本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種ATM安全防御系統(tǒng)及方法。

背景技術(shù)：

隨著金融行業(yè)的快速發(fā)展，ATM機已經(jīng)成為了人們?nèi)粘９芾憩F(xiàn)金的一個重要渠道，隨之而來的，是越來越多黑客開始以ATM終端為攻擊目標，通過惡意代碼從ATM終端獲取不法之財。

由于ATM終端的網(wǎng)絡(luò)多數(shù)都采用局域網(wǎng)絡(luò)，而且ATM終端為自助形式，無人值守設(shè)備，所以傳統(tǒng)的垃圾郵件、網(wǎng)站掛馬等入侵方式無法作用于ATM終端，目前針對ATM終端的惡意攻擊多數(shù)采用通過USB接口方式將惡意代碼植入設(shè)備，黑客將惡意文件放入到U盤或者手機中，通過ATM終端的USB接口連接，對終端進行攻擊。

目前很多ATM終端沒有部署針對USB接入設(shè)備的檢測與防御機制，而部分ATM終端安裝了傳統(tǒng)殺毒軟件，這類殺毒軟件主要工作流程如下：

1.在例如U盤等外接設(shè)備接入時，掃描外接設(shè)備文件，獲取文件特征；

2.將文件特征和本地數(shù)據(jù)庫或者云端數(shù)據(jù)庫進行對比，判斷文件是否是病毒文件；

3.針對病毒文件進行告警并隔離，針對白文件或者未知文件放行。

雖然這種檢測機制能夠識別出一些已知的惡意文件，但是，很多針對ATM攻擊的病毒文件都是未知文件，因此這種傳統(tǒng)的黑名單機制不能有效發(fā)現(xiàn)并防御這些未知文件，而且部分黑客并不直接將惡意文件直接放在外接設(shè)備中，而是通過手機熱點的連接讓ATM終端能夠訪問互聯(lián)網(wǎng)網(wǎng)絡(luò)，通過互聯(lián)網(wǎng)將惡意文件植入終端，因此ATM外設(shè)檢測系統(tǒng)不僅要能查殺外接設(shè)備中的已知惡意文件，同時還要能通過拷貝進入的行為，判斷文件危害性，并要能監(jiān)控并禁止外接設(shè)備違規(guī)行為，另外由于ATM終端配置較低，因此檢測與防御系統(tǒng)要盡可能較少的占用終端硬件資源與網(wǎng)絡(luò)帶寬，不影響正常業(yè)務(wù)系統(tǒng)運行。

技術(shù)實現(xiàn)要素：

針對上述現(xiàn)有技術(shù)中存在的不足，本發(fā)明提出一種ATM安全防御系統(tǒng)及方法，主要通過三個維度進行ATM終端的防護：

1.外接設(shè)備安全文件植入。對外接設(shè)備植入安全認證文件，安全認證文件可以記錄該外接設(shè)備使用權(quán)限，使用范圍，驅(qū)動程序狀態(tài)等，當外接設(shè)備接入時，客戶端會讀取安全認證文件內(nèi)容，如果安全文件記錄內(nèi)容符合要求，則允許外接設(shè)備使用，如果不符合要求，則不允許外接設(shè)備使用。

2.外接設(shè)備信任體系。建立信任體系，只有受信任的外接設(shè)備才能在網(wǎng)內(nèi)終端進行使用，一旦外接設(shè)備出現(xiàn)違規(guī)行為，會自動移除信任體系，移除后，該設(shè)備將不能再在網(wǎng)內(nèi)使用；違規(guī)行為主要包括：包含惡意文件，進行過違規(guī)行為等。

3.外接設(shè)備文件模擬運行。針對未知文件，不能簡單通過文件特征判斷文件安全性，需搭建模擬運行環(huán)境，文件運行時，需要上報文件實體到環(huán)境中先進行運行測試，如果文件行為正常，才允許該文件在ATM終端進行運行，如果行為異常，例如修改ATM系統(tǒng)配置文件等，則立即阻止該文件運行。

具體發(fā)明內(nèi)容包括：

一種ATM安全認證服務(wù)端，包括：注冊模塊、安全信任管理模塊、數(shù)據(jù)傳輸管理模塊；

其中：

注冊模塊用于向可接入ATM終端的外接設(shè)備寫入安全認證文件，并為每個寫入安全認證文件的外接設(shè)備分配唯一的設(shè)備標識，并將設(shè)備標識信息也寫入對應(yīng)外接設(shè)備的安全認證文件中；

