專利名稱:用于識別對自助機器的攻擊的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于識別對至少一個自助機器的攻擊、尤其是對自動柜員機 (Geldautomaten)的攻擊的方法和裝置����。
背景技術(shù):
傳統(tǒng)的自助終端(也簡稱為SB終端)常常被發(fā)現(xiàn)用作自動柜員機或者戶頭結(jié)單打印機����。為了進行操作�,用戶或客戶需要通常對應(yīng)于要由讀卡設(shè)備讀取的磁條卡的銀行卡,在該磁條卡上存儲有包括個人客戶數(shù)據(jù)和賬戶數(shù)據(jù)在內(nèi)的卡數(shù)據(jù)���?���?上г絹碓蕉嗟赜傻谌綄B終端進行操縱���,以便以欺詐的方式獲得卡數(shù)據(jù)���。為此,例如在相應(yīng)的SB終端上盡可能不顯眼地安裝如下特定的偵查裝置(Ausspaehvorrichtung)該偵查裝置基本上包含盡可能直接安置在SB終端的真正導入槽或真正讀卡設(shè)備的真正導入槽之前的小型外來讀卡器��。如果現(xiàn)在客戶將他的銀行卡導入到SB終端的讀卡設(shè)備中�,則該銀行卡的磁道也被該外來讀卡器讀取,由此第三方獲得了卡數(shù)據(jù)�,尤其是獲得了客戶數(shù)據(jù)和賬戶數(shù)據(jù)并且能夠?qū)崿F(xiàn)制造該銀行卡的非法的拷貝。此外���,如果第三方成功偵查出與該銀行相關(guān)的密碼(所謂的 Pin)�����,則該第三方可以利用偽造的銀行卡和所偵查出的密碼毫不費勁地在自助柜員機從相關(guān)的賬戶提取錢款�����。為了獲得所述信息����,例如偽造的鍵盤被安置在真正的鍵盤上,以便這樣獲得鍵盤輸入����。所描述的用于偵查出卡數(shù)據(jù)或客戶信息的欺詐行為在專業(yè)領(lǐng)域中也稱作“竊讀 (Skimming)”或者卡濫用。防止這種行為或者至少使這種行為困難的可能性在于產(chǎn)生適于妨礙位于偵查裝置中的磁卡讀取頭的讀取功能的電磁保護場�����。為此�����,該保護場必須恰好在偵查裝置通常所安裝的位置(即直接在“真的”或真正的讀卡設(shè)備的導入槽之前)被產(chǎn)生或起作用�。此外,保護場必須足夠強����,以便保證偵查裝置的讀取功能被有效地妨礙或阻斷,并且不再可通過竊讀磁條卡來讀取數(shù)據(jù)���。相對應(yīng)的方法在DE 10 2006 049 518 Al中公開�。然而��,并不容易的是將這樣的保護場恰好對準或定位并且也并不容易的是調(diào)整這樣的保護場的場強來使得不會無意地也一同妨礙SB終端的真正的讀卡設(shè)備的讀取功能�。所有公知的方法都帶來如下問題這些方法單獨地經(jīng)常過于靈敏地作出反應(yīng)并且限制SB自動裝置的功能。
發(fā)明內(nèi)容
因而����,本發(fā)明所基于的任務(wù)是提供一種開頭所述類型的用于識別攻擊的改進的保護裝置,所述改進的保護裝置的警告實現(xiàn)更高的命中率����。該任務(wù)通過具有獨立權(quán)利要求的特征的方法和裝置來解決。本發(fā)明的主要目的在于攻擊模式的模型化��,以便以具體的規(guī)則體系(Regelwerk) 的形式寄存模型�,從而接著根據(jù)規(guī)則體系來識別攻擊。在這種情況下��,事實適配器(Fakten-Adapter)被用于連接現(xiàn)有的設(shè)備驅(qū)動器。為此��,已知的威脅和弱點被分類并且被模型化為規(guī)則����。事實適配器在可能的實施形式中通過所選擇的設(shè)備驅(qū)動器和圖像識別機制來實施。此外�,配置以及規(guī)則體系本身應(yīng)通過譬如利用證書進行鎖定的適當機制來保護。為事實適配器提供信息的可能性在于圖像識別系統(tǒng)或圖像預處理系統(tǒng)的適配和 KI (人工智能)部件的集成�。