接口描述符的信息对外部设备的类型进行判断，当判断所述外部设备不是HID设备，也不是USB复合设备（具有HID及其他USB特性设备，例如USB存储+HID类设备）时，协议分析模块向转发控制模块发送指令，以阻止该外部设备接入。

（二）设备使用阶段

根据USB规范，HID设备传输类型为中断传输。所有传输的事务的令牌包均由USB Host发起，即USB一切事务（Setup事务、IN事务、OUT事务）都是USB Host操纵的。

由于HID设备为输入设备，非控制数据的流向只可能是HID设备流向主机的方向。为了解决在被防护设备内无法安装审计软件的情况下，无法对键盘、鼠标通信协议及操作行为进行记录和审计的问题，本发明的协议分析模块实时监测外部设备与被保护设备之间的数据传输，监测中断传输运行USB IN事务，并严格审查USB OUT事务（即允许作为USB设备的外部设备到被保护设备的数据传输，严格审查被保护设备到外部设备的数据传输）。当根据预定的规则判断USB IN 事务的数据存在风险时，中断外部设备与被保护设备之间的数据传输。同时，当监测到USB OUT事务的数据时，也中断外部设备与被保护设备之间的数据传输。

当判断外部设备为HID键盘时，本发明的协议分析模块还对该HID键盘的输入数据进行监控和记录，并且当输入数据包含预定黑名单中的数据时，所述协议分析模块指示转发控制模块控制所述HID对内接口与HID对外接口断开。黑名单中的数据例如是对计算机有害的操作指令，例如连接网络、传送数据或执行特定程序等指令。

为了解决在被防护设备内无法安装审计软件的情况下，无法对键盘、鼠标通信协议及操作行为进行记录和审计的问题，根据本发明的一种优选的实施方式，外接式防护设备还具有录屏和视频监控的功能。此功能是为了防止不法人员利用合法的HID键鼠设备进行非法操作。也即，当合法的外部的HID键鼠设备通过本发明的外接式防护设备连接到被保护设备之后，人员的鼠标、键盘等操作（删除数据、格式化存储器复制文件等）也可能造成系统严重风险。

为此，一方面，本发明的外接式防护设备还可包括视频接口，视频接口包括视频对内接口和视频对外接口。视频对内接口连接被保护设备的视频输出接口，视频对外接口则连接视频设备。由此，本发明可以获取被保护设备输出的视频输出数据，并通过视频外接设备进行显示。视频接口例如是VGA接品、HDMI接口等，视频设备可以是独立的指显示器，但也可以是集成于外接式防护设备的显示屏。由此，用户可以通过视频设备来监控用户对被保护设备的操作。

另一方面，本发明的外接式防护设备还可包括录屏模块，其连接所述视频对内接口，用于记录所述被保护设备输出的视频数据。录屏模块实质上是一个视频存储模块，其可以将屏幕显示的图像作为视频进行存储，在存储时可以选择性地进行压缩，并以预定的视频格式保存。所保存的视频数据既可以作为备份数据以供后续分析需要时进行调取，也可以定时地发送到相应的控制中心进行日常的分析。

作为优选的实施方式，为了节约视频存储的空间，所述录屏模块连接至所述协议分析模块，并接收所述协议分析模块的控制。由此当所述协议分析模块判断所述外接设备执行了特定操作时，控制所述录屏模块进行视频数据的记录操作。通常，协议分析模块可以控制录屏模块只有当鼠标、键盘或其他HID键鼠设备处于活动时才进行所述记录操作。

作为更一步优选的实施方式，本发明的外接式防护设备还具有实时的图像分析模块，以便实时地检测到合法的HID键鼠设备进行的非法操作。具体来说，本发明的外接式防护设备包括图像处理模块，其分别连接所述录屏模块和协议分析模块，用于从所述录屏模块获取实时的视频数据并对该视频数据进行实时分析，并且，当分析结果表示视频数据存在异常时，通知所述协议分析模块，以便所述协议分析模块控制所述HID对内接口与HID对外接口断开。

