本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種惡意外設(shè)檢測(cè)系統(tǒng)及方法。

背景技術(shù)：

目前通過外接設(shè)備向客戶端發(fā)起惡意攻擊成為攻擊者采用的一大攻擊手段，攻擊者將惡意文件存在在U盤、手機(jī)等移動(dòng)可外接設(shè)備中，通過客戶端接口向用戶PC機(jī)，甚至ATM終端等客戶端進(jìn)行惡意攻擊。目前一些客戶端中安裝了對(duì)外接設(shè)備進(jìn)行病毒查殺的軟件，這類軟件主要工作流程如下：

1.在例如U盤等外接設(shè)備接入時(shí)，掃描外接設(shè)備內(nèi)文件，獲取文件特征；

2.將文件特征和本地?cái)?shù)據(jù)庫或者云端數(shù)據(jù)庫進(jìn)行對(duì)比，判斷文件是否是病毒文件；

3.針對(duì)病毒文件進(jìn)行告警并隔離，針對(duì)白文件或者未知文件放行。

雖然這種檢測(cè)機(jī)制能夠識(shí)別出一些已知的惡意文件，但是，很多針對(duì)客戶端攻擊的病毒文件都是未知文件，因此這種傳統(tǒng)的黑名單機(jī)制不能有效發(fā)現(xiàn)并防御這些未知文件，而且部分黑客并不直接將惡意文件直接放在外接設(shè)備中，而是通過手機(jī)熱點(diǎn)的連接讓客戶端能夠訪問互聯(lián)網(wǎng)網(wǎng)絡(luò)，通過互聯(lián)網(wǎng)將惡意文件植入客戶端，因此檢測(cè)系統(tǒng)不僅要能查殺外接設(shè)備中的已知惡意文件，同時(shí)還要能通過拷貝進(jìn)入的行為，判斷文件危害性，并要能監(jiān)控并禁止外接設(shè)備違規(guī)行為，另外由于一些客戶端配置較低，如ATM終端，因此檢測(cè)與防御系統(tǒng)要盡可能較少的占用客戶端硬件資源與網(wǎng)絡(luò)帶寬，不影響正常客戶端的正常工作。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)上述現(xiàn)有技術(shù)中存在的不足，本發(fā)明提出一種惡意外設(shè)檢測(cè)系統(tǒng)及方法，主要通過三個(gè)維度進(jìn)行客戶端的防護(hù)：

1.外接設(shè)備安全文件植入。對(duì)外接設(shè)備植入安全認(rèn)證文件，安全認(rèn)證文件可以記錄該外接設(shè)備使用權(quán)限，使用范圍，驅(qū)動(dòng)程序狀態(tài)等，當(dāng)外接設(shè)備接入時(shí)，客戶端會(huì)讀取安全認(rèn)證文件內(nèi)容，如果安全文件記錄內(nèi)容符合要求，則允許外接設(shè)備使用，如果不符合要求，則不允許外接設(shè)備使用。

2.外接設(shè)備信任體系。建立信任體系，只有受信任的外接設(shè)備才能在網(wǎng)內(nèi)終端進(jìn)行使用，一旦外接設(shè)備出現(xiàn)違規(guī)行為，會(huì)自動(dòng)移除信任體系，移除后，該設(shè)備將不能再在網(wǎng)內(nèi)使用；違規(guī)行為主要包括：包含惡意文件，進(jìn)行過違規(guī)行為等。

3.外接設(shè)備文件模擬運(yùn)行。針對(duì)未知文件，不能簡(jiǎn)單通過文件特征判斷文件安全性，需搭建模擬運(yùn)行環(huán)境，文件運(yùn)行時(shí)，需要上報(bào)文件實(shí)體到環(huán)境中先進(jìn)行運(yùn)行測(cè)試，如果文件行為正常，才允許該文件在客戶端進(jìn)行運(yùn)行，如果行為異常，例如修改客戶端配置文件等，則立即阻止該文件運(yùn)行。

具體發(fā)明內(nèi)容包括：

一種惡意外設(shè)檢測(cè)系統(tǒng)，包括服務(wù)端以及客戶端，所述服務(wù)端包括注冊(cè)模塊、安全信任管理模塊、云查殺模塊、模擬運(yùn)行模塊、數(shù)據(jù)傳輸管理模塊，所述客戶端包括信息獲取模塊、判定執(zhí)行模塊、數(shù)據(jù)傳輸模塊；所述服務(wù)端以及所述客戶端通過數(shù)據(jù)傳輸管理模塊與數(shù)據(jù)傳輸模塊建立數(shù)據(jù)連接關(guān)系；

其中：

注冊(cè)模塊用于向可接入客戶端的外接設(shè)備寫入安全認(rèn)證文件，并為每個(gè)寫入安全認(rèn)證文件的外接設(shè)備分配唯一的設(shè)備標(biāo)識(shí)，并將設(shè)備標(biāo)識(shí)信息也寫入對(duì)應(yīng)外接設(shè)備的安全認(rèn)證文件中；