安全信任管理模塊，用于保存并管理寫入安全認證文件的外接設(shè)備信息和設(shè)備標識信息；

數(shù)據(jù)傳輸管理模塊用于與ATM終端建立數(shù)據(jù)連接關(guān)系，并管理與ATM終端之間傳輸?shù)臄?shù)據(jù)。

進一步地，還包括云查殺模塊，用于對ATM終端上傳的指定數(shù)據(jù)進行云查殺。

進一步地，還包括模擬運行模塊，用于對可接入ATM終端的外接設(shè)備中的指定文件進行模擬運行及檢測。

進一步地，所述注冊模塊具體用于：將可接入ATM終端的外接設(shè)備接入ATM安全認證服務(wù)端后，獲取接入的外接設(shè)備信息，并根據(jù)外接設(shè)備信息設(shè)定設(shè)備權(quán)限，將外接設(shè)備信息與設(shè)備權(quán)限信息整理成外接設(shè)備的安全認證文件，并將安全認證文件植入到接入的外接設(shè)備中。

進一步地，所述外接設(shè)備信息包括：設(shè)備生產(chǎn)廠家信息、設(shè)備容量信息、設(shè)備序列號；所述設(shè)備權(quán)限信息包括：設(shè)備使用范圍、設(shè)備讀寫權(quán)限。

進一步地，所述ATM安全認證服務(wù)端與ATM終端分離部署。

一種ATM安全防護客戶端，包括：部署在ATM終端的信息獲取模塊、判定執(zhí)行模塊、數(shù)據(jù)傳輸模塊；

其中：

信息獲取模塊用于當有外接設(shè)備與ATM終端連接時，獲取外接設(shè)備信息；

判定執(zhí)行模塊用于根據(jù)信息獲取模塊獲取的信息判斷外接設(shè)備是否包含安全認證文件，并根據(jù)判斷結(jié)果對連接的外接設(shè)備進行接入或攔截操作；

數(shù)據(jù)傳輸模塊用于與ATM安全認證服務(wù)端建立數(shù)據(jù)連接關(guān)系。

進一步地，所述判定執(zhí)行模塊具體用于：根據(jù)信息獲取模塊獲取的信息判斷外接設(shè)備是否包含安全認證文件，若不包含則執(zhí)行攔截操作；若包含則通過數(shù)據(jù)傳輸模塊將安全認證文件與ATM安全認證服務(wù)端中的安全認證文件進行匹配，若匹配成功則執(zhí)行接入操作，否則執(zhí)行攔截操作。

進一步地，所述判定執(zhí)行模塊還用于：當所述外接設(shè)備接入所述ATM終端后，動態(tài)監(jiān)控外接設(shè)備的操作行為，并根據(jù)外接設(shè)備包含的安全認證文件判斷外接設(shè)備是否進行了非法操作，若是則執(zhí)行攔截操作，否則允許其繼續(xù)使用。

進一步地，所述根據(jù)外接設(shè)備包含的安全認證文件判斷外接設(shè)備是否進行了非法操作，具體包括：根據(jù)外接設(shè)備包含的安全認證文件的內(nèi)容，確定外接設(shè)備的使用范圍，繼而判斷當前狀態(tài)下外接設(shè)備的操作范圍是否超出了使用范圍，若是則視為外接設(shè)備進行了非法操作，否則視為外接設(shè)備的操作為合法操作；根據(jù)外接設(shè)備包含的安全認證文件的內(nèi)容，確定外接設(shè)備的使用權(quán)限，繼而判斷當前狀態(tài)下外接設(shè)備的操作是否超出了使用權(quán)限，若是則視為外接設(shè)備進行了非法操作，否則視為外接設(shè)備的操作為合法操作。

進一步地，所述判定執(zhí)行模塊還用于：對于成功接入ATM終端的外接設(shè)備，記錄其驅(qū)動狀態(tài)以及接入后的操作及使用信息，并整理成驅(qū)動記錄寫入相應(yīng)的安全認證文件中，并通過數(shù)據(jù)傳輸模塊將安全認證文件同步到ATM安全認證服務(wù)端中。

進一步地，所述判定執(zhí)行模塊還用于：當所述外接設(shè)備接入所述ATM終端后，讀取外接設(shè)備包含的安全認證文件，判斷安全認證文件是否被改寫，和/或根據(jù)安全認證文件中的驅(qū)動記錄判斷外接設(shè)備是否存在非法操作的使用記錄，若是則執(zhí)行攔截操作，否則執(zhí)行接入操作。

進一步地，針對被攔截的外接設(shè)備，將全網(wǎng)禁止其使用。

進一步地，還包括防御日志上傳模塊，具體用于：對于全網(wǎng)禁止使用的外接設(shè)備，記錄ATM安全防護客戶端對其防御的過程，并通過數(shù)據(jù)傳輸模塊向ATM安全認證服務(wù)端上報防御檢測日志，并將相應(yīng)外接設(shè)備信息移出ATM安全認證服務(wù)端。

