用于监控和过滤通用串行总线网络流量的方法和装置转让专利
申请号 : CN201480046584.4
文献号 : CN105474604B
文献日 : 2018-12-25
发明人 : 克里斯多夫·香农·古尔利
申请人 : 思科技术公司
摘要 :
在一个实施例中,一种方法包括在通用串行总线(USB)总线上从第一元件获取至少一个分组。该至少一个分组被用于第二元件。该方法还包括处理该至少一个分组以确定该分组是否与不安全内容相关联,并且当确定至少一个分组不与不安全内容相关联时,将至少一个分组提供给第二元件。至少一个分组在USB总线上被提供给第二元件。最后,该方法包括当确定至少一个分组与不安全内容相关联时,阻止至少一个分组被提供给第二元件。
权利要求 :
1.一种方法,包括:
在通用串行总线(USB)集线器设备处从第一元件获取至少一个分组,所述至少一个分组是在USB总线上被获取的,其中,所述至少一个分组被用于第二元件;
在所述USB集线器设备处处理所述至少一个分组以确定所述分组是否与不安全内容相关联;
如果确定所述至少一个分组不与所述不安全内容相关联,则将所述至少一个分组从所述USB集线器设备提供给所述第二元件的处理设置,其中,所述至少一个分组在所述USB总线上被提供给所述第二元件;并且当确定所述至少一个分组与所述不安全内容相关联时,阻止所述至少一个分组被提供给所述第二元件。
2.根据权利要求1所述的方法,其中,所述第一元件是USB媒体设备并且所述第二元件是终端用户系统,并且其中,所述终端用户系统包括USB主机控制器。
3.根据权利要求2所述的方法,其中,所述USB集线器设备被耦合在所述USB媒体设备和所述终端用户系统之间。
4.根据权利要求1所述的方法,其中,处理所述至少一个分组以确定所述分组是否与不安全内容相关联包括:识别与所述至少一个分组相关联的签名,并且确定与所述至少一个分组相关联的签名是否将所述至少一个分组标识为具有所述不安全内容。
5.根据权利要求4所述的方法,其中,确定与所述至少一个分组相关联的签名是否将所述至少一个分组标识为具有所述不安全内容包括:获取与已知的不安全内容相关联的签名的集合,并且将与所述至少一个分组相关联的签名与所述签名的集合进行比较。
6.根据权利要求1所述的方法,还包括:
当确定所述至少一个分组与所述不安全内容相关联时,向所述第二元件提供指示,其中,所述指示被布置为指示所述第一元件正试图将所述不安全内容提供给所述第二元件。
7.根据权利要求1所述的方法,其中,所述第一元件是USB媒体设备的存储布置,并且其中,所述至少一个分组在所述USB总线上通过所述USB媒体设备的USB集线器模块被获取。
8.根据权利要求1所述的方法,其中,所述至少一个分组在所述USB总线上通过计算设备的USB集线器模块被获取,所述第二元件是USB主机控制器。
9.一种包括计算机程序代码的有形非暂态计算机可读介质,当所述计算机程序代码被执行时,所述计算机程序代码被配置为:在通用串行总线(USB)集线器设备处从第一元件获取至少一个分组,所述至少一个分组是在USB总线上被获取的,其中,所述至少一个分组被用于第二元件;
在所述USB集线器设备处处理所述至少一个分组以确定所述分组是否与不安全内容相关联;
如果确定所述至少一个分组不与所述不安全内容相关联,则将所述至少一个分组从所述USB集线器设备提供给所述第二元件的处理设置,其中,所述至少一个分组在所述USB总线上被提供给所述第二元件;并且当确定所述至少一个分组与所述不安全内容相关联时,阻止所述至少一个分组被提供给所述第二元件。
10.根据权利要求9所述的包括计算机程序代码的有形非暂态计算机可读介质,其中,所述第一元件是USB媒体设备并且所述第二元件是终端用户系统,并且其中,所述终端用户系统包括USB主机控制器。