安全信任管理模塊用于保存并管理寫入安全認(rèn)證文件的外接設(shè)備信息和設(shè)備標(biāo)識(shí)信息；

云查殺模塊用于對(duì)客戶端上傳的指定數(shù)據(jù)進(jìn)行云查殺；

模擬運(yùn)行模塊用于對(duì)可接入客戶端的外接設(shè)備中的指定文件進(jìn)行模擬運(yùn)行及檢測(cè)；

信息獲取模塊用于當(dāng)有外接設(shè)備與客戶端連接時(shí)，獲取外接設(shè)備信息；

判定執(zhí)行模塊用于根據(jù)信息獲取模塊獲取的信息判斷外接設(shè)備是否包含安全認(rèn)證文件，并根據(jù)判斷結(jié)果對(duì)連接的外接設(shè)備進(jìn)行接入或攔截操作。

進(jìn)一步地，所述注冊(cè)模塊具體用于：將可接入客戶端的外接設(shè)備接入服務(wù)端后，獲取接入的外接設(shè)備信息，并根據(jù)外接設(shè)備信息設(shè)定設(shè)備權(quán)限，將外接設(shè)備信息與設(shè)備權(quán)限信息整理成外接設(shè)備的安全認(rèn)證文件，并將安全認(rèn)證文件植入到接入的外接設(shè)備中。

進(jìn)一步地，所述外接設(shè)備信息包括：設(shè)備生產(chǎn)廠家信息、設(shè)備容量信息、設(shè)備序列號(hào)；所述設(shè)備權(quán)限信息包括：設(shè)備使用范圍、設(shè)備讀寫權(quán)限。

進(jìn)一步地，所述判定執(zhí)行模塊具體用于：根據(jù)信息獲取模塊獲取的信息判斷外接設(shè)備是否包含安全認(rèn)證文件，若不包含則執(zhí)行攔截操作；若包含則通過數(shù)據(jù)傳輸模塊將安全認(rèn)證文件與服務(wù)端中的安全認(rèn)證文件進(jìn)行匹配，若匹配成功則執(zhí)行接入操作，否則執(zhí)行攔截操作。

進(jìn)一步地，所述判定執(zhí)行模塊還用于：當(dāng)所述外接設(shè)備接入所述客戶端后，動(dòng)態(tài)監(jiān)控外接設(shè)備的操作行為，并根據(jù)外接設(shè)備包含的安全認(rèn)證文件判斷外接設(shè)備是否進(jìn)行了非法操作，若是則執(zhí)行攔截操作，否則允許其繼續(xù)使用。

進(jìn)一步地，所述根據(jù)外接設(shè)備包含的安全認(rèn)證文件判斷外接設(shè)備是否進(jìn)行了非法操作，具體包括：根據(jù)外接設(shè)備包含的安全認(rèn)證文件的內(nèi)容，確定外接設(shè)備的使用范圍，繼而判斷當(dāng)前狀態(tài)下外接設(shè)備的操作范圍是否超出了使用范圍，若是則視為外接設(shè)備進(jìn)行了非法操作，否則視為外接設(shè)備的操作為合法操作；根據(jù)外接設(shè)備包含的安全認(rèn)證文件的內(nèi)容，確定外接設(shè)備的使用權(quán)限，繼而判斷當(dāng)前狀態(tài)下外接設(shè)備的操作是否超出了使用權(quán)限，若是則視為外接設(shè)備進(jìn)行了非法操作，否則視為外接設(shè)備的操作為合法操作。

進(jìn)一步地，所述判定執(zhí)行模塊還用于：對(duì)于成功接入客戶端的外接設(shè)備，記錄其驅(qū)動(dòng)狀態(tài)以及接入后的操作及使用信息，并整理成驅(qū)動(dòng)記錄寫入相應(yīng)的安全認(rèn)證文件中，并通過數(shù)據(jù)傳輸模塊將安全認(rèn)證文件同步到服務(wù)端中。

進(jìn)一步地，所述判定執(zhí)行模塊還用于：當(dāng)所述外接設(shè)備接入所述客戶端后，讀取外接設(shè)備包含的安全認(rèn)證文件，判斷安全認(rèn)證文件是否被改寫，和/或根據(jù)安全認(rèn)證文件中的驅(qū)動(dòng)記錄判斷外接設(shè)備是否存在非法操作的使用記錄，若是則執(zhí)行攔截操作，否則執(zhí)行接入操作。

進(jìn)一步地，所述客戶端還包括防御日志上傳模塊，具體用于：記錄對(duì)連接到客戶端的外接設(shè)備進(jìn)行攔截或接入操作的防御處理過程，并通過數(shù)據(jù)傳輸模塊向服務(wù)端上報(bào)防御檢測(cè)日志，服務(wù)端針對(duì)被攔截的外接設(shè)備將其安全認(rèn)證文件信息移出安全信任管理模塊，并向網(wǎng)內(nèi)客戶端下發(fā)全網(wǎng)禁止其使用的指令。

