[发明专利]对计算机硬件固件进行安全检测和防护的方法及装置

权利要求书

1.一种对计算机硬件固件进行安全检测和防护的方法，其特征在于，包括如下步骤：

A)开启对计算机的操作系统的HAL层的监控；

B)过滤所述操作系统对计算机硬件固件的操作请求；

C)判断所述操作请求是否是标准协议命令，如是，执行步骤D)；否则，对所述操作请求进行拦截并报警；

所述步骤C)包括：C1)按照计算机硬件固件的标准文档，将所述操作请求进行解析得到所述操作请求的关键信息；所述关键信息包括请求命令和请求数据；C2)判断所述请求命令是否是高危请求，如是，对所述请求命令进行拦截并报警，所述高危请求包括更新微码请求或读取设备内存请求，所述高危请求具体为与安全相关且与硬件功能无关的请求；否则，执行步骤C3)；C3)判断所述请求数据是否含有高危数据格式或高危数据内容，如是，对所述请求数据进行拦截并报警；否则，执行步骤C4)；C4)基于统计和行为分析，判断所述操作请求是否是危险请求，如是，执行步骤C5)；否则，执行步骤C6)；C5)将所述操作请求发送到计算机；C6)对所述操作请求进行拦截并报警；

D)提取并记录所述操作请求的基本元信息，进入分析模块，执行步骤E)；

E)将所述操作请求发送到对应的计算机硬件固件；

F)过滤从计算机硬件固件收到的数据；

G)判断所述数据的格式与对应的计算机硬件固件的相似度是否大于设定值，如是，对所述数据进行拦截并报警；否则，执行步骤H)；

H)判断所述数据的格式是否符合标准协议返回格式，如是，执行步骤J)；否则，进入分析模块，执行步骤I)；

I)所述分析模块判断所述操作请求是否安全，如是，执行步骤J)；否则，对所述数据进行拦截并报警；

J)将所述数据返回到所述操作系统。

2.根据权利要求1所述的对计算机硬件固件进行安全检测和防护的方法，其特征在于，所述步骤C4)进一步包括：

C41)分析所述请求命令在所述计算机历史中所有请求中的比例；

C42)分析所述请求命令与前N条历史请求命令的关联；所述N为大于0的整数；

C43)分析所述请求命令在云端数据中的比例；

C44)识别出所述操作请求是否为危险请求。

3.一种实现如权利要求1所述的对计算机硬件固件进行安全检测和防护的方法的装置，其特征在于，包括：

监控开启单元：用于开启对计算机的操作系统的HAL层的监控；

操作请求过滤单元：用于过滤所述操作系统对计算机硬件固件的操作请求；

标准协议命令判断单元：用于判断所述操作请求是否是标准协议命令；

所述标准协议命令判断单元包括：操作请求解析模块：用于按照计算机硬件固件的标准文档，将所述操作请求进行解析得到所述操作请求的关键信息；所述关键信息包括请求命令和请求数据；第一高危请求判断模块：用于判断所述请求命令是否是高危请求，所述高危请求包括更新微码请求或读取设备内存请求；高危数据格式判断模块：用于判断所述请求数据是否含有高危数据格式或高危数据内容；第二高危请求判断模块：用于基于统计和行为分析，判断所述操作请求是否是危险请求；操作请求发送模块：用于将所述操作请求发送到计算机；拦截报警模块：对所述操作请求进行拦截并报警；

信息提取单元：用于提取并记录所述操作请求的基本元信息，进入分析模块；

操作请求发送单元：用于将所述操作请求发送到对应的计算机硬件固件；

数据过滤单元：用于过滤从计算机硬件固件收到的数据；

相似度判断单元：用于判断所述数据的格式与对应的计算机硬件固件的相似度是否大于设定值；

标准协议返回格式判断单元：用于判断所述数据的格式是否符合标准协议返回格式；

硬件操作请求判断单元：用于使所述分析模块判断所述操作请求是否安全；

数据返回单元：用于将所述数据返回到所述操作系统。

4.根据权利要求3所述的实现如权利要求1所述的对计算机硬件固件进行安全检测和防护的方法的装置，其特征在于，所述第二高危请求判断模块进一步包括：

请求比例分析模块：用于分析所述请求命令在所述计算机历史中所有请求中的比例；

关联分析模块：用于分析所述请求命令与前N条历史请求命令的关联；所述N为大于0的整数；

运算数据比例分析模块：用于分析所述请求命令在云端数据中的比例；

危险请求识别模块：用于识别出所述操作请求是否为危险请求。