技術領域

本發明涉及病毒查殺的領域，尤其涉及孤島式的以太網內部移動存儲介質的病毒防御技術。

背景技術

擺渡木馬是使用U盤等移動存儲介質作為媒介進行攻擊與傳播的木馬，當感染該木馬的移動存儲介質接入內網計算機后，就向被接入的計算機植入木馬，木馬對計算機內的信息進行收集并存入U盤。當這個U盤被拿到外網進行使用時，將收集到的信息通過Internet向外界發送。由于U盤在攻擊中充當了從物理隔離的內網到互聯網的渡船的角色，所以此類木馬被稱為擺渡木馬。目前解決擺渡木馬的方法包括以下幾種：

第一種方法是使用病毒庫對U盤木馬進行查殺，這是最典型的處理方式。特別是借助于最新的云鑒定技術，殺毒軟件廠商可以在極短的時間內響應并查殺新發現的U盤木馬。

該方法對于普通用戶使用是非常有效的，但是對于一些重要的政府與軍隊部門，這種方法并不適用，原因是這些部門的內網環境與互聯網是物理隔離的，云安全等基于互聯網的機制無法生效；針對這些部門的木馬攻擊，使用的木馬往往是訂制的，傳播量極小，在互聯網上難以及時捕獲與分析。

擺渡木馬借助系統的自動運行機制實現U盤插入后自動運行與攻擊。這種攻擊依賴于Windows系統的移動設備自動運行機制。第二種方法是想辦法關閉系統的自動運行方式。具體的實現方式有很多種，比如修改系統設置等。

隨著U盤病毒的廣泛傳播，越來越多的安全軟件開始關閉系統的自動運行機制。對于目前成熟的U盤防護技術來說，已經可以達到U盤中的病毒基本無法自動運行的程度了。但是，入侵者隨即開始使用新的方式：即偽裝文件，誘騙用戶點擊的方式實現木馬運行。一個典型的入侵過程如下：

木馬感染用戶的U盤后，發現U盤中有一個文檔：工作總結.doc，于是就將自己的病毒體改名為工作總結.doc.exe，由于多數計算機默認不顯示文件后綴名，因此在用戶看起來，木馬病毒與原來的文檔是同名的。

木馬將原先的文檔設置為隱藏屬性，這使得用戶看起來盤中仍然只有一個工作總結.doc，當用戶在內網中插入感染后的U盤，并且試圖打開工作總結.doc文件之后，木馬首先執行攻擊動作，然后將原來的真正文檔打開。在這個過程中，用戶并沒有意識到內網的電腦已經受到攻擊了。對于上面所述的結合社會工程學手段的攻擊技術，即使已經關閉了U盤的自動運行機制，仍然是不能防御的。另外，病毒也可能通過漏洞(比如微軟的LNK漏洞)與社會工程學相結合的方式來進行攻擊。

第三種方法是防止數據寫入移動設備，即在物理隔離的內網計算機內插入移動設備時，阻止任何程序向移動設備中寫入數據(將U盤設置為只讀，或者使用驅動程序阻止對于移動設備的寫操作)。僅僅阻止移動設備寫入，可以防止木馬將獲取的數據傳出到互聯網上。但是，這是以放棄U盤的數據交換功能為代價的。在實際使用環境中，有些用戶會因為此類限制影響正常工作而關閉監控功能。

第四種方法是通過一臺中間機來存放所有進入內網的文件，再使用內部移動存儲設備將數據拷貝到內網的電腦中。詳細做法是：

i.禁止內網任何電腦直接連接外來移動存儲設備；

ii.設置一個與內網隔離的機器作為中間機，所有外來移動存儲設備可以將移動數據拷貝到中間機中，再通過內部移動存儲設備拷貝到內網的機器中；

iii.在內部移動存儲設備中采用不同的加密方式，使得潛在的木馬難以直接寫入內部移動存儲設備；

該方法中安全依賴于內部移動設備的加密算法與實現不為黑客所知，否則黑客依然可以模仿內網讀寫內部移動設備的方法，讓木馬實現對內部移動設備的讀寫；并過于依賴內部移動存儲設備，使用起來流程比較復雜；而且存在內部移動存儲設備丟失的危險；另外內部移動存儲設備需要專門的安全U盤，采購成本較高。

發明內容

本發明提供一種孤島式以太網防御移動存儲介質病毒的系統和方法，能夠提高防御移動存儲介質病毒的有效性和實用性并且不增加成本。

本發明提供了孤島式以太網內防御移動存儲介質病毒的方法，所述以太網包括客戶端和服務器，所述方法包括步驟：

當用戶插入移動存儲介質時，客戶端監控每個進程對所述移動存儲介質的讀寫操作，阻止除該監控進程以外的其它進程讀取數據，以及發送提示消息，提示用戶將所述移動存儲介質中的文件上傳至所述服務器，并在用戶拒絕上傳所述文件時阻止所述文件被訪問；

所述服務器記錄上傳文件的用戶信息，將所收到的文件進行安全性鑒定；

將鑒定成功的文件發送給所述用戶。