[发明专利]一种恶意USB设备的检测方法及装置

说明书

本发明公开了一种恶意USB设备的检测方法及装置，包括：对主设备的USB端口进行白名单配置，所述白名单包括：允许接入的设备类型和各设备类型允许执行的操作；分析已知存在安全威胁的硬件和固件，并提取特征信息存入黑名单；当监控发现USB设备接入主设备，则识别设备类型并记录其操作行为；将所述设备类型和操作行为与所述白名单匹配，并基于匹配结果进行处置操作；获取所述USB设备的硬件信息，包括：主控芯片信息、固件版本信息或者存储芯片信息；将所述硬件信息与所述黑名单匹配，并基于匹配结果进行处置操作。本发明所述技术方案能够有效识别利用已知硬件漏洞和固件漏洞实现攻击的USB设备。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种恶意USB设备的检测方法及装置。

背景技术

得益于处理器技术、移动存储技术、网络通讯技术的飞速发展，硬件设备开始向着功能多元化、接口标准化的方向迈进。USB作为一个外部总线标准，被最广泛应用于各种设备间的连接和通讯。由于USB总线的标准化及其通用性特点，因此也成为了恶意代码传播主要媒介和恶意攻击的主要手段。

传统利用USB设备进行攻击所采用的方式，普遍为通过感染USB设备的用户存储区域得以实现。如今随着反病毒技术的发展以及应急响应能力的提升，利用传统手段感染用户USB设备存储区域的方式，已不能实现最终的攻击目的。因此，攻击者开发了新的攻击手段，即利用USB设备自身硬件或自身固件的漏洞完成恶意代码的注入。又或者采用自制的特种设备，实现攻击者的目的。例如：通过修改移动存储设备的主控固件来实现攻击，或自制基于“USB RUBBER DUCKY”、“Teensy USB”的USB设备，来实现攻击。第一种攻击方式可能发生在任何一个通用USB设备上，被感染的设备作为一个通用USB设备使用者无法发现，而且传统的病毒扫描机制无法检出隐藏其中的恶意代码，因此极具威胁性。第二种方式虽然是自制的特种设备，自身隐藏能力较弱，但是传统病毒扫描机制同样是无法检出。

发明内容

本发明所述的技术方案通过对合法的USB设备类型和允许的操作进行预配置生成白名单，同时提取已知存在威胁的硬件和固件信息生成黑名单，当监控发现存在USB设备接入主设备时，提取所述USB设备信息与黑白名单匹配，从而给出匹配结果。本发明所述技术方案能够第一时间检出有威胁的USB设备。

本发明采用如下方法来实现：一种恶意USB设备的检测方法，包括：

对主设备的USB端口进行白名单配置，所述白名单包括：允许接入的设备类型和各设备类型允许执行的操作；

分析已知存在安全威胁的硬件和固件，并提取特征信息存入黑名单；

当监控发现USB设备接入主设备，则识别设备类型并记录其操作行为；

将所述设备类型和操作行为与所述白名单匹配，并基于匹配结果进行处置操作；

获取所述USB设备的硬件信息，包括：主控芯片信息、固件版本信息或者存储芯片信息；

将所述硬件信息与所述黑名单匹配，若匹配成功，则阻断USB设备接入主设备，否则，允许USB设备接入主设备。

进一步地，所述将所述设备类型和操作行为与所述白名单匹配，并基于匹配结果进行处置操作，具体为：

将所述设备类型和操作行为与所述白名单匹配，若匹配成功，则允许USB设备接入主设备，否则，阻断USB设备接入主设备。

进一步地，还包括：当所述USB设备的硬件信息与所述设备类型不符；或者，当所述USB设备的设备类型与用户可见的外观不符，则判定所述USB设备为伪装设备。

进一步地，还包括：将所述USB设备的相关信息以可视化形式展示给用户，供用户参考决策；

所述相关信息包括：设备类型、操作行为或者枚举信息切换。