KI部件應(yīng)根據(jù)訓練階段(也被公知為監(jiān)督學習(supervised learning))能夠根據(jù)合并的傳感器信號標識和分類未通過靜態(tài)的規(guī)則體系識別的情況。由于操作區(qū)的易受攻擊性�����,這特別是遭受操縱����,因為該操作區(qū)是“任何人”的接口。 下文中的實施方案出于該原因而涉及操作區(qū)的部件�,然而并不限于此。同樣可設(shè)想的是��,網(wǎng)絡(luò)接口或者如USB����、串行接口的其它接口被監(jiān)控并且經(jīng)由事實適配器注入規(guī)則體系中。原則上�����,可以在從內(nèi)部接入的系統(tǒng)和從外部接入的系統(tǒng)方面區(qū)分SB系統(tǒng)�。在內(nèi)部區(qū)域中的部件經(jīng)常僅僅能通過如所描述的那樣的接口能到達。緊接著的系統(tǒng)部件及其系統(tǒng)驅(qū)動器在以下的觀察中很重要����,然而本發(fā)明并不限于此密碼鍵盤(Pin Pad)(用于密碼輸入的鍵盤)、所有讀卡器�、所有可能形式的出鈔箱(Geldausgabefach)、帶有軟鍵的監(jiān)視器/顯示器�����、觸摸屏或者周圍的按鍵���、障板(Mundschutz)��、A9(IM II防竊讀模塊(也參見DE 10 2005 043 317 B3)��。其它系統(tǒng)部件或者傳感器可能是時鐘�、接近傳感器、溫度傳感器等等���。此外�,可以考慮通過網(wǎng)絡(luò)監(jiān)控和管理SB自動裝置的管理部件�����。這些部件必要時可以提供關(guān)于SB系統(tǒng)的工作狀態(tài)(維修工作���、停止工作(Ausserbetrieb)�����、標準工作(Standardbetrieb)���、受限的工作)的有價值的信息?��?梢酝ㄟ^診斷平臺而給連接在后的系統(tǒng)或者用戶提供報警信息��。 相反���,診斷平臺也提供關(guān)于系統(tǒng)狀態(tài)的事件��。如上面已經(jīng)闡明的那樣�,原則上自動柜員機的部件可以從外部和/或從內(nèi)部操縱���。在威脅分析時以下首先僅僅觀察外部區(qū)域。示例性的情況可以是通過安裝鍵盤上層構(gòu)造(Tastatur-Ueberbauten)對密碼進行截取���。這是按已知方式已被轉(zhuǎn)換為對密碼處理系統(tǒng)的攻擊的真實威脅���。可替換地����,可以通過所安裝的迷你攝像機進行密碼的偵查。為了獲得卡數(shù)據(jù)�,在第二步可以使用竊讀模塊前端(Vorbau )。針對被識別的威脅����,被隔開的系統(tǒng)及其部件對可能的弱點進行檢查。這些事件可以被歸檔在規(guī)則體系中��。例如
通過施加力(Gewaltanwendung)可以將EPP更深地置入����。針對規(guī)則的物理集成����,設(shè)置有操縱開關(guān)(removal switch(去除開關(guān)))��,所述操縱開關(guān)在施加力時將用于數(shù)個功能的SB 系統(tǒng)切換停止工作�。該信息自然也被發(fā)送給事實適配器。例如現(xiàn)在如果觀察從外部接入的部件���,則源是讀卡器�����、EPP���、出鈔箱和帶有操作鍵的顯示器。這些從外部接入的部件提供通過SB用戶與自動裝置的直接交互而形成的信息或事件或者作為在前的交互的結(jié)果而形成的事件���。這些事件被傳遞給軟件平臺并且必要時也被傳遞給應(yīng)用����。在第一步����,在被隔開的系統(tǒng)內(nèi)要標識可能的且必需的(可能附加的)信息源��。原則上可以確定的是��,所標識的信息源提供關(guān)于系統(tǒng)狀態(tài)的事件或者信息作為識別系統(tǒng)的輸入值���。這些輸入值例如是布爾值。針對所標識的事件/系統(tǒng)狀態(tài)及其相關(guān)性�,可以研發(fā)出可導出攻擊模式的模型����。 基本模式、事件直至更復雜的模式的關(guān)聯(lián)模型化(aisammenhangmodel 1 ierimg)形成了針對異常識別系統(tǒng)的模式識別的基礎(chǔ)�����。尤其是涉及一種用于識別對具有一系列部件的自助機器的攻擊的方法��,所述方法包括如下步驟