進(jìn)一步地，所述判定執(zhí)行模塊具體用于：根據(jù)信息獲取模塊獲取的信息判斷外接設(shè)備是否包含安全認(rèn)證文件，若不包含則獲取外接設(shè)備內(nèi)存文件的特征信息，并通過數(shù)據(jù)傳輸模塊將特征信息上傳給服務(wù)端進(jìn)行檢測(cè)，并根據(jù)返回的檢測(cè)結(jié)果對(duì)連接的外接設(shè)備進(jìn)行接入或攔截操作；若包含則通過數(shù)據(jù)傳輸模塊將安全認(rèn)證文件與服務(wù)端中的安全認(rèn)證文件進(jìn)行匹配，若匹配成功則執(zhí)行接入操作，否則執(zhí)行攔截操作。

進(jìn)一步地，所述云查殺模塊具體用于：接收由客戶端上傳的特征信息，并對(duì)特征信息進(jìn)行云查殺，同時(shí)根據(jù)特征信息判斷外接設(shè)備中是否存在可執(zhí)行文件，若是則通過數(shù)據(jù)傳輸管理模塊向外接設(shè)備獲取完整的可執(zhí)行文件，否則只對(duì)特征信息進(jìn)行云查殺；所述模擬運(yùn)行模塊具體用于：接收外接設(shè)備中完整的可執(zhí)行文件，并對(duì)可執(zhí)行文件進(jìn)行模擬運(yùn)行及檢測(cè)，判斷可執(zhí)行文件是否存在惡意行為；由數(shù)據(jù)傳輸管理模塊向客戶端下發(fā)云查殺模塊和模擬運(yùn)行模塊的檢測(cè)結(jié)果。

進(jìn)一步地，所述惡意行為包括：更改設(shè)備權(quán)限、修改系統(tǒng)文件。

進(jìn)一步地，所述判定執(zhí)行模塊還用于：針對(duì)被攔截的外接設(shè)備，獲取并向所述服務(wù)端上傳其包含的惡意數(shù)據(jù)進(jìn)行深度分析，并將惡意數(shù)據(jù)從外接設(shè)備中刪除。

進(jìn)一步地，所述判定執(zhí)行模塊還用于：針對(duì)接入客戶端的外接設(shè)備，實(shí)時(shí)監(jiān)控其使用狀態(tài)，判斷是否存在敏感行為，若是則對(duì)外接設(shè)備進(jìn)行攔截操作，否則視為外接設(shè)備安全；其中，所述敏感行為包括：寫入操作、拷貝操作、聯(lián)網(wǎng)操作。

進(jìn)一步地，還包括檢測(cè)日志上傳模塊，用于將判定執(zhí)行模塊對(duì)外接設(shè)備進(jìn)行攔截或接入操作的具體處理過程上報(bào)給服務(wù)端，且服務(wù)端針對(duì)被攔截的外接設(shè)備向網(wǎng)內(nèi)客戶端下發(fā)全網(wǎng)禁止其使用的指令。

一種惡意外設(shè)檢測(cè)方法，包括：

向可接入客戶端的外接設(shè)備寫入安全認(rèn)證文件，并為每個(gè)寫入安全認(rèn)證文件的外接設(shè)備分配唯一的設(shè)備標(biāo)識(shí)，并將設(shè)備標(biāo)識(shí)信息也寫入對(duì)應(yīng)外接設(shè)備的安全認(rèn)證文件中；

當(dāng)有外接設(shè)備與客戶端連接時(shí)，獲取外接設(shè)備信息，判斷外接設(shè)備是否包含安全認(rèn)證文件，若不包含則拒絕接入；若包含則將安全認(rèn)證文件與原始保存的安全認(rèn)證文件進(jìn)行匹配，若匹配成功則允許接入，否則拒絕接入。

進(jìn)一步地，所述向可接入客戶端的外接設(shè)備寫入安全認(rèn)證文件，具體為：獲取外接設(shè)備信息，并根據(jù)外接設(shè)備信息設(shè)定設(shè)備權(quán)限，將外接設(shè)備信息與設(shè)備權(quán)限信息整理成外接設(shè)備的安全認(rèn)證文件，并將安全認(rèn)證文件植入到接入的外接設(shè)備中。

進(jìn)一步地，所述外接設(shè)備信息包括：設(shè)備生產(chǎn)廠家信息、設(shè)備容量信息、設(shè)備序列號(hào)；所述設(shè)備權(quán)限信息包括：設(shè)備使用范圍、設(shè)備讀寫權(quán)限。

