基于usb通信數(shù)據(jù)進行惡意設(shè)備檢測的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域�,尤其涉及一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法及裝置。
【背景技術(shù)】
[0002]USB總線是一種計算機與外設(shè)之間互聯(lián)的標(biāo)準(zhǔn)接口�,外設(shè)、計算機以及越來越多的嵌入式設(shè)備都支持通過USB通信����。在實際應(yīng)用中,主機和外設(shè)都不可避免地與陌生的設(shè)備連接并通信�,這就使得主機可能面臨惡意USB設(shè)備的攻擊,同時USB設(shè)備也可能被惡意主機通過非法操作而被篡改��,引起信息安全隱患���。
[0003]隨著USB總線和USB接口設(shè)備的應(yīng)用普及����,在日常應(yīng)用中�,主機和設(shè)備都面臨著惡意互聯(lián)對象發(fā)起的信息安全攻擊���。目前針對USB外設(shè)發(fā)起對主機的攻擊或者是主機對USB外設(shè)發(fā)起攻擊都沒有一個很好的解決辦法,其根本原因是無法區(qū)分USB外設(shè)的惡意行為�����,因此安全防護需要針對USB外設(shè)惡意行為的檢測能力��,從而防止USB設(shè)備攻擊主機��,或者主機惡意修改USB設(shè)備����。
【發(fā)明內(nèi)容】
[0004]傳統(tǒng)的審計或者防御系統(tǒng)基本是通過USB設(shè)備的PID/VID (Product ID/VenderID)�,或者設(shè)備類型等USB基本信息來區(qū)分和識別USB種類,以及對其進行是否可疑的鑒定�。然而隨著技術(shù)發(fā)展,USB設(shè)備的基本信息可以偽造�,使得傳統(tǒng)的識別方法效果不明顯。
[0005]通過對已知攻擊的分析后發(fā)現(xiàn)�,USB設(shè)備對主機設(shè)備進行攻擊往往都會在內(nèi)部執(zhí)行特殊的指令,返回特殊的數(shù)據(jù)����。因為攻擊者需要保證USB設(shè)備原本的功能都能夠繼續(xù)有效�,因此����,就不能占用標(biāo)準(zhǔn)指令,可能會使用一些非標(biāo)準(zhǔn)指令來完成攻擊���?����;诖?��,本發(fā)明提供了基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法及裝置,通過獲取主機設(shè)備和USB設(shè)備間的通信數(shù)據(jù)���,將認為屬于異常通信行為的規(guī)則存儲到惡意行為規(guī)則庫中��,解析通信數(shù)據(jù)后��,判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為����,從而��,能夠有效識別和防御偽造的惡意設(shè)備。
[0006]本發(fā)明采用如下方法來實現(xiàn):一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法��,包括:
獲取主機設(shè)備與USB設(shè)備間的通信數(shù)據(jù)�;
解析所述通信數(shù)據(jù),判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為�����;
若存在����,則判定所述主機設(shè)備和/或USB設(shè)備為惡意設(shè)備�����,否則認為不存在惡意設(shè)備���。
[0007]進一步地���,所述異常通信行為,包括:不符合USB設(shè)備各層協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)傳輸行為����。
[0008]進一步地��,所述異常通信行為����,包括:所述主機設(shè)備和/或USB設(shè)備在工作過程中�,前后邏輯不一致的行為。
[0009]進一步地���,所述異常通信行為�,包括:解析所述通信數(shù)據(jù)獲取涉及到的指令類型�,存在所述指令類型與預(yù)設(shè)指令庫中的類型不相匹配的行為。
[0010]進一步地����,所述異常通信行為,包括:一組復(fù)雜通信行為的組合��。
[0011]本發(fā)明可以采用如下裝置來實現(xiàn):一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的裝置��,包括:
兩個雙向USB接口��,用于將檢測判定模塊與主機設(shè)備和USB設(shè)備相串接�����,并對通信數(shù)據(jù)進行傳輸和監(jiān)測;