一通過監(jiān)控單元監(jiān)控部件的狀態(tài)和事件
一將存儲在存儲系統(tǒng)上的規(guī)則體系通過處理單元(Bearbeitungseinheit)應(yīng)用于狀態(tài)和事件�,該處理單元加載存儲系統(tǒng)的規(guī)則體系并且從監(jiān)控單元接收信息;
一通過處理單元檢驗規(guī)則體系是否已查明攻擊�����,以便將所述攻擊通知給消息系統(tǒng)。要注意的是監(jiān)控單元�����、處理單元可以是軟件或軟件和硬件的組合�����,所述軟件和硬件例如可以運行在標準處理器(例如PC)上����。存儲系統(tǒng)可以是硬盤等。
圖1示出了 SB系統(tǒng)的工作狀態(tài)��。圖2是示出了在用戶動作和系統(tǒng)事件之間的關(guān)聯(lián)的圖�����。圖3示出了事實適配器的接口�����。
具體實施例方式圖1示例性地示出了可能的系統(tǒng)狀態(tài)的相關(guān)性����。這樣�����,自動柜員機可以從正常工作狀態(tài)或者從維修工作狀態(tài)更換至報警狀態(tài)�����。系統(tǒng)的狀態(tài)改變與何種事件以何種順序出現(xiàn)有關(guān)�����。這些事件又通過確定的用戶交互來觸發(fā)�����。在下文,在圖2中示出了如下例子針對攻擊情形��,用戶交互���、用戶動作��、來自不同系統(tǒng)部件的事件和(由于其引起的)系統(tǒng)狀態(tài)改變?nèi)绾蜗嚓P(guān)聯(lián)�。所示的情形是推測的卡片閱讀機測試(Skimmer-Test)����。在裝入竊讀模塊之后��, 通常由攻擊者執(zhí)行卡片閱讀機測試�。交互包括以下動作插入卡��,通過按壓鍵盤的中斷鍵 (EPP)或通過等待(在確定的時間之后)又輸出卡����。接著,這被執(zhí)行數(shù)次�。由此,在系統(tǒng)中觸發(fā)一些事件�����,這些事件例如被IDKG (磁卡讀取器)����、被EPP使用并且在該映射中被簡化地示出。如果可以查明這些事件以確定的順序和時間間隔出現(xiàn)����,則應(yīng)觸發(fā)嫌疑報警。進行自動裝置的狀態(tài)更換。在模型設(shè)計中���,應(yīng)考慮攻擊模式的權(quán)重��。該權(quán)重是描述所標識的源的可信性 (Dempster-Shaffer方法)的另一輸入量�。Dempster和Shaffer的證據(jù)理論(也參見維基百科(Wikipedia))是概率論領(lǐng)域中的數(shù)學理論���。所述Dempster和Smffer的證據(jù)理論被用于將不同源的信息組合成總預測�, 其中源的可信性在該計算中予以考慮���。證據(jù)可以被視為對概率的擴展�,其中不是使用一維而是使用二維尺寸����,該尺寸由主觀的程度或?qū)υ吹念A測合乎實際的信任程度(英語degree of belief (置信度))和事件的似然性組成或由帶有上邊界和下邊界的概率范圍組成。該證據(jù)理論尤其是在必須將不同源的不可靠的預測組合成總預測的地方被采用�����。 存在譬如在模式識別中的應(yīng)用��,在這些應(yīng)用中借助證據(jù)理論能組合不同的���、不可靠的算法的預測����,以便這樣獲得對準精度比每個單獨的預測的對準精度更好的預測����。為了實現(xiàn)這種方法考慮如下點 標識在被隔開的系統(tǒng)中的所有信息源 源的權(quán)重