進(jìn)一步地，還包括：當(dāng)所述外接設(shè)備接入所述客戶端后，動(dòng)態(tài)監(jiān)控外接設(shè)備的操作行為，并根據(jù)外接設(shè)備包含的安全認(rèn)證文件判斷外接設(shè)備是否進(jìn)行了非法操作，若是則阻止其使用，否則允許其繼續(xù)使用。

進(jìn)一步地，所述根據(jù)外接設(shè)備包含的安全認(rèn)證文件判斷外接設(shè)備是否進(jìn)行了非法操作，具體包括：根據(jù)外接設(shè)備包含的安全認(rèn)證文件的內(nèi)容，確定外接設(shè)備的使用范圍，繼而判斷當(dāng)前狀態(tài)下外接設(shè)備的操作范圍是否超出了使用范圍，若是則視為外接設(shè)備進(jìn)行了非法操作，否則視為外接設(shè)備的操作為合法操作；根據(jù)外接設(shè)備包含的安全認(rèn)證文件的內(nèi)容，確定外接設(shè)備的使用權(quán)限，繼而判斷當(dāng)前狀態(tài)下外接設(shè)備的操作是否超出了使用權(quán)限，若是則視為外接設(shè)備進(jìn)行了非法操作，否則視為外接設(shè)備的操作為合法操作。

進(jìn)一步地，還包括：對(duì)于成功接入客戶端的外接設(shè)備，記錄其驅(qū)動(dòng)狀態(tài)以及接入后的操作及使用信息，并整理成驅(qū)動(dòng)記錄寫入相應(yīng)的安全認(rèn)證文件中。

進(jìn)一步地，還包括：當(dāng)所述外接設(shè)備接入所述客戶端后，讀取外接設(shè)備包含的安全認(rèn)證文件，判斷安全認(rèn)證文件是否被改寫，和/或根據(jù)安全認(rèn)證文件中的驅(qū)動(dòng)記錄判斷外接設(shè)備是否存在非法操作的使用記錄，若是則全網(wǎng)禁止相應(yīng)外接設(shè)備的使用，否則允許其繼續(xù)使用。

進(jìn)一步地，還包括：對(duì)于全網(wǎng)禁止使用的外接設(shè)備，記錄對(duì)其防御的過程，并上報(bào)防御日志。

進(jìn)一步地，對(duì)于不包含安全認(rèn)證文件的外接設(shè)備，還包括：獲取外接設(shè)備內(nèi)存文件的特征信息，對(duì)特征信息進(jìn)行云查殺，判斷外接設(shè)備是否存在惡意，并根據(jù)判斷結(jié)果對(duì)外接設(shè)備進(jìn)行攔截或放行處理，并上報(bào)處理日志。

進(jìn)一步地，還包括：在所述進(jìn)行云查殺的過程中，判斷外接設(shè)備是否存在可執(zhí)行文件，若存在則獲取完整可執(zhí)行文件，并在虛擬環(huán)境中運(yùn)行，實(shí)時(shí)監(jiān)控運(yùn)行狀態(tài)，判斷是否存在敏感行為，若是則視為對(duì)應(yīng)外接設(shè)備存在惡意，否則視為外接設(shè)備安全；其中，所述敏感行為包括：更改設(shè)備權(quán)限、修改系統(tǒng)文件。

進(jìn)一步地，還包括：針對(duì)攔截的外接設(shè)備，獲取并上傳其包含的惡意數(shù)據(jù)進(jìn)行深度分析，并將惡意數(shù)據(jù)從外接設(shè)備中刪除。

進(jìn)一步地，還包括：針對(duì)被放行的外接設(shè)備，實(shí)時(shí)監(jiān)控其使用狀態(tài)，判斷是否存在敏感行為，若是則對(duì)外接設(shè)備進(jìn)行攔截，否則視為外接設(shè)備安全；其中，所述敏感行為包括：寫入操作、拷貝操作、聯(lián)網(wǎng)操作。

進(jìn)一步地，針對(duì)被攔截的外接設(shè)備，將全網(wǎng)禁止其使用。

本發(fā)明的有益效果是：

本發(fā)明能夠?qū)崿F(xiàn)惡意外設(shè)的多維度防御及檢測(cè)，不僅能夠通過文件特征防御，還能通過文件行為分析、使用權(quán)限限制等保證客戶端安全；

本發(fā)明能夠阻止惡意外設(shè)在網(wǎng)內(nèi)多臺(tái)客戶端上使用，在以往案例中，黑客會(huì)短時(shí)間內(nèi)在多臺(tái)客戶端上進(jìn)行破壞，本發(fā)明在發(fā)現(xiàn)惡意外設(shè)后，能夠阻止其在網(wǎng)內(nèi)其他終端上使用，控制了破壞范圍；

