用于監(jiān)控和過濾通用串行總線網(wǎng)絡(luò)流量的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本公開通常涉及保護(hù)計(jì)算系統(tǒng)免受惡意軟件之害���。更具體地�,本公開涉及在惡意流量可以在裝置和計(jì)算系統(tǒng)之間傳遞之前在通用串行總線(USB)上檢測和阻擋惡意流量的
目.ο
【背景技術(shù)】
[0002]當(dāng)惡意流量被傳遞到計(jì)算系統(tǒng)時�����,計(jì)算系統(tǒng)的完整性可能被危及����。例如,當(dāng)流量中所包含的病毒�、惡意代碼�����、和/或其它惡意軟件被允許傳遞到計(jì)算機(jī)系統(tǒng)時�,它們可能破壞計(jì)算機(jī)系統(tǒng)的操作��。
[0003]通常���,為了保護(hù)計(jì)算系統(tǒng)(例如����,終端用戶系統(tǒng))免受惡意流量之害�,軟件可以在計(jì)算系統(tǒng)上被執(zhí)行以確定在計(jì)算系統(tǒng)上接收到的流量何時包括惡意內(nèi)容。雖然此類軟件可以有效識別在計(jì)算系統(tǒng)上接收到的包括惡意內(nèi)容的流量����,但低級系統(tǒng)和/或計(jì)算系統(tǒng)的驅(qū)動程序中的漏洞可能在在計(jì)算系統(tǒng)上被執(zhí)行的軟件識別到惡意內(nèi)容之前被惡意內(nèi)容利用��。例如�,影響與終端用戶系統(tǒng)相關(guān)聯(lián)的低級系統(tǒng)的病毒實(shí)際上可能在該病毒被終端用戶系統(tǒng)檢測到之前就感染了低級系統(tǒng)。
[0004]流量源可以是實(shí)際存儲流量(例如��,分組)的媒體設(shè)備��,并且此類流量可以被有效地上傳至終端用戶系統(tǒng)。當(dāng)此類媒體設(shè)備包含惡意內(nèi)容時��,惡意內(nèi)容可能被上傳至終端用戶系統(tǒng)并且可能在該內(nèi)容被識別為是惡意的之前感染與終端用戶系統(tǒng)相關(guān)聯(lián)的系統(tǒng)�。
【附圖說明】
[0005]通過下文結(jié)合附圖的詳細(xì)描述,將很容易理解本公開��,在附圖中:
[0006]圖1是根據(jù)實(shí)施例的監(jiān)控和過濾通用串行總線(USB)流量的監(jiān)控裝置或設(shè)備在流量源和終端用戶系統(tǒng)之間被耦合的總體系統(tǒng)的圖示���。
[0007]圖2A是根據(jù)實(shí)施例的監(jiān)控和過濾USB流量的USB集線器設(shè)備被耦合在流量源和終端用戶系統(tǒng)之間的總體系統(tǒng)的圖示��。
[0008]圖2B是根據(jù)實(shí)施例的USB媒體設(shè)備包括監(jiān)控和過濾USB流量的USB集線器模塊的總體系統(tǒng)的圖示����。
[0009]圖2C是根據(jù)實(shí)施例的終端用戶系統(tǒng)包括監(jiān)控和過濾USB流量的USB集線器模塊的總體系統(tǒng)的圖示��。
[0010]圖3是根據(jù)實(shí)施例的USB集線器設(shè)備的框圖表示���。
[0011]圖4是根據(jù)實(shí)施例的示出用于使用USB集線器設(shè)備監(jiān)控和過濾USB流量的一種方法的處理流程圖�。
[0012]圖5是根據(jù)實(shí)施例的示出使用USB集線器模塊(例如���,安裝在USB媒體設(shè)備上的USB集線器模塊)監(jiān)控和過濾USB流量的一種方法的處理流程圖���。
[0013]圖6是根據(jù)實(shí)施例的USB媒體設(shè)備的框圖表示����。
【具體實(shí)施方式】
[0014]_
