基于usb通信數(shù)據(jù)進行惡意設(shè)備檢測的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域,尤其涉及一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法及裝置。
【背景技術(shù)】
[0002]USB總線是一種計算機與外設(shè)之間互聯(lián)的標(biāo)準(zhǔn)接口,外設(shè)、計算機以及越來越多的嵌入式設(shè)備都支持通過USB通信。在實際應(yīng)用中,主機和外設(shè)都不可避免地與陌生的設(shè)備連接并通信,這就使得主機可能面臨惡意USB設(shè)備的攻擊,同時USB設(shè)備也可能被惡意主機通過非法操作而被篡改,引起信息安全隱患。
[0003]隨著USB總線和USB接口設(shè)備的應(yīng)用普及,在日常應(yīng)用中,主機和設(shè)備都面臨著惡意互聯(lián)對象發(fā)起的信息安全攻擊。目前針對USB外設(shè)發(fā)起對主機的攻擊或者是主機對USB外設(shè)發(fā)起攻擊都沒有一個很好的解決辦法,其根本原因是無法區(qū)分USB外設(shè)的惡意行為,因此安全防護需要針對USB外設(shè)惡意行為的檢測能力,從而防止USB設(shè)備攻擊主機,或者主機惡意修改USB設(shè)備。
【發(fā)明內(nèi)容】
[0004]傳統(tǒng)的審計或者防御系統(tǒng)基本是通過USB設(shè)備的PID/VID (Product ID/VenderID),或者設(shè)備類型等USB基本信息來區(qū)分和識別USB種類,以及對其進行是否可疑的鑒定。然而隨著技術(shù)發(fā)展,USB設(shè)備的基本信息可以偽造,使得傳統(tǒng)的識別方法效果不明顯。
[0005]通過對已知攻擊的分析后發(fā)現(xiàn),USB設(shè)備對主機設(shè)備進行攻擊往往都會在內(nèi)部執(zhí)行特殊的指令,返回特殊的數(shù)據(jù)。因為攻擊者需要保證USB設(shè)備原本的功能都能夠繼續(xù)有效,因此,就不能占用標(biāo)準(zhǔn)指令,可能會使用一些非標(biāo)準(zhǔn)指令來完成攻擊?;诖?,本發(fā)明提供了基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法及裝置,通過獲取主機設(shè)備和USB設(shè)備間的通信數(shù)據(jù),將認為屬于異常通信行為的規(guī)則存儲到惡意行為規(guī)則庫中,解析通信數(shù)據(jù)后,判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為,從而,能夠有效識別和防御偽造的惡意設(shè)備。
[0006]本發(fā)明采用如下方法來實現(xiàn):一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法,包括:
獲取主機設(shè)備與USB設(shè)備間的通信數(shù)據(jù);
解析所述通信數(shù)據(jù),判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為;
若存在,則判定所述主機設(shè)備和/或USB設(shè)備為惡意設(shè)備,否則認為不存在惡意設(shè)備。
[0007]進一步地,所述異常通信行為,包括:不符合USB設(shè)備各層協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)傳輸行為。
[0008]進一步地,所述異常通信行為,包括:所述主機設(shè)備和/或USB設(shè)備在工作過程中,前后邏輯不一致的行為。
[0009]進一步地,所述異常通信行為,包括:解析所述通信數(shù)據(jù)獲取涉及到的指令類型,存在所述指令類型與預(yù)設(shè)指令庫中的類型不相匹配的行為。
[0010]進一步地,所述異常通信行為,包括:一組復(fù)雜通信行為的組合。
[0011]本發(fā)明可以采用如下裝置來實現(xiàn):一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的裝置,包括:
兩個雙向USB接口,用于將檢測判定模塊與主機設(shè)備和USB設(shè)備相串接,并對通信數(shù)據(jù)進行傳輸和監(jiān)測;
檢測判定模塊,用于解析所述通信數(shù)據(jù),判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為,若存在,則判定所述主機設(shè)備和/或USB設(shè)備為惡意設(shè)備,否則認為不存在惡意設(shè)備;
惡意行為規(guī)則庫,用于存儲定義的異常通信行為。
[0012]進一步地,所述雙向USB接口為利用USB物理層接口芯片實現(xiàn)。
[0013]進一步地,還包括報警模塊,用于當(dāng)檢測判定模塊發(fā)現(xiàn)存在惡意設(shè)備時,發(fā)出報警信號。
[0014]進一步地,所述發(fā)出報警信號包括:指示燈閃爍、液晶屏顯示或者通過網(wǎng)絡(luò)、USB或者RS232接口向上位機發(fā)送報警輸出。
[0015]進一步地,當(dāng)檢測判定模塊發(fā)現(xiàn)存在惡意設(shè)備時,則阻斷惡意設(shè)備的通信行為。
[0016]綜上,本發(fā)明給出一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法及裝置,預(yù)先在惡意行為規(guī)則庫中定義各種異常通信行為的規(guī)則,該惡意行為規(guī)則庫中的規(guī)則可以根據(jù)用戶需要進行增刪。當(dāng)所述裝置捕獲到主機設(shè)備和USB設(shè)備間的通信數(shù)據(jù)后,則解析后與惡意規(guī)則庫中的規(guī)則進行匹配,若匹配成功,則認為存在惡意設(shè)備。
[0017]有益效果為:通過獲取主機設(shè)備和USB設(shè)備之間的通信數(shù)據(jù),對通信數(shù)據(jù)本身進行解析,并判斷是否存在預(yù)先定義的各種類型的異常通信行為。所述檢測過程不依賴與設(shè)備信息本身,從而能夠更加有效和準(zhǔn)確的識別惡意行為和惡意設(shè)備,必要時進行及時的阻斷和報警;同時,本發(fā)明所述的方法及裝置,不僅可以有效識別惡意USB設(shè)備,也可以有效識別惡意主機設(shè)備。
【附圖說明】
[0018]為了更清楚地說明本發(fā)明的技術(shù)方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0019]圖1為本發(fā)明提供的一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法實施例流程圖;
圖2為本發(fā)明提供的一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的裝置實施例結(jié)構(gòu)圖。
【具體實施方式】
[0020]本發(fā)明給出了一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法及裝置實施例,為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明:
本發(fā)明首先提供了一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法實施例,如圖1所示,包括:
S101獲取主機設(shè)備與USB設(shè)備間的通信數(shù)據(jù);
S102解析所述通信數(shù)據(jù),判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為;若存在,則判定所述主機設(shè)備和/或USB設(shè)備為惡意設(shè)備,否則認為不存在惡意設(shè)備。
[0021]優(yōu)選地,所述異常通信行為,包括:不符合USB設(shè)備各層協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)傳輸行為。
[0022]例如:枚舉階段的描述符長度不符合USB標(biāo)準(zhǔn)等類似數(shù)據(jù)傳輸行為。
[0023]優(yōu)選地,所述異常通信行為,包括:所述主機設(shè)備和/或USB設(shè)備在工作過程中,前后邏輯不一致的行為。
[0024]例如:后續(xù)通信過程中通信數(shù)據(jù)包超出枚舉階段端點通信長度屬性等類似前后邏輯不一致的行為。
[0025]優(yōu)選地