一种实时分析的方式为：对所述视频数据进行帧图像的提取，并对的取的帧图像进行OCR识别，当所述OCR识别结果包含预定黑名单文字时，产生表示视频数据存在异常的分析结果。例如，OCR识别窗口的文字中包含“删除”、“复制”或某个软件的名称等，则判断有视频数据存在异常。另一种实时分析的方式为：对所述视频数据进行帧图像的提取，并计算帧图像的图像特征并与预定图像的图像特征进行比较，当所述帧图像的图像特征与预定图像的图像特征的相似度高于阈值时，产生表示视频数据存在异常的分析结果。预定图像例如是对电脑进地破坏时出现的典型界面，例如关机界面、重启界面、命令行界面等。

以下通过具体实施例来进行一步说明本发明。应当理解，具体实施例只是实施本发明的一些具体的实例，其作用主要在于示例性地解释本发明可能的实施方式，但其不表示本发明只能以具体实施例的方式进行实施，更不应以具体实施例的方案直接作为本发明所要求保护的范围。

图1是本发明的用于HID键鼠设备防护的外接式防护设备的第一实施例的结构示意图。如图1所示，外接式防护设备1具有第一HID对内接口101和第二HID对内接口102，其分别与被保护设备的第一HID输入接口201和第二HID输入接口202连接。，外接式防护设备1还具有第一HID对外接口111和第二HID对外接口112。第一HID对外接口111和第二HID对外接口112分别用于连接外部设备，在此，作为示例，其分别连接有USB接口的鼠标1和USB接口的键盘4。除此之外，外接式防护设备1具有一个协议分析模块12和一个转发控制模块13，在该实施例中均实现为具有信息处理能力的硬件模块。具体的，协议分析模块可以由可编程器件构成，转发控制模块则包含受控的电子开关。

但是，本领域技术人员可以理解，协议分析模块12和转发控制模块13可以合并在一个硬件中，或者，二者由具有通用处理能力的处理器执行的软件模块来实现。

如图1所示，转发控制模块13分别连接所述第一HID对内接口、第二HID对内接口，以及第一HID对外接口和第二HID对外接口，以分别控制第一HID对内接口与第一HID对外接口的连通或断开，以及控制第二HID对内接口与第二HID对外接口的连通或断开；协议分析模块12则连接至该转发控制模块13的接入端和控制端（图中仅以一条线表示连接关系，并不表示此处仅有一条连接线），协议分析模块12从接入端读取第一HID对外接口和第二HID对外接口的信息，并通过向控制端发送指领来控制转发控制模块13内部的相应电子开关的操作。协议分析模块12根据第一HID对外接口111和第二HID对外接口112提供的信息对连接至两个HID对外接口的外接设备（图中指鼠标3和键盘4）进行协议分析以判断该外接设备是否是合法的HID键鼠设备。

转发控制模块13根据协议分析模块12从控制端输入的指令（代表判断结果）来控制所述各HID对内接口与HID对外接口的连通或断开，以防止非法的HID键鼠设备连通所述被保护设备。这里，由于协议分析模块连接到转发控制模块的输入端，因此转发控制模块13一旦检测HID对外接口连接了外部设备，协议分析模块12就能实时地进行协议分析以判断该外部设备的合法性，并根据该判断结果来决定是否连通所述HID对内接口与HID对外接口，这样，虚假的或非法的HID键鼠设备就无法连接到对内接口，从而从根本上防止了不法人员通过伪装或伪造HID键鼠设备的方式非法访问被保护设备。

协议分析模块12判断外部设备是否是合法的HID键鼠设备时，执行的操作如下：

在外部设备插入HID对外接口时，转发控制模块13启动设备枚举。通过在设备枚举过程中的USB协议分析，协议分析模块12可从协议数据中提取USB协议规范中的：供应商ID、产品标识码(PID)及序列号信息、配置数、当前使用的配置标识、配置支持的接口数、接口编号、接口类、接口子类、接口协议等。

根据USB协议规范，HID设备的类型定义放置在接口描述符中。协议分析模块12首先检查设备描述符中：bDeviceClass, bDeviceSubClass, bDeviceProtocol值，只有三个值均为0，该USB设备才符合HID类设备要求。