本發(fā)明能夠控制外接設(shè)備訪問范圍和使用權(quán)限，更好地保證了客戶端的安全性；

本發(fā)明對(duì)違規(guī)行為進(jìn)行阻止并上報(bào)行為記錄，便于收集惡意攻擊樣本數(shù)據(jù)，并進(jìn)行深度分析；

本發(fā)明在對(duì)外接設(shè)備中的特征進(jìn)行云查殺的同時(shí)，若發(fā)現(xiàn)外接設(shè)備中存在可執(zhí)行文件，則獲取可執(zhí)行文件的完整文件，并將其投入虛擬機(jī)中進(jìn)行監(jiān)控執(zhí)行，該過程分離與客戶端，不占用客戶端內(nèi)存，不影響客戶端正常使用，且對(duì)完整文件進(jìn)行監(jiān)控執(zhí)行更能確保檢測(cè)結(jié)果的準(zhǔn)確性，提高惡意行為的檢出率。

附圖說明

為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明一種惡意外設(shè)檢測(cè)的系統(tǒng)結(jié)構(gòu)圖；

圖2為本發(fā)明一種惡意外設(shè)檢測(cè)的防御方法流程圖；

圖3為本發(fā)明一種惡意外設(shè)檢測(cè)的檢測(cè)方法流程圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。

本發(fā)明給出了一種惡意外設(shè)檢測(cè)的系統(tǒng)實(shí)施例，如圖1所示，包括服務(wù)端101以及客戶端102，所述服務(wù)端101包括注冊(cè)模塊101-1、安全信任管理模塊101-2、云查殺模塊101-3、模擬運(yùn)行模塊101-4、數(shù)據(jù)傳輸管理模塊101-5，所述客戶端102包括信息獲取模塊102-1、判定執(zhí)行模塊102-2、數(shù)據(jù)傳輸模塊102-3；所述服務(wù)端101以及所述客戶端102通過數(shù)據(jù)傳輸管理模塊101-5與數(shù)據(jù)傳輸模塊102-3建立數(shù)據(jù)連接關(guān)系；

其中：

注冊(cè)模塊101-1用于向可接入客戶端的外接設(shè)備寫入安全認(rèn)證文件，并為每個(gè)寫入安全認(rèn)證文件的外接設(shè)備分配唯一的設(shè)備標(biāo)識(shí)，并將設(shè)備標(biāo)識(shí)信息也寫入對(duì)應(yīng)外接設(shè)備的安全認(rèn)證文件中；

安全信任管理模塊101-2用于保存并管理寫入安全認(rèn)證文件的外接設(shè)備信息和設(shè)備標(biāo)識(shí)信息；

云查殺模塊101-3用于對(duì)客戶端102上傳的指定數(shù)據(jù)進(jìn)行云查殺；

模擬運(yùn)行模塊101-4用于對(duì)可接入客戶端102的外接設(shè)備中的指定文件進(jìn)行模擬運(yùn)行及檢測(cè)；

信息獲取模塊102-1用于當(dāng)有外接設(shè)備與客戶端102連接時(shí)，獲取外接設(shè)備信息；

判定執(zhí)行模塊102-2用于根據(jù)信息獲取模塊102-1獲取的信息判斷外接設(shè)備是否包含安全認(rèn)證文件，并根據(jù)判斷結(jié)果對(duì)連接的外接設(shè)備進(jìn)行接入或攔截操作。

優(yōu)選地，所述注冊(cè)模塊101-1具體用于：將可接入客戶端的外接設(shè)備接入服務(wù)端102后，獲取接入的外接設(shè)備信息，并根據(jù)外接設(shè)備信息設(shè)定設(shè)備權(quán)限，將外接設(shè)備信息與設(shè)備權(quán)限信息整理成外接設(shè)備的安全認(rèn)證文件，并將安全認(rèn)證文件植入到接入的外接設(shè)備中。

優(yōu)選地，所述外接設(shè)備信息包括：設(shè)備生產(chǎn)廠家信息、設(shè)備容量信息、設(shè)備序列號(hào)；所述設(shè)備權(quán)限信息包括：設(shè)備使用范圍、設(shè)備讀寫權(quán)限。

優(yōu)選地，所述判定執(zhí)行模塊102-2具體用于：根據(jù)信息獲取模塊102-1獲取的信息判斷外接設(shè)備是否包含安全認(rèn)證文件，若不包含則執(zhí)行攔截操作；若包含則通過數(shù)據(jù)傳輸模塊102-3將安全認(rèn)證文件與服務(wù)端101中的安全認(rèn)證文件進(jìn)行匹配，若匹配成功則執(zhí)行接入操作，否則執(zhí)行攔截操作。

優(yōu)選地，所述判定執(zhí)行模塊102-2還用于：當(dāng)所述外接設(shè)備接入所述客戶端102后，動(dòng)態(tài)監(jiān)控外接設(shè)備的操作行為，并根據(jù)外接設(shè)備包含的安全認(rèn)證文件判斷外接設(shè)備是否進(jìn)行了非法操作，若是則執(zhí)行攔截操作，否則允許其繼續(xù)使用。