進一步地，所述判定執(zhí)行模塊具體用于：根據(jù)信息獲取模塊獲取的信息判斷外接設(shè)備是否包含安全認證文件，若不包含則獲取外接設(shè)備內(nèi)存文件的特征信息，并通過數(shù)據(jù)傳輸模塊將特征信息上傳給ATM安全認證服務(wù)端進行檢測，并根據(jù)返回的檢測結(jié)果對連接的外接設(shè)備進行接入或攔截操作；若包含則通過數(shù)據(jù)傳輸模塊將安全認證文件與ATM安全認證服務(wù)端中的安全認證文件進行匹配，若匹配成功則執(zhí)行接入操作，否則執(zhí)行攔截操作。

一種ATM安全防御系統(tǒng)，包括上述服務(wù)端及客戶端，具體包括：上述服務(wù)端的注冊模塊、安全信任管理模塊、數(shù)據(jù)傳輸管理模塊，以及上述客戶端的信息獲取模塊、判定執(zhí)行模塊、數(shù)據(jù)傳輸模塊；該系統(tǒng)通過服務(wù)端與客戶端的數(shù)據(jù)交互，結(jié)合安全認證文件，實現(xiàn)對連接到ATM終端的外接設(shè)備的主動防御。

一種ATM安全檢測系統(tǒng)，包括上述服務(wù)端及客戶端，具體包括:上述服務(wù)端的數(shù)據(jù)傳輸管理模塊、云查殺模塊、模擬運行模塊，以及上述客戶端的信息獲取模塊、判定執(zhí)行模塊、數(shù)據(jù)傳輸模塊；該系統(tǒng)通過服務(wù)端與客戶端的數(shù)據(jù)交互，結(jié)合云查殺和模擬沙箱技術(shù)，實現(xiàn)對連接到ATM終端的外接設(shè)備的檢測；

其中：

服務(wù)端的云查殺模塊具體用于接收由客戶端上傳的特征信息，并對特征信息進行云查殺，同時根據(jù)特征信息判斷外接設(shè)備中是否存在可執(zhí)行文件，若是則通過數(shù)據(jù)傳輸管理模塊向外接設(shè)備獲取完整的可執(zhí)行文件，否則只對特征信息進行云查殺；

服務(wù)端的模擬運行模塊具體用于接收外接設(shè)備中完整的可執(zhí)行文件，并對可執(zhí)行文件進行模擬運行及檢測，判斷可執(zhí)行文件是否存在惡意行為；

由數(shù)據(jù)傳輸管理模塊向ATM終端下發(fā)云查殺模塊和模擬運行模塊的檢測結(jié)果。

進一步地，所述惡意行為包括：更改設(shè)備權(quán)限、修改系統(tǒng)文件。

進一步地，所述判定執(zhí)行模塊還用于：針對被攔截的外接設(shè)備，獲取并向所述服務(wù)端上傳其包含的惡意數(shù)據(jù)進行深度分析，并將惡意數(shù)據(jù)從外接設(shè)備中刪除。

進一步地，所述判定執(zhí)行模塊還用于：針對接入ATM終端的外接設(shè)備，實時監(jiān)控其使用狀態(tài)，判斷是否存在敏感行為，若是則對外接設(shè)備進行攔截操作，否則視為外接設(shè)備安全；其中，所述敏感行為包括：寫入操作、拷貝操作、聯(lián)網(wǎng)操作。

進一步地，還包括檢測日志上傳模塊，用于將判定執(zhí)行模塊對外接設(shè)備進行攔截或接入操作的具體處理過程上報給服務(wù)端，且服務(wù)端針對被攔截的外接設(shè)備向網(wǎng)內(nèi)ATM終端下發(fā)全網(wǎng)禁止其使用的指令。

一種ATM安全防御方法，包括：

向可接入ATM終端的外接設(shè)備寫入安全認證文件，并為每個寫入安全認證文件的外接設(shè)備分配唯一的設(shè)備標識，并將設(shè)備標識信息也寫入對應(yīng)外接設(shè)備的安全認證文件中；

當有外接設(shè)備與ATM終端連接時，獲取外接設(shè)備信息，判斷外接設(shè)備是否包含安全認證文件，若不包含則拒絕接入；若包含則將安全認證文件與原始保存的安全認證文件進行匹配，若匹配成功則允許接入，否則拒絕接入。

進一步地，所述向可接入ATM終端的外接設(shè)備寫入安全認證文件，具體為：獲取外接設(shè)備信息，并根據(jù)外接設(shè)備信息設(shè)定設(shè)備權(quán)限，將外接設(shè)備信息與設(shè)備權(quán)限信息整理成外接設(shè)備的安全認證文件，并將安全認證文件植入到接入的外接設(shè)備中。

