一种基于Hypervisor的BadUSB攻击防御方法

发布时间：2024-03-05 00:42

　　BadUSB攻击隐蔽性强、防御难度高,已成为网络空间安全的一个重要威胁.提出一种基于Hypervisor的BadUSB攻击防御方法.该方法基于Hypervisor监控USB设备的枚举过程,并获取试图接入的USB设备的详细信息及其申请的接口信息,然后基于设备的管控策略决定允许或禁止USB设备的继续接入,从而实现对基于恶意申请HID等接口实现的BadUSB攻击的防御功能.测试表明,该方法能够有效监控和防御BadUSB攻击,且开销在可接受的范围内.

【文章页数】：9 页

【部分图文】：

图1总体架构

本文方法架构如图1所示，该方法由监控模块、虚拟机自省（VirtualMachineIntrospection,VMI）模块、信息交互模块、配置管理模块、日志和策略库六个模块构成，其中监控模块、VMI模块和策略库位于Hypervisor中，其他模块位于用户空间.监控模块负责实现....

图2USB设备枚举过程

在USB协议的枚举阶段，驻留在主机操作系统内的USB主机控制器发起一系列查询以发现关于设备功能的信息并加载相应驱动.而BadUSB攻击的根本原因是在USB协议的枚举阶段缺乏访问控制.本节中以Linux系统为例深入分析了整个枚举过程的实现机制，如图2所示.为了实现USB设备的热插....

图5基于管控策略的监控机制

2）存在与该设备属性信息匹配的策略，此时存在以下两种情况：(1)当前USB设备申请的接口类型不在匹配的任何策略的I集合中.表明该USB设备在本次连接中申请了一个之前连接中没有申请过的接口，此时Hypervisor执行（1）中的操作，并特别提示用户本USB设备申请了一个之前从未申请....

图6Hypervisor开销测试

为了测试Hypervisor对主机性能的影响，使用LMbench3(http：//www.bitmover.com/lmbench/.）作为基准测试集，分别对部署Hypervisor和未部署Hypervisor的系统进行测试，测试结果如图6所示，图中仅列出了比较有代表性的测试项.....

本文编号：3919416