檢測判定模塊����,用于解析所述通信數(shù)據(jù),判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為��,若存在�����,則判定所述主機設(shè)備和/或USB設(shè)備為惡意設(shè)備��,否則認為不存在惡意設(shè)備���;
惡意行為規(guī)則庫,用于存儲定義的異常通信行為���。
[0012]進一步地����,所述雙向USB接口為利用USB物理層接口芯片實現(xiàn)���。
[0013]進一步地����,還包括報警模塊,用于當(dāng)檢測判定模塊發(fā)現(xiàn)存在惡意設(shè)備時����,發(fā)出報警信號。
[0014]進一步地��,所述發(fā)出報警信號包括:指示燈閃爍�����、液晶屏顯示或者通過網(wǎng)絡(luò)��、USB或者RS232接口向上位機發(fā)送報警輸出�。
[0015]進一步地,當(dāng)檢測判定模塊發(fā)現(xiàn)存在惡意設(shè)備時����,則阻斷惡意設(shè)備的通信行為。
[0016]綜上�����,本發(fā)明給出一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法及裝置,預(yù)先在惡意行為規(guī)則庫中定義各種異常通信行為的規(guī)則��,該惡意行為規(guī)則庫中的規(guī)則可以根據(jù)用戶需要進行增刪����。當(dāng)所述裝置捕獲到主機設(shè)備和USB設(shè)備間的通信數(shù)據(jù)后,則解析后與惡意規(guī)則庫中的規(guī)則進行匹配����,若匹配成功,則認為存在惡意設(shè)備���。
[0017]有益效果為:通過獲取主機設(shè)備和USB設(shè)備之間的通信數(shù)據(jù)�����,對通信數(shù)據(jù)本身進行解析��,并判斷是否存在預(yù)先定義的各種類型的異常通信行為。所述檢測過程不依賴與設(shè)備信息本身���,從而能夠更加有效和準(zhǔn)確的識別惡意行為和惡意設(shè)備��,必要時進行及時的阻斷和報警����;同時,本發(fā)明所述的方法及裝置�����,不僅可以有效識別惡意USB設(shè)備���,也可以有效識別惡意主機設(shè)備�。
【附圖說明】
[0018]為了更清楚地說明本發(fā)明的技術(shù)方案�����,下面將對實施例中所需要使用的附圖作簡單地介紹��,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其他的附圖���。
[0019]圖1為本發(fā)明提供的一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法實施例流程圖;
圖2為本發(fā)明提供的一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的裝置實施例結(jié)構(gòu)圖����。
【具體實施方式】
[0020]本發(fā)明給出了一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法及裝置實施例,為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案�,并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂�,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明:
本發(fā)明首先提供了一種基于USB通信數(shù)據(jù)進行惡意設(shè)備檢測的方法實施例,如圖1所示���,包括:
S101獲取主機設(shè)備與USB設(shè)備間的通信數(shù)據(jù)�����;
S102解析所述通信數(shù)據(jù)��,判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為����;若存在�,則判定所述主機設(shè)備和/或USB設(shè)備為惡意設(shè)備,否則認為不存在惡意設(shè)備��。
[0021]優(yōu)選地���,所述異常通信行為���,包括:不符合USB設(shè)備各層協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)傳輸行為。
[0022]例如:枚舉階段的描述符長度不符合USB標(biāo)準(zhǔn)等類似數(shù)據(jù)傳輸行為�。
[0023]優(yōu)選地,所述異常通信行為���,包括:所述主機設(shè)備和/或USB設(shè)備在工作過程中��,前后邏輯不一致的行為��。
[0024]例如:后續(xù)通信過程中通信數(shù)據(jù)包超出枚舉階段端點通信長度屬性等類似前后邏輯不一致的行為����。
[0025]優(yōu)選地