[0015]根據(jù)一個方面�����,一種方法包括從通用串行總線(USB)總線上的第一元件獲取至少一個分組����。該至少一個分組被用于第二元件。該方法還包括:處理該至少一個分組以確定該至少一個分組是否與不安全內(nèi)容相關(guān)聯(lián)�����;以及當(dāng)確定至少一個分組不與不安全內(nèi)容相關(guān)聯(lián)時��,將至少一個分組提供給第二元件�。至少一個分組在USB總線上被提供給第二元件。最后��,該方法包括當(dāng)確定至少一個分組與不安全內(nèi)容相關(guān)聯(lián)時��,阻止將至少一個分組提供給第二元件���。
[0016]示例實(shí)施例
[0017]保護(hù)計(jì)算系統(tǒng)(例如�,終端用戶系統(tǒng))免受病毒��、惡意代碼和/或其它惡意軟件之害允許計(jì)算系統(tǒng)的完整性得以保留�����。通常�����,惡意流量在主機(jī)USB系統(tǒng)(例如���,終端用戶系統(tǒng))和USB客戶端設(shè)備(例如�����,USB媒體設(shè)備)之間的通用串行總線(USB)總線上傳遞��。雖然主機(jī)USB系統(tǒng)可以檢測病毒��、惡意代碼和/或其它惡意軟件何時存在于主機(jī)USB系統(tǒng)上�,但當(dāng)被檢測到時�,病毒、惡意代碼和/或其它惡意軟件可能已經(jīng)攻擊了主機(jī)USB系統(tǒng)�����。例如,在主機(jī)USB系統(tǒng)能夠檢測病毒�、惡意代碼和/或其它惡意軟件之前,設(shè)備驅(qū)動程序?qū)嶋H上可能已經(jīng)被病毒�����、惡意代碼和/或其它惡意軟件攻擊了����。當(dāng)惡意流量在其被檢測到之前到達(dá)主機(jī)USB系統(tǒng)時,主機(jī)USB系統(tǒng)的完整性可能被危及���。
[0018]通過提供連接至USB總線并且監(jiān)控用于計(jì)算系統(tǒng)的流量的基本獨(dú)立的裝置或設(shè)備�����,該獨(dú)立裝置可以識別惡意內(nèi)容并且阻止惡意內(nèi)容不利地影響計(jì)算系統(tǒng)���。獨(dú)立裝置可以有效充當(dāng)阻止惡意內(nèi)容到達(dá)計(jì)算系統(tǒng)(例如,含有USB主機(jī)控制器的系統(tǒng))的防火墻���、入侵檢測系統(tǒng)(IDS)和/或入侵防御系統(tǒng)(IPS)���。當(dāng)獨(dú)立裝置確定特定的內(nèi)容是惡意的時,獨(dú)立裝置能夠在惡意內(nèi)容已有效到達(dá)獨(dú)立裝置之前警告計(jì)算系統(tǒng)的用戶用于計(jì)算系統(tǒng)的流量包括惡意內(nèi)容���。此外�����,獨(dú)立裝置可以阻止或阻擋惡意內(nèi)容到達(dá)計(jì)算系統(tǒng)�����。
[0019]獨(dú)立裝置可以將流量與已知的病毒��、惡意代碼和/或惡意軟件的簽名進(jìn)行比較���,并且確定該流量是否是惡意的或者是否包含惡意內(nèi)容。當(dāng)流量被識別為是惡意的時�,獨(dú)立裝置可以警告該流量所針對的終端用戶系統(tǒng)的用戶,或者以其它方式阻止流量到達(dá)終端用戶系統(tǒng)�����。在一個實(shí)施例中,獨(dú)立裝置可以以最低USB協(xié)議或分組等級來操作���。應(yīng)該理解代替將流量和已知病毒�、惡意代碼和/或惡意軟件的簽名進(jìn)行比較��,流量不限于與已知病毒���、惡意代碼和/或惡意軟件的簽名進(jìn)行比較以識別惡意流量���。任意適當(dāng)?shù)姆椒ㄍǔ?梢员华?dú)立裝置用于檢測惡意流量��。例如�,可以對流量進(jìn)行處理以識別異常,并且含有異常的流量可以被分類為是惡意的或至少可能是惡意的��。