進一步地，所述外接設(shè)備信息包括：設(shè)備生產(chǎn)廠家信息、設(shè)備容量信息、設(shè)備序列號；所述設(shè)備權(quán)限信息包括：設(shè)備使用范圍、設(shè)備讀寫權(quán)限。

進一步地，還包括：當所述外接設(shè)備接入所述ATM終端后，動態(tài)監(jiān)控外接設(shè)備的操作行為，并根據(jù)外接設(shè)備包含的安全認證文件判斷外接設(shè)備是否進行了非法操作，若是則阻止其使用，否則允許其繼續(xù)使用。

進一步地，所述根據(jù)外接設(shè)備包含的安全認證文件判斷外接設(shè)備是否進行了非法操作，具體包括：根據(jù)外接設(shè)備包含的安全認證文件的內(nèi)容，確定外接設(shè)備的使用范圍，繼而判斷當前狀態(tài)下外接設(shè)備的操作范圍是否超出了使用范圍，若是則視為外接設(shè)備進行了非法操作，否則視為外接設(shè)備的操作為合法操作；根據(jù)外接設(shè)備包含的安全認證文件的內(nèi)容，確定外接設(shè)備的使用權(quán)限，繼而判斷當前狀態(tài)下外接設(shè)備的操作是否超出了使用權(quán)限，若是則視為外接設(shè)備進行了非法操作，否則視為外接設(shè)備的操作為合法操作。

進一步地，還包括：對于成功接入ATM終端的外接設(shè)備，記錄其驅(qū)動狀態(tài)以及接入后的操作及使用信息，并整理成驅(qū)動記錄寫入相應(yīng)的安全認證文件中。

進一步地，還包括：當所述外接設(shè)備接入所述ATM終端后，讀取外接設(shè)備包含的安全認證文件，判斷安全認證文件是否被改寫，和/或根據(jù)安全認證文件中的驅(qū)動記錄判斷外接設(shè)備是否存在非法操作的使用記錄，若是則全網(wǎng)禁止相應(yīng)外接設(shè)備的使用，否則允許其繼續(xù)使用。

進一步地，還包括：對于全網(wǎng)禁止使用的外接設(shè)備，記錄對其防御的過程，并上報防御日志。

進一步地，對于不包含安全認證文件的外接設(shè)備，還包括：獲取外接設(shè)備內(nèi)存文件的特征信息，對特征信息進行云查殺，判斷外接設(shè)備是否存在惡意，并根據(jù)判斷結(jié)果對外接設(shè)備進行攔截或放行處理，并上報處理日志。

進一步地，還包括：在所述進行云查殺的過程中，判斷外接設(shè)備是否存在可執(zhí)行文件，若存在則獲取完整可執(zhí)行文件，并在虛擬環(huán)境中運行，實時監(jiān)控運行狀態(tài)，判斷是否存在敏感行為，若是則視為對應(yīng)外接設(shè)備存在惡意，否則視為外接設(shè)備安全；其中，所述敏感行為包括：更改設(shè)備權(quán)限、修改系統(tǒng)文件。

進一步地，還包括：針對攔截的外接設(shè)備，獲取并上傳其包含的惡意數(shù)據(jù)進行深度分析，并將惡意數(shù)據(jù)從外接設(shè)備中刪除。

進一步地，還包括：針對被放行的外接設(shè)備，實時監(jiān)控其使用狀態(tài)，判斷是否存在敏感行為，若是則對外接設(shè)備進行攔截，否則視為外接設(shè)備安全；其中，所述敏感行為包括：寫入操作、拷貝操作、聯(lián)網(wǎng)操作。

進一步地，針對被攔截的外接設(shè)備，將全網(wǎng)禁止其使用。

本發(fā)明的有益效果是：

本發(fā)明能夠?qū)崿F(xiàn)ATM惡意外設(shè)的多維度防御及檢測，不僅能夠通過文件特征防御，還能通過文件行為分析、使用權(quán)限限制等保證ATM 終端安全；

本發(fā)明能夠阻止惡意外設(shè)在網(wǎng)內(nèi)多臺終端上使用，在以往案例中，黑客會短時間內(nèi)在多臺ATM設(shè)備上進行破壞，本系統(tǒng)在發(fā)現(xiàn)惡意外設(shè)后，能夠阻止其在網(wǎng)內(nèi)其他終端上使用，控制了破壞范圍；