协议分析模块12还将提取接口描述符中相关内容，并依据以下内容进行检查：

接口描述符中：bInterfaceClass 的值必须是 0x03, bInterfaceSubClass 的值为 0 或 1，为1表示HID设备是一个开机启动设备（Boot Device，一般对PC机有意义，意思是BIOS启动时能识别您使用的HID设备，且只有标准鼠标或者键盘才能称为Boot Device），为0表示HID设备是操作系统启动后才能识别使用的设备。bInterfaceProtocol 的取值含义：1为 Keyboard（键盘），2为Mouse（鼠标）。

此外，当协议分析模块判断外部设备为HID键盘时，其接下来还对该HID键盘的输入数据进行监控和记录，并且当输入数据包含预定黑名单中的数据时，所述协议分析模块指示转发控制模块控制所述HID对内接口与HID对外接口断开。黑名单中的数据例如是对计算机有害的操作指令，例如连接网络、传送数据或执行特定程序等指令。

图2是本发明的用于HID键鼠设备防护的外接式防护设备的第二实施例的结构示意图。如图2所示，与第一实施例不同的是，该第二实施例的外接式防护设备1还包括视频对内接口103、视频对外接口113和录屏模块14。视频对内接口103连接被保护设备的视频输出接口203，视频对外接口113则连接显示器5。该实施例的视频接口是VGA接口，但本在其实施例中其也可以由HDMI接口等代替。此外，在其他实施例中，显示器5也可以是集成于外接式防护设备1的显示屏。用户可以通过显示器5来监控用户对被保护设备的操作。

如图2所示，录屏模块14连接所述视频对内接口103，用于记录所述被保护设备输出的视频数据。录屏模块14可以由一个具有大容量存储功能的存储控制器组成，其可以将屏幕显示的图像作为视频进行存储。并且，优选地，其在存储时可以选择性地进行压缩，并以预定的视频格式保存。

更进一步的，在该第二实施例中，为了节约视频存储的空间，所述录屏模块14的控制端连接至所述协议分析模块12，以接收所述协议分析模块的控制。当所述协议分析模块12判断所述外接设备执行了鼠标、键盘等操作时才进行所述记录操作。在其他实施例中，也可以设置其他的记录启动或停止的条件。

图3是本发明的第三实施例的用于HID键鼠设备防护的外接式防护设备的结构示意图。该实施例是在第二实施例的基础上的进一步改进。如图3所示，该第三实施例的外接式防护设备还包括有图像分析模块15，以便实时地检测到合法的HID键鼠设备进行的非法操作。图像分析模块15分别连接所述录屏模块14和协议分析模块12，用于从所述录屏模块获取实时的视频数据并对该视频数据进行实时分析，并且，当分析结果表示视频数据存在异常时，通知所述协议分析模块，以便所述协议分析模块控制所述HID对内接口与HID对外接口断开。在该实施例中，图像分析模块15由一个独立的硬件模块实现，但在其他实施例中，其也可以集成在协议分析模块12中，或者，图像分析模块15和协议分析模块12在一个主控模块中集成。此外，与其他模块一样，图像分析模块15也可以是软件实现，即软件模块，其可以由外接式防护设备内部任何具有信息处理能力的硬件进行执行。

如前所述，图像分析模块15可以执行多种不同方式的图像分析，由于其连接到录屏模块，因此其可以实时地获取录屏模块获取并记录的被保护设备的界面图像并执行实时的分析。本发明不限于具体的分析方法，并且优选为支持更新或升级图像分析方法。作为例子，一种实时分析的方式为：对所述视频数据进行帧图像的提取，并对的取的帧图像进行OCR识别，当所述OCR识别结果包含预定黑名单文字时，产生表示视频数据存在异常的分析结果。例如，OCR识别窗口的文字中包含“删除”、“复制”或某个软件的名称等，则判断有视频数据存在异常。另一种实时分析的方式为：对所述视频数据进行帧图像的提取，并计算帧图像的图像特征并与预定图像的图像特征进行比较，当所述帧图像的图像特征与预定图像的图像特征的相似度高于阈值时，产生表示视频数据存在异常的分析结果。预定图像例如是对电脑进地破坏时出现的典型界面，例如关机界面、重启界面、命令行界面等。