系統(tǒng)狀態(tài)和相關(guān)性的模型化。在圖2中的例子中���,該系統(tǒng)被限于操作區(qū)及其從外部接入的部件���,然而也可設(shè)想將SB設(shè)備的所有部件用作信息源。圖2中的源是讀卡器�����、EPP��、出鈔箱和帶有操作鍵的顯示器和定時器���。這些源提供通過SB用戶與自動裝置直接交互而形成的信息或事件或者作為在前的交互的結(jié)果而形成的事件���。這些事件被傳遞給軟件平臺并且必要時也被傳遞給應(yīng)用。在第一步,必須在被隔開的系統(tǒng)內(nèi)標識可能的和必需的(可能附加的)信息源�����。原則上��,可以確定的是����,所標識的信息源提供關(guān)于系統(tǒng)狀態(tài)的事件或者信息作為識別系統(tǒng)的輸入值。這些輸入值通常是布爾值��?����;谒鶚俗R的事件/系統(tǒng)狀態(tài)及其相關(guān)性形成如下模式這些模式是針對異常識別系統(tǒng)的模式識別的基礎(chǔ)����。適于異常識別系統(tǒng)的可能的系統(tǒng)可以是正向鏈接的(vorwaertsverkettet)系統(tǒng) (JRuleS,JesS��、Dr00lS)��。出于診斷和維修的目的����,檢查基于規(guī)則的系統(tǒng)。JRules是允許用戶定義反映業(yè)務(wù)邏輯的規(guī)則的業(yè)務(wù)邏輯系統(tǒng)�����。規(guī)則引擎JessGava Expert System Shell (Java專家系統(tǒng)外殼))同樣用于通過所定義的規(guī)則進行水準測量(Abwaegimg) (http // www. jessrules. com/jess/index, shtml)�。Drools是具有正向鏈接的基于推斷的規(guī)則引擎的業(yè)務(wù)規(guī)則管理系統(tǒng)(BRMS,Business Rule Management System)�,其使用Itete算法的改進的實施方案。重要的方面是將已知的威脅情形的異常識別系統(tǒng)連接到相對應(yīng)的硬件部件�����。為此��,在優(yōu)選的實施形式中采用了如下事實適配器該事實適配器是異常識別系統(tǒng)的針對硬件部件的統(tǒng)一接口��。適配器的主要任務(wù)之一是從設(shè)備驅(qū)動器層接收系統(tǒng)部件的傳感器信號并且將所述傳感器信號作為事實����、即規(guī)則體系的模式來提供。圖3示出了本發(fā)明的層結(jié)構(gòu)��。事實適配器通常通過另外的軟件層訪問硬件部件�����, 如訪問讀卡器、出鈔箱�����、鍵盤��、防竊讀裝置(Antiskimming-Device)����。這些硬件部件通過為事實適配器提供接口的驅(qū)動器來控制。硬件激勵的部件在模塊中被概括為ProBase并且放置在操作系統(tǒng)上��。根據(jù)編程�,ProBase可以用C語言來給出或者例如用Java來給出。代表此的是相對應(yīng)的ProBaseC和ProBaseJ�����。操作系統(tǒng)可以是Linux�、Unix或者Windows。 通過ProBase方法起動不同的硬件驅(qū)動器�����,以便例如提供鍵盤的功能或者磁盤讀取器的功能?����;景踩凸ぷ鳂I(yè)務(wù)(Betriebs Diesnte)也被設(shè)置在該層中�����。借助集成的抽象層保證了 ProBase可以與任何應(yīng)用進行通信���。因此,確保了真的支持多廠商的基礎(chǔ)軟件�����。構(gòu)造在硬件驅(qū)動器上的其它部件是J/B0S����,這是基于Java的軟件平臺,用于激勵在總部(Front Office)中的銀行外設(shè)(Bankperipherie)����。在ProBase模塊中現(xiàn)在集成有給基于規(guī)則的模式識別轉(zhuǎn)發(fā)數(shù)據(jù)的事實適配器。該事實適配器可以在不同層訪問部件�?;蛘咧苯釉L問驅(qū)動器或者也訪問例如J/Bos的中間層����。這樣,事實適配器可以訪問任意層����,也可能的是通過網(wǎng)絡(luò)訪問管理系統(tǒng),以便獲得其它事實�����。