本發(fā)明能夠控制外接設(shè)備訪問范圍和使用權(quán)限，更好地保證了ATM終端的安全性；

本發(fā)明對違規(guī)行為進行阻止并上報行為記錄，便于收集ATM惡意攻擊樣本數(shù)據(jù)，并進行深度分析；

進一步地，本發(fā)明提出的防御檢測方法在對外接設(shè)備中的特征進行云查殺的同時，若發(fā)現(xiàn)外接設(shè)備中存在可執(zhí)行文件，則獲取可執(zhí)行文件的完整文件，并將其投入虛擬機中進行監(jiān)控執(zhí)行，該過程分離與ATM終端，不占用ATM終端內(nèi)存，不影響ATM終端正常使用，且對完整文件進行監(jiān)控執(zhí)行更能確保檢測結(jié)果的準確性，提高惡意行為的檢出率。

附圖說明

為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明一種ATM安全認證服務(wù)端結(jié)構(gòu)圖；

圖2為本發(fā)明一種ATM安全防護客戶端的結(jié)構(gòu)圖；

圖3為本發(fā)明一種ATM安全防御系統(tǒng)的結(jié)構(gòu)圖；

圖4為本發(fā)明一種ATM安全檢測系統(tǒng)的結(jié)構(gòu)圖；

圖5為本發(fā)明一種ATM安全防御方法的流程圖；

圖6為本發(fā)明一種ATM安全防御檢測方法的流程圖。

具體實施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明。

本發(fā)明給出了一種ATM安全認證服務(wù)端的實施例，如圖1所示，包括：注冊模塊101、安全信任管理模塊102、數(shù)據(jù)傳輸管理模塊103；

其中：

注冊模塊101用于向可接入ATM終端的外接設(shè)備寫入安全認證文件，并為每個寫入安全認證文件的外接設(shè)備分配唯一的設(shè)備標識，并將設(shè)備標識信息也寫入對應(yīng)外接設(shè)備的安全認證文件中；

安全信任管理模塊102，用于保存并管理寫入安全認證文件的外接設(shè)備信息和設(shè)備標識信息；

數(shù)據(jù)傳輸管理模塊103用于與ATM終端建立數(shù)據(jù)連接關(guān)系，并管理與ATM終端之間傳輸?shù)臄?shù)據(jù)；

還包括云查殺模塊104，用于對ATM終端上傳的指定數(shù)據(jù)進行云查殺。

還包括模擬運行模塊105，用于對可接入ATM終端的外接設(shè)備中的指定文件進行模擬運行及檢測

其中，云查殺模塊104與模擬運行模塊105為優(yōu)選模塊，可根據(jù)具體場景或需求選擇性的部署或刪除。

優(yōu)選地，所述注冊模塊101具體用于：將可接入ATM終端的外接設(shè)備接入ATM安全認證服務(wù)端后，獲取接入的外接設(shè)備信息，并根據(jù)外接設(shè)備信息設(shè)定設(shè)備權(quán)限，將外接設(shè)備信息與設(shè)備權(quán)限信息整理成外接設(shè)備的安全認證文件，并將安全認證文件植入到接入的外接設(shè)備中。

優(yōu)選地，所述外接設(shè)備信息包括：設(shè)備生產(chǎn)廠家信息、設(shè)備容量信息、設(shè)備序列號；所述設(shè)備權(quán)限信息包括：設(shè)備使用范圍、設(shè)備讀寫權(quán)限。

優(yōu)選地，所述ATM安全認證服務(wù)端與ATM終端分離部署。

本發(fā)明還給出一種ATM安全防護客戶端的實施例，如圖2所示，包括：部署在ATM終端的信息獲取模塊201、判定執(zhí)行模塊202、數(shù)據(jù)傳輸模塊203；

其中：

信息獲取模塊201用于當有外接設(shè)備與ATM終端連接時，獲取外接設(shè)備信息；

判定執(zhí)行模塊202用于根據(jù)信息獲取模塊201獲取的信息判斷外接設(shè)備是否包含安全認證文件，并根據(jù)判斷結(jié)果對連接的外接設(shè)備進行接入或攔截操作；

數(shù)據(jù)傳輸模塊203用于與ATM安全認證服務(wù)端建立數(shù)據(jù)連接關(guān)系。

優(yōu)選地，所述判定執(zhí)行模塊202具體用于：根據(jù)信息獲取模塊201獲取的信息判斷外接設(shè)備是否包含安全認證文件，若不包含則執(zhí)行攔截操作；若包含則通過數(shù)據(jù)傳輸模塊203將安全認證文件與ATM安全認證服務(wù)端中的安全認證文件進行匹配，若匹配成功則執(zhí)行接入操作，否則執(zhí)行攔截操作。

優(yōu)選地，所述判定執(zhí)行模塊202還用于：當所述外接設(shè)備接入所述ATM終端后，動態(tài)監(jiān)控外接設(shè)備的操作行為，并根據(jù)外接設(shè)備包含的安全認證文件判斷外接設(shè)備是否進行了非法操作，若是則執(zhí)行攔截操作，否則允許其繼續(xù)使用。