優(yōu)選地，所述根據(jù)外接設(shè)備包含的安全認(rèn)證文件判斷外接設(shè)備是否進(jìn)行了非法操作，具體包括：根據(jù)外接設(shè)備包含的安全認(rèn)證文件的內(nèi)容，確定外接設(shè)備的使用范圍，繼而判斷當(dāng)前狀態(tài)下外接設(shè)備的操作范圍是否超出了使用范圍，若是則視為外接設(shè)備進(jìn)行了非法操作，否則視為外接設(shè)備的操作為合法操作；根據(jù)外接設(shè)備包含的安全認(rèn)證文件的內(nèi)容，確定外接設(shè)備的使用權(quán)限，繼而判斷當(dāng)前狀態(tài)下外接設(shè)備的操作是否超出了使用權(quán)限，若是則視為外接設(shè)備進(jìn)行了非法操作，否則視為外接設(shè)備的操作為合法操作。

優(yōu)選地，所述判定執(zhí)行模塊102-2還用于：對(duì)于成功接入客戶端102的外接設(shè)備，記錄其驅(qū)動(dòng)狀態(tài)以及接入后的操作及使用信息，并整理成驅(qū)動(dòng)記錄寫入相應(yīng)的安全認(rèn)證文件中，并通過數(shù)據(jù)傳輸模塊102-3將安全認(rèn)證文件同步到服務(wù)端101中。

優(yōu)選地，所述判定執(zhí)行模塊102-2還用于：當(dāng)所述外接設(shè)備接入所述客戶端102后，讀取外接設(shè)備包含的安全認(rèn)證文件，判斷安全認(rèn)證文件是否被改寫，和/或根據(jù)安全認(rèn)證文件中的驅(qū)動(dòng)記錄判斷外接設(shè)備是否存在非法操作的使用記錄，若是則執(zhí)行攔截操作，否則執(zhí)行接入操作。

優(yōu)選地，所述客戶端102還包括防御日志上傳模塊，具體用于：記錄對(duì)連接到客戶端102的外接設(shè)備進(jìn)行攔截或接入操作的防御處理過程，并通過數(shù)據(jù)傳輸模塊102-3向服務(wù)端101上報(bào)防御檢測(cè)日志，服務(wù)端101針對(duì)被攔截的外接設(shè)備將其安全認(rèn)證文件信息移出安全信任管理模塊101-2，并向網(wǎng)內(nèi)客戶端下發(fā)全網(wǎng)禁止其使用的指令。

優(yōu)選地，所述判定執(zhí)行模塊102-2具體用于：根據(jù)信息獲取模塊102-1獲取的信息判斷外接設(shè)備是否包含安全認(rèn)證文件，若不包含則獲取外接設(shè)備內(nèi)存文件的特征信息，并通過數(shù)據(jù)傳輸模塊102-3將特征信息上傳給服務(wù)端101進(jìn)行檢測(cè)，并根據(jù)返回的檢測(cè)結(jié)果對(duì)連接的外接設(shè)備進(jìn)行接入或攔截操作；若包含則通過數(shù)據(jù)傳輸模塊102-3將安全認(rèn)證文件與服務(wù)端101中的安全認(rèn)證文件進(jìn)行匹配，若匹配成功則執(zhí)行接入操作，否則執(zhí)行攔截操作。

優(yōu)選地，所述云查殺模塊101-3具體用于：接收由客戶端102上傳的特征信息，并對(duì)特征信息進(jìn)行云查殺，同時(shí)根據(jù)特征信息判斷外接設(shè)備中是否存在可執(zhí)行文件，若是則通過數(shù)據(jù)傳輸管理模塊102-3向外接設(shè)備獲取完整的可執(zhí)行文件，否則只對(duì)特征信息進(jìn)行云查殺；所述模擬運(yùn)行模塊101-4具體用于：接收外接設(shè)備中完整的可執(zhí)行文件，并對(duì)可執(zhí)行文件進(jìn)行模擬運(yùn)行及檢測(cè)，判斷可執(zhí)行文件是否存在惡意行為；由數(shù)據(jù)傳輸管理模塊101-5向客戶端102下發(fā)云查殺模塊101-3和模擬運(yùn)行模塊101-4的檢測(cè)結(jié)果。

優(yōu)選地，所述惡意行為包括：更改設(shè)備權(quán)限、修改系統(tǒng)文件。

優(yōu)選地，所述判定執(zhí)行模塊102-2還用于：針對(duì)被攔截的外接設(shè)備，獲取并向所述服務(wù)端101上傳其包含的惡意數(shù)據(jù)進(jìn)行深度分析，并將惡意數(shù)據(jù)從外接設(shè)備中刪除。

優(yōu)選地，所述判定執(zhí)行模塊102-2還用于：針對(duì)接入客戶端102的外接設(shè)備，實(shí)時(shí)監(jiān)控其使用狀態(tài)，判斷是否存在敏感行為，若是則對(duì)外接設(shè)備進(jìn)行攔截操作，否則視為外接設(shè)備安全；其中，所述敏感行為包括：寫入操作、拷貝操作、聯(lián)網(wǎng)操作。

