一種防護惡意usb設備的系統及方法
【技術領域】
[0001]本發明涉及移動設備安全技術領域，尤其涉及一種防護惡意USB設備的系統及方法。
【背景技術】
[0002]目前高級持續威脅APT引起了信息安全領域極大的重視，其帶來的危害也正在逐步的顯現出來，由于APT自身的一些特征，導致傳統的防御方式無法有效對其進行防御。在一些案例中發現，APT中很多定向攻擊是借助一些定制的，包含惡意程序的，并且可以應用系統漏洞執行惡意代碼的硬件設備，比如說BadUsb等。這些設備外觀與普通USB存儲設備無異，在使用中不容易被發現，配合社會工程學對目標發動滲透攻擊時極容易得手。所以如何防御此類攻擊，對系統安全有極大的意義。
[0003]針對定制構造的惡意USB設備，傳統的惡意程序防護系統存在以下問題:
1.設備一般為USB接口設備，會遵循USB協議，傳統防護系統無法判斷其是否為惡意設備;
2.攻擊載荷存儲在隱藏區域，系統不加載此存儲空間，傳統防護系統無法識別檢測隱藏區域；
3.在一些情況下，惡意設備可重新加載驅動，變更為其他類型設備，躲避檢測；
4.通過變更為鼠標鍵盤類設備，模擬用戶調用鍵盤，調用命令行執行shell，此行為傳統防護系統不檢測；
5.使用ODaty漏洞，釋放并執行惡意載荷，傳統防護系統很難對其檢測。

【發明內容】

[0004]針對現有USB設備安全防護技術中存在的不足，本發明提出一種防護惡意USB設備的系統及方法，由客戶端防護中心與外設指定監控設備共同實現，防護中心首先獲取并分析接入客戶端的USB設備，檢測出指定監控設備接入時，下發指定驅動程序到指定監控設備，指定監控設備安裝驅動后與客戶端進行初始化驗證，完成指定監控設備初始化，同時防護中心將檢測規則與檢測策略下發給指定監控設備；防護系統使用時，將USB設備設備接入指定監控設備，指定監控設備內置操作系統，用于對USB設備進行加載和加載過程的行為檢測，提取加載過程中不存在惡意行為的USB設備的設備信息，利用檢測規則庫對其進行檢測，并將檢測結果與設備信息發送給防護中心，防護中心再對設備的安全性進行最終檢測，最后將檢測結果發送給指定監控設備，由指定監控設備執行放行或者彈出操作。
[0005]具體
【發明內容】
包括:
一種防護惡意USB設備的系統，包括指定監控設備和防護中心，其中指定監控設備包括初步檢測模塊、匹配上傳模塊、任務處理模塊，防護中心包括安全檢測模塊、命令發放模塊，具體為:
初步檢測模塊，用于在指定監控設備接入客戶端后，當有USB設備接入指定監控設備時，對USB設備進行加載，并檢測加載過程中是否存在惡意行為，若不存在惡意行為，則采集USB設備信息，否則彈出USB設備；
匹配上傳模塊，用于根據檢測規則庫對USB設備信息進行匹配檢測，并將匹配檢測結果以及USB設備信息上傳至防護中心的安全檢測模塊；
安全檢測模塊，用于根據接收到的匹配檢測結果以及USB設備信息，對USB設備進行檢測，判斷USB設備是否為惡意設備；
命令發放模塊，用于根據安全檢測模塊的檢測結果向指定監控設備的任務處理模塊發送命令，具體為:若檢測結果為USB設備不是惡意設備，則發送設備放行命令，否則發送禁止接入命令；
任務處理模塊，用于獲取并解析防護中心的命令發放模塊發送的命令，對USB設備進行放行或者彈出操作。
[0006]進一步地，所述防護中心還包括識別驅動模塊，用于識別和驅動指定監控設備，具體為:當有移動設備接入客戶端時，識別驅動模塊獲取移動設備信息，判斷連接的移動設備是否為指定監控設備；以及，若是指定監控設備，則進一步判斷指定監控設備是否安裝了指定驅動程序，若是，則等待USB設備的接入，否則識別驅動模塊為指定監控設備安裝指定驅動程序；若不是指定監控設備，則等待新的移動設備接入。