優(yōu)選地，所述根據(jù)外接設(shè)備包含的安全認證文件判斷外接設(shè)備是否進行了非法操作，具體包括：根據(jù)外接設(shè)備包含的安全認證文件的內(nèi)容，確定外接設(shè)備的使用范圍，繼而判斷當前狀態(tài)下外接設(shè)備的操作范圍是否超出了使用范圍，若是則視為外接設(shè)備進行了非法操作，否則視為外接設(shè)備的操作為合法操作；根據(jù)外接設(shè)備包含的安全認證文件的內(nèi)容，確定外接設(shè)備的使用權(quán)限，繼而判斷當前狀態(tài)下外接設(shè)備的操作是否超出了使用權(quán)限，若是則視為外接設(shè)備進行了非法操作，否則視為外接設(shè)備的操作為合法操作。

優(yōu)選地，所述判定執(zhí)行模塊202還用于：對于成功接入ATM終端的外接設(shè)備，記錄其驅(qū)動狀態(tài)以及接入后的操作及使用信息，并整理成驅(qū)動記錄寫入相應(yīng)的安全認證文件中，并通過數(shù)據(jù)傳輸模塊203將安全認證文件同步到ATM安全認證服務(wù)端中。

優(yōu)選地，所述判定執(zhí)行模塊202還用于：當所述外接設(shè)備接入所述ATM終端后，讀取外接設(shè)備包含的安全認證文件，判斷安全認證文件是否被改寫，和/或根據(jù)安全認證文件中的驅(qū)動記錄判斷外接設(shè)備是否存在非法操作的使用記錄，若是則執(zhí)行攔截操作，否則執(zhí)行接入操作。

優(yōu)選地，針對被攔截的外接設(shè)備，將全網(wǎng)禁止其使用。

優(yōu)選地，還包括防御日志上傳模塊，具體用于：對于全網(wǎng)禁止使用的外接設(shè)備，記錄ATM安全防護客戶端對其防御的過程，并通過數(shù)據(jù)傳輸模塊向ATM安全認證服務(wù)端上報防御檢測日志，并將相應(yīng)外接設(shè)備信息移出ATM安全認證服務(wù)端。

優(yōu)選地，所述判定執(zhí)行模塊202具體用于：根據(jù)信息獲取模塊獲取的信息判斷外接設(shè)備是否包含安全認證文件，若不包含則獲取外接設(shè)備內(nèi)存文件的特征信息，并通過數(shù)據(jù)傳輸模塊203將特征信息上傳給ATM安全認證服務(wù)端進行檢測，并根據(jù)返回的檢測結(jié)果對連接的外接設(shè)備進行接入或攔截操作；若包含則通過數(shù)據(jù)傳輸模塊203將安全認證文件與ATM安全認證服務(wù)端中的安全認證文件進行匹配，若匹配成功則執(zhí)行接入操作，否則執(zhí)行攔截操作。

本發(fā)明還給出一種ATM安全防御系統(tǒng)的實施例，如圖3所示，包括上述服務(wù)端及客戶端，具體包括：上述服務(wù)端的注冊模塊101、安全信任管理模塊102、數(shù)據(jù)傳輸管理模塊103，以及上述客戶端的信息獲取模塊201、判定執(zhí)行模塊202、數(shù)據(jù)傳輸模塊203；該系統(tǒng)通過服務(wù)端與客戶端的數(shù)據(jù)交互，結(jié)合安全認證文件，實現(xiàn)對連接到ATM終端的外接設(shè)備的主動防御。

本發(fā)明還給出一種ATM安全檢測系統(tǒng)的實施例，如圖4所示，包括上述服務(wù)端及客戶端，具體包括:上述服務(wù)端的數(shù)據(jù)傳輸管理模塊103、云查殺模塊104、模擬運行模塊105，以及上述客戶端的信息獲取模塊201、判定執(zhí)行模塊202、數(shù)據(jù)傳輸模塊203；該系統(tǒng)通過服務(wù)端與客戶端的數(shù)據(jù)交互，結(jié)合云查殺和模擬沙箱技術(shù)，實現(xiàn)對連接到ATM終端的外接設(shè)備的檢測；

其中：

服務(wù)端的云查殺模塊104具體用于接收由客戶端上傳的特征信息，并對特征信息進行云查殺，同時根據(jù)特征信息判斷外接設(shè)備中是否存在可執(zhí)行文件，若是則通過數(shù)據(jù)傳輸管理模塊向外接設(shè)備獲取完整的可執(zhí)行文件，否則只對特征信息進行云查殺；