11.根据权利要求10所述的包括计算机程序代码的有形非暂态计算机可读介质,其中,所述USB集线器设备被耦合在所述USB媒体设备和所述终端用户系统之间。
12.根据权利要求9所述的包括计算机程序代码的有形非暂态计算机可读介质,其中,被配置为处理所述至少一个分组以确定所述分组是否与不安全内容相关联的所述计算机程序代码还被配置为:识别与所述至少一个分组相关联的签名,并且确定与所述至少一个分组相关联的签名是否将所述至少一个分组标识为具有所述不安全内容。
13.根据权利要求12所述的包括计算机程序代码的有形非暂态计算机可读介质,其中,被配置为确定与所述至少一个分组相关联的签名是否将所述至少一个分组标识为具有所述不安全内容的所述程序代码还被配置为:获取与已知的不安全内容相关联的签名的集合,并且将与所述至少一个分组相关联的签名与所述签名的集合进行比较。
14.根据权利要求13所述的包括计算机程序代码的有形非暂态计算机可读介质,其中,所述计算机程序代码还被配置为:当确定所述至少一个分组与所述不安全内容相关联时向所述第二元件提供指示,其中,所述指示被布置为指示所述第一元件正试图将所述不安全内容提供给所述第二元件。
15.一种装置,包括:
处理设置;
通信接口,所述通信接口被配置为与通用串行总线(USB)设备和终端用户系统通过接口连接,所述通信接口还被配置为拦截来自所述USB媒体设备和所述终端用户系统中的任意一个的流量;
逻辑,所述逻辑能操作来确定所述流量是否包括不安全内容,其中,所述逻辑能操作来当确定所述流量不包括所述不安全内容时将所述流量提供至目的地,并且其中,所述逻辑还能操作来当确定所述流量包括所述不安全内容时阻止所述流量被提供至目的地,其中,所述装置是USB集线器设备。
16.根据权利要求15所述的装置,其中,能操作来确定所述流量是否包括所述不安全内容的所述逻辑还能操作来执行以下操作:识别与所述流量相关联的第一签名并且将所述第一签名和与已知不安全内容相关联的至少一个签名进行比较。
17.根据权利要求16所述的装置,还包括:
数据存储,所述数据存储被配置为存储与所述已知不安全内容相关联的所述至少一个签名,其中,能操作来将所述第一签名和与所述已知不安全内容相关联的所述至少一个签名进行比较的所述逻辑还能操作来执行以下操作:从所述数据存储获取与所述已知不安全内容相关联的所述至少一个签名。
18.根据权利要求16所述的装置,其中,能操作来当确定所述流量包括所述不安全内容时阻止所述流量被提供至所述目的地的所述逻辑还能操作来执行以下操作:当所述第一签名与所述至少一个签名匹配时,阻止所述流量被提供至所述目的地。
19.根据权利要求16所述的装置,其中,所述目的地是所述终端用户系统。
说明书 :
用于监控和过滤通用串行总线网络流量的方法和装置
技术领域
[0001] 本公开通常涉及保护计算系统免受恶意软件之害。更具体地,本公开涉及在恶意流量可以在装置和计算系统之间传递之前在通用串行总线(USB)上检测和阻挡恶意流量的装置。
背景技术
[0002] 当恶意流量被传递到计算系统时,计算系统的完整性可能被危及。例如,当流量中所包含的病毒、恶意代码、和/或其它恶意软件被允许传递到计算机系统时,它们可能破坏计算机系统的操作。
[0003] 通常,为了保护计算系统(例如,终端用户系统)免受恶意流量之害,软件可以在计算系统上被执行以确定在计算系统上接收到的流量何时包括恶意内容。虽然此类软件可以有效识别在计算系统上接收到的包括恶意内容的流量,但低级系统和/或计算系统的驱动程序中的漏洞可能在在计算系统上被执行的软件识别到恶意内容之前被恶意内容利用。例如,影响与终端用户系统相关联的低级系统的病毒实际上可能在该病毒被终端用户系统检测到之前就感染了低级系统。
[0004] 流量源可以是实际存储流量(例如,分组)的媒体设备,并且此类流量可以被有效地上传至终端用户系统。当此类媒体设备包含恶意内容时,恶意内容可能被上传至终端用户系统并且可能在该内容被识别为是恶意的之前感染与终端用户系统相关联的系统。
