亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于usb通信數(shù)據(jù)進行惡意設備檢測的方法及裝置的制造方法

文檔序號:9727664閱讀:314來源:國知局
基于usb通信數(shù)據(jù)進行惡意設備檢測的方法及裝置的制造方法
【技術(shù)領域】
[0001]本發(fā)明涉及信息安全技術(shù)領域,尤其涉及一種基于USB通信數(shù)據(jù)進行惡意設備檢測的方法及裝置。
【背景技術(shù)】
[0002]USB總線是一種計算機與外設之間互聯(lián)的標準接口,外設、計算機以及越來越多的嵌入式設備都支持通過USB通信。在實際應用中,主機和外設都不可避免地與陌生的設備連接并通信,這就使得主機可能面臨惡意USB設備的攻擊,同時USB設備也可能被惡意主機通過非法操作而被篡改,引起信息安全隱患。
[0003]隨著USB總線和USB接口設備的應用普及,在日常應用中,主機和設備都面臨著惡意互聯(lián)對象發(fā)起的信息安全攻擊。目前針對USB外設發(fā)起對主機的攻擊或者是主機對USB外設發(fā)起攻擊都沒有一個很好的解決辦法,其根本原因是無法區(qū)分USB外設的惡意行為,因此安全防護需要針對USB外設惡意行為的檢測能力,從而防止USB設備攻擊主機,或者主機惡意修改USB設備。

【發(fā)明內(nèi)容】

[0004]傳統(tǒng)的審計或者防御系統(tǒng)基本是通過USB設備的PID/VID (Product ID/VenderID),或者設備類型等USB基本信息來區(qū)分和識別USB種類,以及對其進行是否可疑的鑒定。然而隨著技術(shù)發(fā)展,USB設備的基本信息可以偽造,使得傳統(tǒng)的識別方法效果不明顯。
[0005]通過對已知攻擊的分析后發(fā)現(xiàn),USB設備對主機設備進行攻擊往往都會在內(nèi)部執(zhí)行特殊的指令,返回特殊的數(shù)據(jù)。因為攻擊者需要保證USB設備原本的功能都能夠繼續(xù)有效,因此,就不能占用標準指令,可能會使用一些非標準指令來完成攻擊。基于此,本發(fā)明提供了基于USB通信數(shù)據(jù)進行惡意設備檢測的方法及裝置,通過獲取主機設備和USB設備間的通信數(shù)據(jù),將認為屬于異常通信行為的規(guī)則存儲到惡意行為規(guī)則庫中,解析通信數(shù)據(jù)后,判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為,從而,能夠有效識別和防御偽造的惡意設備。
[0006]本發(fā)明采用如下方法來實現(xiàn):一種基于USB通信數(shù)據(jù)進行惡意設備檢測的方法,包括:
獲取主機設備與USB設備間的通信數(shù)據(jù);
解析所述通信數(shù)據(jù),判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為;
若存在,則判定所述主機設備和/或USB設備為惡意設備,否則認為不存在惡意設備。
[0007]進一步地,所述異常通信行為,包括:不符合USB設備各層協(xié)議標準的數(shù)據(jù)傳輸行為。
[0008]進一步地,所述異常通信行為,包括:所述主機設備和/或USB設備在工作過程中,前后邏輯不一致的行為。
[0009]進一步地,所述異常通信行為,包括:解析所述通信數(shù)據(jù)獲取涉及到的指令類型,存在所述指令類型與預設指令庫中的類型不相匹配的行為。
[0010]進一步地,所述異常通信行為,包括:一組復雜通信行為的組合。
[0011]本發(fā)明可以采用如下裝置來實現(xiàn):一種基于USB通信數(shù)據(jù)進行惡意設備檢測的裝置,包括:
兩個雙向USB接口,用于將檢測判定模塊與主機設備和USB設備相串接,并對通信數(shù)據(jù)進行傳輸和監(jiān)測;
檢測判定模塊,用于解析所述通信數(shù)據(jù),判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為,若存在,則判定所述主機設備和/或USB設備為惡意設備,否則認為不存在惡意設備;
惡意行為規(guī)則庫,用于存儲定義的異常通信行為。
[0012]進一步地,所述雙向USB接口為利用USB物理層接口芯片實現(xiàn)。
[0013]進一步地,還包括報警模塊,用于當檢測判定模塊發(fā)現(xiàn)存在惡意設備時,發(fā)出報警信號。
[0014]進一步地,所述發(fā)出報警信號包括:指示燈閃爍、液晶屏顯示或者通過網(wǎng)絡、USB或者RS232接口向上位機發(fā)送報警輸出。
[0015]進一步地,當檢測判定模塊發(fā)現(xiàn)存在惡意設備時,則阻斷惡意設備的通信行為。
[0016]綜上,本發(fā)明給出一種基于USB通信數(shù)據(jù)進行惡意設備檢測的方法及裝置,預先在惡意行為規(guī)則庫中定義各種異常通信行為的規(guī)則,該惡意行為規(guī)則庫中的規(guī)則可以根據(jù)用戶需要進行增刪。當所述裝置捕獲到主機設備和USB設備間的通信數(shù)據(jù)后,則解析后與惡意規(guī)則庫中的規(guī)則進行匹配,若匹配成功,則認為存在惡意設備。
[0017]有益效果為:通過獲取主機設備和USB設備之間的通信數(shù)據(jù),對通信數(shù)據(jù)本身進行解析,并判斷是否存在預先定義的各種類型的異常通信行為。所述檢測過程不依賴與設備信息本身,從而能夠更加有效和準確的識別惡意行為和惡意設備,必要時進行及時的阻斷和報警;同時,本發(fā)明所述的方法及裝置,不僅可以有效識別惡意USB設備,也可以有效識別惡意主機設備。
【附圖說明】
[0018]為了更清楚地說明本發(fā)明的技術(shù)方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例,對于本領域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0019]圖1為本發(fā)明提供的一種基于USB通信數(shù)據(jù)進行惡意設備檢測的方法實施例流程圖;
圖2為本發(fā)明提供的一種基于USB通信數(shù)據(jù)進行惡意設備檢測的裝置實施例結(jié)構(gòu)圖。
【具體實施方式】
[0020]本發(fā)明給出了一種基于USB通信數(shù)據(jù)進行惡意設備檢測的方法及裝置實施例,為了使本技術(shù)領域的人員更好地理解本發(fā)明實施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明:
本發(fā)明首先提供了一種基于USB通信數(shù)據(jù)進行惡意設備檢測的方法實施例,如圖1所示,包括:
S101獲取主機設備與USB設備間的通信數(shù)據(jù);
S102解析所述通信數(shù)據(jù),判斷是否存在惡意行為規(guī)則庫中定義的異常通信行為;若存在,則判定所述主機設備和/或USB設備為惡意設備,否則認為不存在惡意設備。
[0021]優(yōu)選地,所述異常通信行為,包括:不符合USB設備各層協(xié)議標準的數(shù)據(jù)傳輸行為。
[0022]例如:枚舉階段的描述符長度不符合USB標準等類似數(shù)據(jù)傳輸行為。
[0023]優(yōu)選地,所述異常通信行為,包括:所述主機設備和/或USB設備在工作過程中,前后邏輯不一致的行為。
[0024]例如:后續(xù)通信過程中通信數(shù)據(jù)包超出枚舉階段端點通信長度屬性等類似前后邏輯不一致的行為。
[0025]優(yōu)選地
當前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1