本發(fā)明公開了一種對計算機硬件固件進行安全檢測和防護的方法及裝置，方法包括：開啟對操作系統(tǒng)HAL層的監(jiān)控；過濾操作系統(tǒng)對計算機硬件固件的操作請求；當操作請求是標準協(xié)議命令時，提取并記錄操作請求的基本元信息；將操作請求發(fā)送到對應的計算機硬件固件；過濾從計算機硬件固件收到的數(shù)據(jù)；當數(shù)據(jù)的格式與計算機硬件固件的相似度大于設定值時，進行攔截并報警；否則，判斷數(shù)據(jù)的格式是否符合標準協(xié)議返回格式，如是，將數(shù)據(jù)返回到操作系統(tǒng)；否則，進入分析模塊；判斷操作請求是否安全，如是，將數(shù)據(jù)返回到操作系統(tǒng)；否則，進行攔截并報警。本發(fā)明能有效的識別和防護針對硬件固件的危險行為、防止惡意軟件對硬件固件的操作。

技術領域

本發(fā)明涉及計算機安全防護領域，特別涉及一種對計算機硬件固件進行安全檢測和防護的方法及裝置。

背景技術

現(xiàn)代計算機架構中，除了用于控制整個計算機系統(tǒng)的傳統(tǒng)操作系統(tǒng)(如Windows、Linux)，其眾多組成硬件中，也包含有小型嵌入式的控制系統(tǒng)，這些控制系統(tǒng)運行的代碼一般是硬件固件代碼，如BIOS(主板固件)、網卡固件、硬盤固件等。硬件的固件代碼一般獨立于操作系統(tǒng)，并先于操作系統(tǒng)運行。

傳統(tǒng)的安全防護體系是在通用操作系統(tǒng)層，對其上運行的二進制代碼進行分析防護。某些能夠操作硬件固件的代碼，對硬件固件進行修改后，會對硬件原始行為進行感染/破壞，進而影響操作系統(tǒng)引導運行的過程，達到對其進行任意操作的目的，這樣就徹底破壞傳統(tǒng)安全防護體系。如BIOS病毒，方程式木馬等，傳統(tǒng)的安全解決方案很難做到檢測和防護的目的。現(xiàn)有的對硬件固件進行防護的技術，只有主板BIOS寫保護開關，但大部分默認處于關閉狀態(tài)；其他硬件固件都沒有相應的安全保護方案。

發(fā)明內容

本發(fā)明要解決的技術問題在于，針對現(xiàn)有技術的上述缺陷，提供一種能有效的識別和防護針對硬件固件的危險行為、防止惡意軟件對硬件固件的操作的對計算機硬件固件進行安全檢測和防護的方法及裝置。

本發(fā)明解決其技術問題所采用的技術方案是：構造一種對計算機硬件固件進行安全檢測和防護的方法，包括如下步驟：

A)開啟對計算機的操作系統(tǒng)的HAL(硬件抽象層接口)層的監(jiān)控；

B)過濾所述操作系統(tǒng)對計算機硬件固件的操作請求；

C)判斷所述操作請求是否是標準協(xié)議命令，如是，執(zhí)行步驟D)；否則，對所述操作請求進行攔截并報警；

D)提取并記錄所述操作請求的基本元信息，進入分析模塊，執(zhí)行步驟E)；

E)將所述操作請求發(fā)送到對應的計算機硬件固件；

F)過濾從計算機硬件固件收到的數(shù)據(jù)；

G)判斷所述數(shù)據(jù)的格式與對應的計算機硬件固件的相似度是否大于設定值，如是，對所述數(shù)據(jù)進行攔截并報警；否則，執(zhí)行步驟H)；

H)判斷所述數(shù)據(jù)的格式是否符合標準協(xié)議返回格式，如是，執(zhí)行步驟J)；否則，進入分析模塊，執(zhí)行步驟I)；

I)所述分析模塊判斷所述操作請求是否安全，如是，執(zhí)行步驟J)；否則，對所述數(shù)據(jù)進行攔截并報警；

J)將所述數(shù)據(jù)返回到所述操作系統(tǒng)。

在本發(fā)明所述的對計算機硬件固件進行安全檢測和防護的方法中，所述步驟C)進一步包括：

C1)按照計算機硬件固件的標準文檔，將所述操作請求進行解析得到所述操作請求的關鍵信息；所述關鍵信息包括請求命令和請求數(shù)據(jù)；

C2)判斷所述請求命令是否是高危請求，如是，對所述請求命令進行攔截并報警；否則，執(zhí)行步驟C3)；

C3)判斷所述請求數(shù)據(jù)是否含有高危數(shù)據(jù)格式或高危數(shù)據(jù)內容，如是，對所述請求數(shù)據(jù)進行攔截并報警；否則，執(zhí)行步驟C4)；