優(yōu)選地，還包括檢測(cè)日志上傳模塊，用于將判定執(zhí)行模塊對(duì)外接設(shè)備進(jìn)行攔截或接入操作的具體處理過程上報(bào)給服務(wù)端101，且服務(wù)端101針對(duì)被攔截的外接設(shè)備向網(wǎng)內(nèi)客戶端下發(fā)全網(wǎng)禁止其使用的指令。

本發(fā)明還給出一種惡意外設(shè)檢測(cè)的防御方法實(shí)施例，如圖2所示，包括：

S201：向可接入客戶端的外接設(shè)備寫入安全認(rèn)證文件，并為每個(gè)寫入安全認(rèn)證文件的外接設(shè)備分配唯一的設(shè)備標(biāo)識(shí)，并將設(shè)備標(biāo)識(shí)信息也寫入對(duì)應(yīng)外接設(shè)備的安全認(rèn)證文件中；

S202：當(dāng)有外接設(shè)備與客戶端連接時(shí)，獲取外接設(shè)備信息；

S203：判斷外接設(shè)備是否包含安全認(rèn)證文件，若不包含則拒絕接入；若包含則進(jìn)入S204；

S204：將安全認(rèn)證文件與原始保存的安全認(rèn)證文件進(jìn)行匹配；

S205：判斷匹配是否成功，若匹配成功則允許接入，否則拒絕接入。

優(yōu)選地，所述向可接入客戶端的外接設(shè)備寫入安全認(rèn)證文件，具體為：獲取外接設(shè)備信息，并根據(jù)外接設(shè)備信息設(shè)定設(shè)備權(quán)限，將外接設(shè)備信息與設(shè)備權(quán)限信息整理成外接設(shè)備的安全認(rèn)證文件，并將安全認(rèn)證文件植入到接入的外接設(shè)備中。

優(yōu)選地，所述外接設(shè)備信息包括：設(shè)備生產(chǎn)廠家信息、設(shè)備容量信息、設(shè)備序列號(hào)；所述設(shè)備權(quán)限信息包括：設(shè)備使用范圍、設(shè)備讀寫權(quán)限。

優(yōu)選地，還包括：當(dāng)所述外接設(shè)備接入所述客戶端后，動(dòng)態(tài)監(jiān)控外接設(shè)備的操作行為，并根據(jù)外接設(shè)備包含的安全認(rèn)證文件判斷外接設(shè)備是否進(jìn)行了非法操作，若是則阻止其使用，否則允許其繼續(xù)使用。

優(yōu)選地，所述根據(jù)外接設(shè)備包含的安全認(rèn)證文件判斷外接設(shè)備是否進(jìn)行了非法操作，具體包括：根據(jù)外接設(shè)備包含的安全認(rèn)證文件的內(nèi)容，確定外接設(shè)備的使用范圍，繼而判斷當(dāng)前狀態(tài)下外接設(shè)備的操作范圍是否超出了使用范圍，若是則視為外接設(shè)備進(jìn)行了非法操作，否則視為外接設(shè)備的操作為合法操作；根據(jù)外接設(shè)備包含的安全認(rèn)證文件的內(nèi)容，確定外接設(shè)備的使用權(quán)限，繼而判斷當(dāng)前狀態(tài)下外接設(shè)備的操作是否超出了使用權(quán)限，若是則視為外接設(shè)備進(jìn)行了非法操作，否則視為外接設(shè)備的操作為合法操作。

優(yōu)選地，還包括：對(duì)于成功接入客戶端的外接設(shè)備，記錄其驅(qū)動(dòng)狀態(tài)以及接入后的操作及使用信息，并整理成驅(qū)動(dòng)記錄寫入相應(yīng)的安全認(rèn)證文件中。

優(yōu)選地，還包括：當(dāng)所述外接設(shè)備接入所述客戶端后，讀取外接設(shè)備包含的安全認(rèn)證文件，判斷安全認(rèn)證文件是否被改寫，和/或根據(jù)安全認(rèn)證文件中的驅(qū)動(dòng)記錄判斷外接設(shè)備是否存在非法操作的使用記錄，若是則全網(wǎng)禁止相應(yīng)外接設(shè)備的使用，否則允許其繼續(xù)使用。

優(yōu)選地，還包括：對(duì)于全網(wǎng)禁止使用的外接設(shè)備，記錄對(duì)其防御的過程，并上報(bào)防御日志。

本發(fā)明還給出一種惡意外設(shè)檢測(cè)的檢測(cè)方法實(shí)施例，如圖3所示，包括：

S301：向可接入客戶端的外接設(shè)備寫入安全認(rèn)證文件，并為每個(gè)寫入安全認(rèn)證文件的外接設(shè)備分配唯一的設(shè)備標(biāo)識(shí)，并將設(shè)備標(biāo)識(shí)信息也寫入對(duì)應(yīng)外接設(shè)備的安全認(rèn)證文件中；