權(quán)利要求
1.一種用于識別對具有一系列部件的自助機器的攻擊的方法����,該方法包括如下步驟-通過監(jiān)控單元監(jiān)控部件的狀態(tài)和事件-通過處理單元將存儲在存儲系統(tǒng)上的規(guī)則體系應(yīng)用于狀態(tài)和事件,所述處理單元從存儲系統(tǒng)加載規(guī)則體系并且從監(jiān)控單元接收信息��;-檢驗規(guī)則體系是否已查明攻擊�,通過處理單元在所述攻擊中相繼地應(yīng)用規(guī)則體系以及狀態(tài)和事件,以便向消息系統(tǒng)通知所述攻擊���。
2.根據(jù)上一權(quán)利要求所述的方法�����,其中��,規(guī)則體系是將基本模式和事件映射直至更復雜的模式的關(guān)聯(lián)模型化�����。
3.根據(jù)上述權(quán)利要求中的一個或多個所述的方法����,其中�,輸入值是關(guān)于系統(tǒng)狀態(tài)的事件或者信息,所述事件或者信息優(yōu)選地被表示為布爾值����。
4.根據(jù)上一權(quán)利要求所述的方法,其中��,基于事件和系統(tǒng)狀態(tài)以及所述事件和系統(tǒng)狀態(tài)的相關(guān)性形成是針對異常識別系統(tǒng)的模式識別的基礎(chǔ)的模式����。
5.根據(jù)上一權(quán)利要求所述的方法,其中���,對事件和系統(tǒng)狀態(tài)加權(quán)��,使得描述了所標識的源的可信性��。
6.根據(jù)上一權(quán)利要求所述的方法�����,其中��,使用Dempster-Shaffer方法����。
7.根據(jù)上述權(quán)利要求中的一個或多個所述的方法,其中�,作為可能的異常識別系統(tǒng)采用正向鏈接的系統(tǒng)、如JRules�、Jess和/或Drools。
8.根據(jù)上述權(quán)利要求中的一個或多個所述的方法�����,其中���,采用事實適配器��,所述事實適配器通過在異常識別系統(tǒng)和驅(qū)動器之間連接抽象層而表示異常識別系統(tǒng)的針對硬件部件的統(tǒng)一接口�����。
9.根據(jù)上一權(quán)利要求所述的方法����,其中,事實適配器從設(shè)備驅(qū)動器層接收系統(tǒng)部件的傳感器信號并且將所述傳感器信號作為事實����、即規(guī)則體系/異常識別系統(tǒng)的模式來提供���。
10.根據(jù)上述兩個權(quán)利要求中的一個或多個所述的方法���,其中,事實適配器通過所選擇的設(shè)備驅(qū)動器和圖像識別機制來實施�。
11.根據(jù)上一權(quán)利要求所述的方法,其中����,圖像識別系統(tǒng)或圖像處理系統(tǒng)與KI(人工智能)部件的集成協(xié)作,所述KI部件在學習階段之后能夠標識和分類根據(jù)所合并的傳感器信號來識別的情況���。
12.根據(jù)上述權(quán)利要求中的一個或多個所述的方法��,其中����,以下設(shè)備中的一個或多個提供信息作為狀態(tài)和事件密碼鍵盤、讀卡器����、出鈔箱、具有軟鍵的監(jiān)視器/顯示器�、觸摸屏、障板�、防竊讀模塊、時鐘�、接近傳感器、溫度傳感器����、通過網(wǎng)絡(luò)監(jiān)控和管理SB自動裝置的管理部件、網(wǎng)絡(luò)接口���、USB�、串行接口�。
13.一種用于識別對包括一系列部件的自助機器的攻擊的裝置��,該裝置包括-監(jiān)控單元�,所述監(jiān)控單元被構(gòu)造來監(jiān)控部件的狀態(tài)和事件�����,-處理單元����,所述處理單元被監(jiān)控單元傳輸有狀態(tài)和事件,并且所述處理單元將存儲在存儲系統(tǒng)上的規(guī)則體系加載���,以便通過應(yīng)用規(guī)則體系檢驗狀態(tài)和事件并且以便查明規(guī)則體系是否已查明攻擊�����,從而作為消息來輸出所述攻擊。