服務(wù)端的模擬運行模塊105具體用于接收外接設(shè)備中完整的可執(zhí)行文件，并對可執(zhí)行文件進行模擬運行及檢測，判斷可執(zhí)行文件是否存在惡意行為；

由數(shù)據(jù)傳輸管理模塊103向ATM終端下發(fā)云查殺模塊和模擬運行模塊的檢測結(jié)果。

優(yōu)選地，所述惡意行為包括：更改設(shè)備權(quán)限、修改系統(tǒng)文件。

優(yōu)選地，所述判定執(zhí)行模塊202還用于：針對被攔截的外接設(shè)備，獲取并向所述服務(wù)端上傳其包含的惡意數(shù)據(jù)進行深度分析，并將惡意數(shù)據(jù)從外接設(shè)備中刪除。

優(yōu)選地，所述判定執(zhí)行模塊202還用于：針對接入ATM終端的外接設(shè)備，實時監(jiān)控其使用狀態(tài)，判斷是否存在敏感行為，若是則對外接設(shè)備進行攔截操作，否則視為外接設(shè)備安全；其中，所述敏感行為包括：寫入操作、拷貝操作、聯(lián)網(wǎng)操作。

優(yōu)選地，還包括檢測日志上傳模塊，用于將判定執(zhí)行模塊對外接設(shè)備進行攔截或接入操作的具體處理過程上報給服務(wù)端，且服務(wù)端針對被攔截的外接設(shè)備向網(wǎng)內(nèi)ATM終端下發(fā)全網(wǎng)禁止其使用的指令。

本發(fā)明還給出一種ATM安全防御方法的實施例，如圖5所示，包括：

S501：向可接入ATM終端的外接設(shè)備寫入安全認證文件，并為每個寫入安全認證文件的外接設(shè)備分配唯一的設(shè)備標識，并將設(shè)備標識信息也寫入對應(yīng)外接設(shè)備的安全認證文件中；

S502：當有外接設(shè)備與ATM終端連接時，獲取外接設(shè)備信息；

S503：判斷外接設(shè)備是否包含安全認證文件，若不包含則拒絕接入；若包含則進入S504；

S504：將安全認證文件與原始保存的安全認證文件進行匹配；

S505：判斷匹配是否成功，若匹配成功則允許接入，否則拒絕接入。

優(yōu)選地，所述向可接入ATM終端的外接設(shè)備寫入安全認證文件，具體為：獲取外接設(shè)備信息，并根據(jù)外接設(shè)備信息設(shè)定設(shè)備權(quán)限，將外接設(shè)備信息與設(shè)備權(quán)限信息整理成外接設(shè)備的安全認證文件，并將安全認證文件植入到接入的外接設(shè)備中。

優(yōu)選地，所述外接設(shè)備信息包括：設(shè)備生產(chǎn)廠家信息、設(shè)備容量信息、設(shè)備序列號；所述設(shè)備權(quán)限信息包括：設(shè)備使用范圍、設(shè)備讀寫權(quán)限。

優(yōu)選地，還包括：當所述外接設(shè)備接入所述ATM終端后，動態(tài)監(jiān)控外接設(shè)備的操作行為，并根據(jù)外接設(shè)備包含的安全認證文件判斷外接設(shè)備是否進行了非法操作，若是則阻止其使用，否則允許其繼續(xù)使用。

優(yōu)選地，所述根據(jù)外接設(shè)備包含的安全認證文件判斷外接設(shè)備是否進行了非法操作，具體包括：根據(jù)外接設(shè)備包含的安全認證文件的內(nèi)容，確定外接設(shè)備的使用范圍，繼而判斷當前狀態(tài)下外接設(shè)備的操作范圍是否超出了使用范圍，若是則視為外接設(shè)備進行了非法操作，否則視為外接設(shè)備的操作為合法操作；根據(jù)外接設(shè)備包含的安全認證文件的內(nèi)容，確定外接設(shè)備的使用權(quán)限，繼而判斷當前狀態(tài)下外接設(shè)備的操作是否超出了使用權(quán)限，若是則視為外接設(shè)備進行了非法操作，否則視為外接設(shè)備的操作為合法操作。

優(yōu)選地，還包括：對于成功接入ATM終端的外接設(shè)備，記錄其驅(qū)動狀態(tài)以及接入后的操作及使用信息，并整理成驅(qū)動記錄寫入相應(yīng)的安全認證文件中。

優(yōu)選地，還包括：當所述外接設(shè)備接入所述ATM終端后，讀取外接設(shè)備包含的安全認證文件，判斷安全認證文件是否被改寫，和/或根據(jù)安全認證文件中的驅(qū)動記錄判斷外接設(shè)備是否存在非法操作的使用記錄，若是則全網(wǎng)禁止相應(yīng)外接設(shè)備的使用，否則允許其繼續(xù)使用。