通过以上实施例可知，由于本发明具有协议分析模块控制的转发控制模块，因此非法的HID键鼠设备无法连接到被保护设备，解决了无法有效防止非法设备伪装成键盘、鼠标对系统进行破坏的问题，提高了系统对于非法HID键鼠设备的防护。本发明还通过实时的录屏模块来实时的备份和监控HID键鼠设备的操作。更进一步的来说，本发明还能通过图像分析模块的实时分析来防止合法HID键鼠设备的非法操作，进一步提高HID键鼠设备接入的安全性。以上的手段解决了在被防护设备内无法安装审计软件的情况下，无法对键盘、鼠标通信协议及操作行为进行记录和审计的问题。

图4是本发明的用于HID键鼠设备防护的设备防护方法的实施例的流程图。如图4所示，本发明的方法包括：

S1、提供外接式防护设备以接管被保护设备的HID输入接口。

本发明的方法的目的之一是旨在对被保护设备进行防护，以防止非法设备伪装成键盘、鼠标对系统进行破坏。如前所述，外接式防护设备（External Protective Device, EPD）是外接于被保护设备的一种实体设备，通过对被保护设备（Protected Device, PD）的特定接口进行接管，确保需要访问被保护设备的外接设备必须通过与该外接式防护设备连接才能接入，从而无需在被保护设备上安装安全防护软件即可达到对被保护设备进行防护的目的。通常，被保护设备的HID输入接口一般是USB接口，因此本发明的HID对内接口和HID对外接口通常也是符合USB协议的接口。但是本发明的HID对内接口和HID对外接口也不排除符合其他标准的协议的接口类型。

S2、对连接至所述外接式防护设备的外部设备进行协议分析以判断该外接设备是否是合法的HID键鼠设备。

具体来说，在外部设备插入外接式防护设备时，外接式防护设备启动设备枚举。通过在设备枚举过程中的USB协议分析，外接式防护设备可从协议数据中提取USB协议规范中的：供应商ID、产品标识码(PID)及序列号信息、配置数、当前使用的配置标识、配置支持的接口数、接口编号、接口类、接口子类、接口协议等。

外接式防护设备还将提取接口描述符中相关内容，并依据以下内容进行检查：

S3、根据判断的结果来控制所述外部设备与被保护设备的连通或断开，以防止非法的HID键鼠设备连通所述被保护设备。

具体的，当所述外接设备经协议分析后判断为非法HID键鼠设备或非HID键鼠设备时，控制外部设备与被保护设备断开；当所述外接设备经协议分析后判断为合法的HID键鼠设备时，控制外部设备与被保护设备连通。

根据USB协议规范，HID设备的类型定义放置在接口描述符中。根据本发明，外接式防护设备根据接口描述符的信息对外部设备的类型进行判断，当判断所述外部设备不是HID设备，也不是USB复合设备（具有HID及其他USB特性设备，例如USB存储+HID类设备）时，阻止该外部设备接入。

根据本发明的优选实施例，本发明的方法还可以包括步骤S4：实时监测外部设备与被保护设备之间的数据传输，当监测到USB IN事务存在风险时，或者USB OUT事务的数据存在时，中断被保护设备到外部设备的数据传输。

本发明还旨在解决在被防护设备内无法安装审计软件的情况下，无法对键盘、鼠标通信协议及操作行为进行记录和审计的问题。通过该步骤，

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，应理解的是，本发明不与任何特定计算机、虚拟装置或者电子设备固有相关，各种通用装置也可以实现本发明。以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种用于HID键鼠设备防护的外接式防护设备，包括：