[0020]首先參考圖1�����,圖1將根據(jù)實(shí)施例描述監(jiān)控和過濾USB網(wǎng)絡(luò)流量的監(jiān)控裝置或設(shè)備在流量源和終端用戶系統(tǒng)之間被耦合的總體系統(tǒng)����?����?傮w系統(tǒng)100包括流量源104、監(jiān)控設(shè)備108�����、和終端用戶系統(tǒng)112���,例如�����,計(jì)算機(jī)設(shè)備�����。監(jiān)控設(shè)備108可以是在終端用戶系統(tǒng)112外部的USB集線器�����、并且被耦合到終端用戶系統(tǒng)112且被布置為從流量源104接收流量116����、120。在一個實(shí)施例中�,流量源104可以被耦合至監(jiān)控設(shè)備108從而使得監(jiān)控設(shè)備108與流量源104和終端用戶系統(tǒng)112有效地直接通信。流量源104可以將針對終端用戶系統(tǒng)112的流量116和120提供給監(jiān)控設(shè)備108����,并且終端用戶系統(tǒng)112可以將針對流量源104的流量(未示出)提供給監(jiān)控設(shè)備108。
[0021]流量源104可以是可以與監(jiān)控設(shè)備108通信(例如��,物理耦合到監(jiān)控設(shè)備108)的任意設(shè)備或組件����。在一個實(shí)施例中,流量源104包括與監(jiān)控設(shè)備108的插座(receptacle)(未示出)通過接口連接的連接器(未示出)�����,或者包括與監(jiān)控設(shè)備108的連接器(未示出)通過接口連接的插座(未示出)���。應(yīng)該理解的是在一些實(shí)例中�,流量源104可以與監(jiān)控設(shè)備108無線通信并且因此通信地耦合至而不是物理地耦合至監(jiān)控設(shè)備108��。
[0022]監(jiān)控設(shè)備108通常被布置為處理流量116�、120以識別安全流量120和不安全、或惡意流量116�����。監(jiān)控設(shè)備108獲取流量116和120并且當(dāng)識別到安全流量120和不安全流量116時,可以將安全流量120提供給終端用戶系統(tǒng)112并且阻止將不安全流量116提供給終端用戶系統(tǒng)�����。監(jiān)控設(shè)備108可以使用任意適當(dāng)?shù)姆椒▉硗ㄟ^將與流量116�����、120相關(guān)聯(lián)的簽名與不安全內(nèi)容的已知簽名相比較(例如���,病毒和/或惡意軟件的已知的簽名)以識別安全流量120和不安全流量116。簽名可以被存儲在監(jiān)控設(shè)備108上并且可以通過監(jiān)控設(shè)備108進(jìn)行定期地更新��。更新簽名可以包括但不限于從監(jiān)控設(shè)備108可訪問的數(shù)據(jù)儲存庫(未示出)獲取當(dāng)前簽名����。
[0023]在一個實(shí)施例中,監(jiān)控設(shè)備108可以是監(jiān)控和過濾USB流量的USB集線器設(shè)備�����。圖2A是根據(jù)實(shí)施例的監(jiān)控和過濾USB流量的USB集線器設(shè)備被耦合在流量源和終端用戶系統(tǒng)之間的總體系統(tǒng)的圖示�����。總體系統(tǒng)200包括USB設(shè)備204���,在所述實(shí)施例中�����,USB設(shè)備204是USB媒體驅(qū)動器204�。系統(tǒng)200還包括USB集線器設(shè)備208和終端用戶系統(tǒng)212�,例如,具有USB主機(jī)控制器(未示出)的計(jì)算機(jī)設(shè)備��。<