[0007]進一步地，所述防護中心還包括策略發放模塊，用于將檢測規則庫以及USB設備檢測與監控策略發送給指定監控設備的匹配上傳模塊。
[0008]進一步地，還包括日志上傳管理模塊，所述指定監控設備還包括初步檢測日志生成模塊、設備使用日志生成模塊，所述防護中心還包括安全檢測日志生成模塊，具體為:
初步檢測日志生成模塊，用于記錄初步檢測模塊的檢測結果，以及是否彈出USB設備信息，形成初步檢測日志；
安全檢測日志生成模塊，用于記錄安全檢測模塊的檢測結果，以及命令發放模塊發送的命令信息，形成安全檢測日志；
設備使用日志生成模塊，用于監控并記錄放行的USB設備使用信息，形成設備使用日志；
日志上傳管理模塊，用于將所述初步檢測日志、安全檢測日志、設備使用日志，上傳至服務器。
[0009]進一步地，所述USB設備信息包括:設備類型、設備序列號、設備名稱、設備內存、內存數據信息。
[0010]進一步地，所述移動設備信息包括:設備類型、設備序列號、設備名稱。
[0011]進一步地，所述USB設備使用信息包括:文件創建信息、文件拷貝信息、文件刪除信息、文件重命名信息、文件讀寫信息、文件移動信息。
[0012]一種防護惡意USB設備的方法，包括:
將用于監控和檢測USB設備的指定監控設備接入客戶端；
當有USB設備接入指定監控設備時，指定監控設備對USB設備進行加載，并檢測加載過程中是否存在惡意行為，若不存在惡意行為，則采集USB設備信息，否則彈出USB設備；指定監控設備根據檢測規則庫對USB設備信息進行匹配檢測，并將匹配檢測結果以及USB設備信息上傳至防護中心； 防護中心根據接收到的匹配檢測結果以及USB設備信息，對USB設備進行檢測，判斷USB設備是否為惡意設備，若不是，則向指定監控設備發放設備放行命令，否則向指定監控設備發送禁止接入命令；
指定監控設備獲取并解析防護中心發送的命令，對USB設備進行放行或者彈出操作。
[0013]進一步地，所述防護中心還用于識別和驅動指定監控設備，具體為:當有移動設備接入客戶端時，防護中心獲取移動設備信息，判斷連接的移動設備是否為指定監控設備；以及，若是指定監控設備，則進一步判斷指定監控設備是否安裝了指定驅動程序，若是，則等待USB設備的接入，否則防護中心為指定監控設備安裝指定驅動程序；若不是指定監控設備，則等待新的移動設備接入。
[0014]進一步地，所述防護中心還用于，將檢測規則庫以及USB設備檢測與監控策略發送給指定監控設備。
[0015]進一步地，還包括:
當指定監控設備對USB設備進行加載，并檢測加載過程中是否存在惡意行為時，記錄檢測結果，以及是否彈出USB設備信息，形成初步檢測日志；
當防護中心根據接收到的匹配檢測結果以及USB設備信息，對USB設備進行檢測時，記錄檢測結果，以及防護中心向指定監控設備發送的命令信息，形成安全檢測日志；
指定監控設備監控并記錄放行的USB設備使用信息，形成設備使用日志；
將所述初步檢測日志、安全檢測日志、設備使用日志，上傳至服務器。
[0016]進一步地，所述USB設備信息包括:設備類型、設備序列號、設備名稱、設備內存、內存數據信息。
[0017]進一步地，所述移動設備信息包括:設備類型、設備序列號、設備名稱。
[0018]進一步地，所述USB設備使用信息包括:文件創建信息、文件拷貝信息、文件刪除信息、文件重命名信息、文件讀寫信息、文件移動信息。
[0019]本發明的