[发明专利]一种ATM安全防御检测系统及方法

权利要求书

1.一种ATM安全防御检测系统，其特征在于，包括：客户端模块、云查杀模块、日志上传模块；所述云查杀模块部署在服务器，客户端模块和日志上传模块部署在ATM终端；

其中：

客户端模块用于获取外接设备内存文件的特征信息，并将特征信息上传给云查杀模块，并根据云查杀模块下发的操作指令对外接设备进行拦截或放行处理；

云查杀模块用于对特征信息进行云查杀，判断外接设备是否存在恶意，并根据判断结果向客户端模块下发拦截或放行的操作指令；

日志上传模块用于向服务器上报客户端模块对外接设备的处理日志。

2.如权利要求1所述的系统，其特征在于，所述云查杀模块还用于：根据客户端模块上报的外接设备内存文件的特征信息，判断外接设备是否存在可执行文件，若存在则获取完整可执行文件，并在虚拟环境中运行，实时监控运行状态，判断是否存在敏感行为，若是则视为对应外接设备存在恶意，否则视为外接设备安全；其中，所述敏感行为包括：更改设备权限、修改系统文件。

3.如权利要求1或2所述的系统，其特征在于，所述客户端模块还用于：针对拦截的外接设备，获取其包含的恶意数据，并上报给服务器进行深度分析，同时将恶意数据从外接设备中删除。

4.如权利要求1所述的系统，其特征在于，所述客户端模块还用于：针对被放行的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

5.如权利要求1或2或4所述的系统，其特征在于，所述云查杀模块还用于：统计被拦截的外接设备的设备信息，并向全网下发禁止其使用的操作指令。

6.一种ATM安全防御检测方法，其特征在于，包括：

当有可接入ATM终端的外接设备连接ATM终端时，获取外接设备内存文件的特征信息；

对所述特征信息进行云查杀；

根据云查杀结果判断外接设备是否存在恶意；

根据判断结果对外接设备进行拦截或放行处理；

上报处理日志。

7.如权利要求6所述的方法，其特征在于，还包括：在所述进行云查杀的过程中，判断外接设备是否存在可执行文件，若存在则获取完整可执行文件，并在虚拟环境中运行，实时监控运行状态，判断是否存在敏感行为，若是则视为对应外接设备存在恶意，否则视为外接设备安全；其中，所述敏感行为包括：更改设备权限、修改系统文件。

8.如权利要求6或7所述的方法，其特征在于，还包括：针对拦截的外接设备，获取并上传其包含的恶意数据进行深度分析，并将恶意数据从外接设备中删除。

9.如权利要求6所述的方法，其特征在于，还包括：针对被放行的外接设备，实时监控其使用状态，判断是否存在敏感行为，若是则对外接设备进行拦截，否则视为外接设备安全；其中，所述敏感行为包括：写入操作、拷贝操作、联网操作。

10.如权利要求6或7或9所述的方法，其特征在于，针对被拦截的外接设备，将全网禁止其使用。