14.根據(jù)上一裝置權(quán)利要求所述的裝置��,其中��,存儲系統(tǒng)將規(guī)則體系存儲為將基本模式�����、事件映射直至更復雜的模式的關(guān)聯(lián)模型化。
15.根據(jù)上述裝置權(quán)利要求中的一個或多個所述的裝置��,其中���,輸入值是關(guān)于系統(tǒng)狀態(tài)的事件或者信息��,所述事件或者信息優(yōu)選地被表示為布爾值����。
16.根據(jù)上一裝置權(quán)利要求所述的裝置���,其中�����,異常識別系統(tǒng)基于事件和系統(tǒng)狀態(tài)以及所述事件和系統(tǒng)狀態(tài)的相關(guān)性執(zhí)行模式識別����。
17.根據(jù)上一裝置權(quán)利要求所述的裝置���,其中�����,異常識別系統(tǒng)對事件和系統(tǒng)狀態(tài)進行加權(quán)����,使得描述了所標識的源的可信性。
18.根據(jù)上一裝置權(quán)利要求所述的裝置�,其中,異常識別系統(tǒng)使用Dempster-Shaffer 方法�����。
19.根據(jù)上述裝置權(quán)利要求中的一個或多個所述的裝置�����,其中��,異常識別系統(tǒng)采用正向鏈接的系統(tǒng)�����、如JRules���、Jess和/或Drools。
20.根據(jù)上述裝置權(quán)利要求中的一個或多個所述的裝置���,其中��,采用事實適配器���,所述事實適配器通過在異常識別系統(tǒng)和驅(qū)動器之間連接抽象層來針對硬件部件提供異常識別系統(tǒng)的統(tǒng)一接口����。
21.根據(jù)上一裝置權(quán)利要求所述的裝置�����,其中�,事實適配器被構(gòu)造為使得所述事實適配器從設(shè)備驅(qū)動器層接收系統(tǒng)部件的傳感器信號并且將所述傳感器信號作為事實、即規(guī)則體系/異常識別系統(tǒng)的模式來提供���。
22.根據(jù)上述兩個裝置權(quán)利要求中的一個或多個所述的裝置����,其中��,事實適配器通過所選擇的設(shè)備驅(qū)動器和圖像識別機制來實施�。
23.根據(jù)上一裝置權(quán)利要求所述的裝置,其中���,圖像識別系統(tǒng)或圖像處理系統(tǒng)與KI(人工智能)部件的集成協(xié)作來使得所述KI部件在學習階段之后能夠標識和分類根據(jù)所合并的傳感信號來識別的情況�。
24.根據(jù)上述裝置權(quán)利要求中的一個或多個所述的方法,其中�����,以下設(shè)備中的一個或多個提供信息作為狀態(tài)和事件密碼鍵盤�����、讀卡器����、出鈔箱、具有軟鍵的監(jiān)視器/顯示器���、觸摸屏���、障板、防竊讀模塊����、時鐘����、接近傳感器�、溫度傳感器����、通過網(wǎng)絡(luò)監(jiān)控和管理SB自動裝置的管理部件、網(wǎng)絡(luò)接口��、USB�����、串行接口���。
全文摘要
用于識別對計算機系統(tǒng)��、尤其是自助機器的至少一個接口的攻擊的方法包括監(jiān)控接口���,以便查明接口的改變;如果出現(xiàn)改變���,則根據(jù)改變的類型確定對接口的不允許的攻擊的概率����;如果該概率在限定的閾值之上,則采取防御措施�。
文檔編號G07F19/00GK102165499SQ200980138217
公開日2011年8月24日 申請日期2009年9月2日 優(yōu)先權(quán)日2008年9月30日
發(fā)明者斯洛維克 A., K. 勒 D., 諾爾特 M. 申請人:溫科尼克斯多夫國際有限公司