HID对内接口，用于连接被保护设备的HID输入接口；

HID对外接口，用于连接外接设备；

转发控制模块，分别连接所述HID对内接口与HID对外接口；以及

协议分析模块，用于对连接至所述HID对外接口的外接设备进行协议分析以判断该外接设备是否是合法的HID键鼠设备；

其中，所述转发控制模块根据协议分析模块提供的判断结果来控制所述HID对内接口与HID对外接口的连通或断开，以防止非法的HID键鼠设备连通所述被保护设备。
如权利要求1所述的用于HID键鼠设备防护的外接式防护设备，其中，所述根据协议分析模块提供的判断结果来控制所述HID对内接口与HID对外接口的连通或断开包括：

当所述外接设备经协议分析后判断为非法HID键鼠设备或非HID键鼠设备时，控制所述HID对内接口与HID对外接口断开；

当所述外接设备经协议分析后判断为合法的HID键鼠设备时，控制所述HID对内接口与HID对外接口连通。
如权利要求1所述的用于HID键鼠设备防护的外接式防护设备，其中，

当所述外部设备为HID键盘时，所述协议分析模块还用于对该HID键盘的输入数据进行监控和记录；

当所述输入数据包含预定黑名单中的数据时，所述协议分析模块指示转发控制模块控制所述HID对内接口与HID对外接口断开。
如权利要求1至3中任一项所述的用于HID键鼠设备防护的外接式防护设备，还包括：

视频对内接口，用于连接被保护设备的视频输出接口；

视频对外接口，用于连接视频设备；

录屏模块，连接所述视频对内接口，用于记录所述被保护设备输出的视频数据。
如权利要求4所述的用于HID键鼠设备防护的外接式防护设备，其中，

所述录屏模块连接至所述协议分析模块，并接收所述协议分析模块的控制；

当所述协议分析模块判断所述外接设备执行了特定操作时，控制所述录屏模块进行视频数据的记录操作。
如权利要求4所述的用于HID键鼠设备防护的外接式防护设备，还包括：

图像处理模模块，分别连接所述录屏模块和协议分析模块，用于从所述录屏模块获取实时的视频数据并对该视频数据进行实时分析，并且，当分析结果表示视频数据存在异常时，通知所述协议分析模块，以便所述协议分析模块控制所述HID对内接口与HID对外接口断开。
如权利要求6所述的用于HID键鼠设备防护的外接式防护设备，其中，所述实时分析包括：

对所述视频数据进行帧图像的提取，并对的取得的帧图像进行识别，当所述识别结果包含预定黑名单操作时，产生表示视频数据存在异常的分析结果。
如权利要求6所述的用于HID键鼠设备防护的外接式防护设备，其中，所述实时分析包括：

对所述视频数据进行帧图像的提取，并计算帧图像的图像特征并与预定图像的图像特征进行比较，当所述帧图像的图像特征与预定图像的图像特征的相似度高于阈值时，产生表示视频数据存在异常的分析结果。
一种用于HID键鼠设备防护的设备防护方法，包括以下步骤：

提供外接式防护设备以接管被保护设备的HID输入接口；

对连接至所述外接式防护设备的外部设备进行协议分析以判断该外接设备是否是合法的HID键鼠设备；

根据判断的结果来控制所述外部设备与被保护设备的连通或断开，以防止非法的HID键鼠设备连通所述被保护设备。
如权利要求9所述的用于HID键鼠设备防护的设备防护方法，其中，所述根据判断的结果来控制所述外部设备与被保护设备的连通或断开包括：

当所述外接设备经协议分析后判断为非法HID键鼠设备或非HID键鼠设备时，控制外部设备与被保护设备断开；

当所述外接设备经协议分析后判断为合法的HID键鼠设备时，控制外部设备与被保护设备连通。
如权利要求9所述的用于HID键鼠设备防护的设备防护方法，其中，当所述外部设备为HID键盘时，所述方法还包括：

对该HID键盘的输入数据进行监控和记录；

当所述输入数据包含预定黑名单中的数据时，控制所述外部设备与被保护设备断开。
如权利要求9所述的用于HID键鼠设备防护的设备防护方法，还包括：

实时监测外部设备与被保护设备之间的数据传输，当监测到USB IN事务存在风险时，或者USB OUT事务的数据存在时，中断被保护设备到外部设备的数据传输。