S302：當(dāng)有外接設(shè)備與客戶端連接時(shí)，獲取外接設(shè)備信息；

S303：判斷外接設(shè)備是否包含安全認(rèn)證文件，若包含則將安全認(rèn)證文件與原始保存的安全認(rèn)證文件進(jìn)行匹配，若匹配成功則允許接入，否則拒絕接入；若不包含則進(jìn)入S304；

S304：獲取外接設(shè)備內(nèi)存文件的特征信息，對(duì)特征信息進(jìn)行云查殺；

S305：根據(jù)S304的查殺結(jié)果判斷外接設(shè)備是否存在惡意，并根據(jù)判斷結(jié)果對(duì)外接設(shè)備進(jìn)行攔截或放行處理，并上報(bào)處理日志。

優(yōu)選地，還包括：在所述進(jìn)行云查殺的過程中，判斷外接設(shè)備是否存在可執(zhí)行文件，若存在則獲取完整可執(zhí)行文件，并在虛擬環(huán)境中運(yùn)行，實(shí)時(shí)監(jiān)控運(yùn)行狀態(tài)，判斷是否存在敏感行為，若是則視為對(duì)應(yīng)外接設(shè)備存在惡意，否則視為外接設(shè)備安全；其中，所述敏感行為包括：更改設(shè)備權(quán)限、修改系統(tǒng)文件。

優(yōu)選地，還包括：針對(duì)攔截的外接設(shè)備，獲取并上傳其包含的惡意數(shù)據(jù)進(jìn)行深度分析，并將惡意數(shù)據(jù)從外接設(shè)備中刪除。

優(yōu)選地，還包括：針對(duì)被放行的外接設(shè)備，實(shí)時(shí)監(jiān)控其使用狀態(tài)，判斷是否存在敏感行為，若是則對(duì)外接設(shè)備進(jìn)行攔截，否則視為外接設(shè)備安全；其中，所述敏感行為包括：寫入操作、拷貝操作、聯(lián)網(wǎng)操作。

優(yōu)選地，針對(duì)被攔截的外接設(shè)備，將全網(wǎng)禁止其使用。

本發(fā)明提出一種惡意外設(shè)檢測(cè)系統(tǒng)及方法，通過設(shè)備安全文件植入，對(duì)外接設(shè)備植入安全認(rèn)證文件，安全認(rèn)證文件可以記錄該外接設(shè)備使用權(quán)限，使用范圍，驅(qū)動(dòng)程序狀態(tài)等；通過設(shè)備信任體系，建立信任體系，只有受信任的外接設(shè)備才能在網(wǎng)內(nèi)終端進(jìn)行使用；通過外接設(shè)備文件模擬運(yùn)行，解決未知文件不能簡(jiǎn)單通過文件特征判斷文件安全性的問題，將文件實(shí)體上報(bào)到虛擬環(huán)境運(yùn)行測(cè)試，文件正常才允許其在客戶端進(jìn)行運(yùn)行。本發(fā)明能夠?qū)崿F(xiàn)惡意外設(shè)的多維度防御及檢測(cè)，不僅能夠通過文件特征防御，還能通過文件行為分析、使用權(quán)限限制等保證客戶端安全；本發(fā)明能夠阻止惡意外設(shè)在網(wǎng)內(nèi)多臺(tái)客戶端上使用，在以往案例中，黑客會(huì)短時(shí)間內(nèi)在多臺(tái)客戶端上進(jìn)行破壞，本發(fā)明在發(fā)現(xiàn)惡意外設(shè)后，能夠阻止其在網(wǎng)內(nèi)其他終端上使用，控制了破壞范圍；本發(fā)明能夠控制外接設(shè)備訪問范圍和使用權(quán)限，更好地保證了客戶端的安全性；本發(fā)明對(duì)違規(guī)行為進(jìn)行阻止并上報(bào)行為記錄，便于收集惡意攻擊樣本數(shù)據(jù)，并進(jìn)行深度分析；本發(fā)明在對(duì)外接設(shè)備中的特征進(jìn)行云查殺的同時(shí)，若發(fā)現(xiàn)外接設(shè)備中存在可執(zhí)行文件，則獲取可執(zhí)行文件的完整文件，并將其投入虛擬機(jī)中進(jìn)行監(jiān)控執(zhí)行，該過程分離與客戶端，不占用客戶端內(nèi)存，不影響客戶端正常使用，且對(duì)完整文件進(jìn)行監(jiān)控執(zhí)行更能確保檢測(cè)結(jié)果的準(zhǔn)確性，提高惡意行為的檢出率。

雖然通過實(shí)施例描繪了本發(fā)明，本領(lǐng)域普通技術(shù)人員知道，本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神，希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。