優(yōu)選地，還包括：對于全網(wǎng)禁止使用的外接設(shè)備，記錄對其防御的過程，并上報防御日志。

本發(fā)明還給出一種ATM安全防御檢測方法的實施例，如圖6所示，包括：

S601：向可接入ATM終端的外接設(shè)備寫入安全認證文件，并為每個寫入安全認證文件的外接設(shè)備分配唯一的設(shè)備標識，并將設(shè)備標識信息也寫入對應(yīng)外接設(shè)備的安全認證文件中；

S602：當有外接設(shè)備與ATM終端連接時，獲取外接設(shè)備信息；

S603：判斷外接設(shè)備是否包含安全認證文件，若包含則將安全認證文件與原始保存的安全認證文件進行匹配，若匹配成功則允許接入，否則拒絕接入；若不包含則進入S604；

S604：獲取外接設(shè)備內(nèi)存文件的特征信息，對特征信息進行云查殺；

S605：根據(jù)S604的查殺結(jié)果判斷外接設(shè)備是否存在惡意，并根據(jù)判斷結(jié)果對外接設(shè)備進行攔截或放行處理，并上報處理日志。

優(yōu)選地，還包括：在所述進行云查殺的過程中，判斷外接設(shè)備是否存在可執(zhí)行文件，若存在則獲取完整可執(zhí)行文件，并在虛擬環(huán)境中運行，實時監(jiān)控運行狀態(tài)，判斷是否存在敏感行為，若是則視為對應(yīng)外接設(shè)備存在惡意，否則視為外接設(shè)備安全；其中，所述敏感行為包括：更改設(shè)備權(quán)限、修改系統(tǒng)文件。

優(yōu)選地，還包括：針對攔截的外接設(shè)備，獲取并上傳其包含的惡意數(shù)據(jù)進行深度分析，并將惡意數(shù)據(jù)從外接設(shè)備中刪除。

優(yōu)選地，還包括：針對被放行的外接設(shè)備，實時監(jiān)控其使用狀態(tài)，判斷是否存在敏感行為，若是則對外接設(shè)備進行攔截，否則視為外接設(shè)備安全；其中，所述敏感行為包括：寫入操作、拷貝操作、聯(lián)網(wǎng)操作。

優(yōu)選地，針對被攔截的外接設(shè)備，將全網(wǎng)禁止其使用。

本發(fā)明提出一種ATM安全防御系統(tǒng)及方法，通過設(shè)備安全文件植入，對外接設(shè)備植入安全認證文件，安全認證文件可以記錄該外接設(shè)備使用權(quán)限，使用范圍，驅(qū)動程序狀態(tài)等；通過設(shè)備信任體系，建立信任體系，只有受信任的外接設(shè)備才能在網(wǎng)內(nèi)終端進行使用；通過外接設(shè)備文件模擬運行，解決未知文件不能簡單通過文件特征判斷文件安全性的問題，將文件實體上報到虛擬環(huán)境運行測試，文件正常才允許其在ATM終端進行運行。本發(fā)明能夠?qū)崿F(xiàn)ATM惡意外設(shè)的多維度防御及檢測，不僅能夠通過文件特征防御，還能通過文件行為分析、使用權(quán)限限制等保證ATM 終端安全；本發(fā)明能夠阻止惡意外設(shè)在網(wǎng)內(nèi)多臺終端上使用，在以往案例中，黑客會短時間內(nèi)在多臺ATM設(shè)備上進行破壞，本系統(tǒng)在發(fā)現(xiàn)惡意外設(shè)后，能夠阻止其在網(wǎng)內(nèi)其他終端上使用，控制了破壞范圍；本發(fā)明能夠控制外接設(shè)備訪問范圍和使用權(quán)限，更好地保證了ATM終端的安全性；本發(fā)明對違規(guī)行為進行阻止并上報行為記錄，便于收集ATM惡意攻擊樣本數(shù)據(jù)，并進行深度分析；進一步地，本發(fā)明提出的防御檢測方法在對外接設(shè)備中的特征進行云查殺的同時，若發(fā)現(xiàn)外接設(shè)備中存在可執(zhí)行文件，則獲取可執(zhí)行文件的完整文件，并將其投入虛擬機中進行監(jiān)控執(zhí)行，該過程分離與ATM終端，不占用ATM終端內(nèi)存，不影響ATM終端正常使用，且對完整文件進行監(jiān)控執(zhí)行更能確保檢測結(jié)果的準確性，提高惡意行為的檢出率。

雖然通過實施例描繪了本發(fā)明，本領(lǐng)域普通技術(shù)人員知道，本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神，希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。