技術領域

本發明涉及信息安全技術領域，尤其涉及一種ATM安全防御檢測系統及方法。

背景技術

隨著金融行業的快速發展，ATM機已經成為了人們日常管理現金的一個重要渠道，隨之而來的，是越來越多黑客開始以ATM終端為攻擊目標，通過惡意代碼從ATM終端獲取不法之財。

由于ATM終端的網絡多數都采用局域網絡，而且ATM終端為自助形式，無人值守設備，所以傳統的垃圾郵件、網站掛馬等入侵方式無法作用于ATM終端，目前針對ATM終端的惡意攻擊多數采用通過USB接口方式將惡意代碼植入設備，黑客將惡意文件放入到U盤或者手機中，通過ATM終端的USB接口連接，對終端進行攻擊。

目前很多ATM終端沒有部署針對USB接入設備的檢測與防御機制，而部分ATM終端安裝了傳統殺毒軟件，這類殺毒軟件主要工作流程如下：

1.在例如U盤的等外界設備接入時，掃描U盤內文件獲取文件特征；

2.將文件特征和本地數據庫或者云端數據庫進行對比，判斷文件是否是病毒文件；

3.針對病毒文件進行告警并隔離，針對白文件或者未知文件放行。

雖然這種檢測機制能夠識別出一些已知的惡意文件，但是，很多針對ATM攻擊的病毒文件都是未知文件，因此這種傳統的黑名單機制不能有效發現并防御這些未知文件，而且部分黑客并不直接將惡意文件直接放在外接設備中，而是通過手機熱點的連接讓ATM終端能夠訪問互聯網網絡，通過互聯網將惡意文件植入終端，因此ATM外設檢測系統不僅要能查殺外接設備中的已知惡意文件，同時還要能通過拷貝進入的行為，判斷文件危害性，并要能監控并禁止外接設備違規行為，另外由于ATM終端配置較低，因此檢測與防御系統要盡可能較少的占用終端硬件資源與網絡帶寬，不影響正常業務系統運行。

發明內容

針對上述現有技術中存在的不足，本發明提出一種ATM安全防御檢測系統及方法。包括：客戶端模塊、云查殺模塊、日志上傳模塊；所述云查殺模塊部署在服務器，客戶端模塊和日志上傳模塊部署在ATM終端；客戶端模塊用于獲取外接設備內存文件的特征信息，并將特征信息上傳給云查殺模塊，并根據云查殺模塊下發的操作指令對外接設備進行攔截或放行處理；云查殺模塊用于對特征信息進行云查殺，判斷外接設備是否存在惡意，并根據判斷結果向客戶端模塊下發攔截或放行的操作指令；日志上傳模塊用于向服務器上報客戶端模塊對外接設備的處理日志。

具體發明內容包括：

一種ATM安全防御檢測系統，包括：客戶端模塊、云查殺模塊、日志上傳模塊；所述云查殺模塊部署在服務器，客戶端模塊和日志上傳模塊部署在ATM終端；

其中：

客戶端模塊用于獲取外接設備內存文件的特征信息，并將特征信息上傳給云查殺模塊，并根據云查殺模塊下發的操作指令對外接設備進行攔截或放行處理；

云查殺模塊用于對特征信息進行云查殺，判斷外接設備是否存在惡意，并根據判斷結果向客戶端模塊下發攔截或放行的操作指令；

日志上傳模塊用于向服務器上報客戶端模塊對外接設備的處理日志。

進一步地，所述云查殺模塊還用于：根據客戶端模塊上報的外接設備內存文件的特征信息，判斷外接設備是否存在可執行文件，若存在則獲取完整可執行文件，并在虛擬環境中運行，實時監控運行狀態，判斷是否存在敏感行為，若是則視為對應外接設備存在惡意，否則視為外接設備安全；其中，所述敏感行為包括：更改設備權限、修改系統文件。

進一步地，所述客戶端模塊還用于：針對攔截的外接設備，獲取其包含的惡意數據，并上報給服務器進行深度分析，同時將惡意數據從外接設備中刪除。

進一步地，所述客戶端模塊還用于：針對被放行的外接設備，實時監控其使用狀態，判斷是否存在敏感行為，若是則對外接設備進行攔截，否則視為外接設備安全；其中，所述敏感行為包括：寫入操作、拷貝操作、聯網操作。

進一步地，所述云查殺模塊還用于：統計被攔截的外接設備的設備信息，并向全網下發禁止其使用的操作指令；所述設備信息包括：設備生產廠家信息、設備容量信息、設備序列號；所述設備權限信息包括：設備使用范圍、設備讀寫權限。

一種ATM安全防御檢測方法，包括：

當有可接入ATM終端的外接設備連接ATM終端時，獲取外接設備內存文件的特征信息；

對所述特征信息進行云查殺；

根據云查殺結果判斷外接設備是否存在惡意；

根據判斷結果對外接設備進行攔截或放行處理；

上報處理日志。