附图说明
[0005] 通过下文结合附图的详细描述,将很容易理解本公开,在附图中:
[0006] 图1是根据实施例的监控和过滤通用串行总线(USB)流量的监控装置或设备在流量源和终端用户系统之间被耦合的总体系统的图示。
[0007] 图2A是根据实施例的监控和过滤USB流量的USB集线器设备被耦合在流量源和终端用户系统之间的总体系统的图示。
[0008] 图2B是根据实施例的USB媒体设备包括监控和过滤USB流量的USB集线器模块的总体系统的图示。
[0009] 图2C是根据实施例的终端用户系统包括监控和过滤USB流量的USB集线器模块的总体系统的图示。
[0010] 图3是根据实施例的USB集线器设备的框图表示。
[0011] 图4是根据实施例的示出用于使用USB集线器设备监控和过滤USB流量的一种方法的处理流程图。
[0012] 图5是根据实施例的示出使用USB集线器模块(例如,安装在USB媒体设备上的USB集线器模块)监控和过滤USB流量的一种方法的处理流程图。
[0013] 图6是根据实施例的USB媒体设备的框图表示。
具体实施方式
[0014] 综述
[0015] 根据一个方面,一种方法包括从通用串行总线(USB)总线上的第一元件获取至少一个分组。该至少一个分组被用于第二元件。该方法还包括:处理该至少一个分组以确定该至少一个分组是否与不安全内容相关联;以及当确定至少一个分组不与不安全内容相关联时,将至少一个分组提供给第二元件。至少一个分组在USB总线上被提供给第二元件。最后,该方法包括当确定至少一个分组与不安全内容相关联时,阻止将至少一个分组提供给第二元件。
[0016] 示例实施例
[0017] 保护计算系统(例如,终端用户系统)免受病毒、恶意代码和/或其它恶意软件之害允许计算系统的完整性得以保留。通常,恶意流量在主机USB系统(例如,终端用户系统)和USB客户端设备(例如,USB媒体设备)之间的通用串行总线(USB)总线上传递。虽然主机USB系统可以检测病毒、恶意代码和/或其它恶意软件何时存在于主机USB系统上,但当被检测到时,病毒、恶意代码和/或其它恶意软件可能已经攻击了主机USB系统。例如,在主机USB系统能够检测病毒、恶意代码和/或其它恶意软件之前,设备驱动程序实际上可能已经被病毒、恶意代码和/或其它恶意软件攻击了。当恶意流量在其被检测到之前到达主机USB系统时,主机USB系统的完整性可能被危及。
[0018] 通过提供连接至USB总线并且监控用于计算系统的流量的基本独立的装置或设备,该独立装置可以识别恶意内容并且阻止恶意内容不利地影响计算系统。独立装置可以有效充当阻止恶意内容到达计算系统(例如,含有USB主机控制器的系统)的防火墙、入侵检测系统(IDS)和/或入侵防御系统(IPS)。当独立装置确定特定的内容是恶意的时,独立装置能够在恶意内容已有效到达独立装置之前警告计算系统的用户用于计算系统的流量包括恶意内容。此外,独立装置可以阻止或阻挡恶意内容到达计算系统。
[0019] 独立装置可以将流量与已知的病毒、恶意代码和/或恶意软件的签名进行比较,并且确定该流量是否是恶意的或者是否包含恶意内容。当流量被识别为是恶意的时,独立装置可以警告该流量所针对的终端用户系统的用户,或者以其它方式阻止流量到达终端用户系统。在一个实施例中,独立装置可以以最低USB协议或分组等级来操作。应该理解代替将流量和已知病毒、恶意代码和/或恶意软件的签名进行比较,流量不限于与已知病毒、恶意代码和/或恶意软件的签名进行比较以识别恶意流量。任意适当的方法通常可以被独立装置用于检测恶意流量。例如,可以对流量进行处理以识别异常,并且含有异常的流量可以被分类为是恶意的或至少可能是恶意的。
[0020] 首先参考图1,图1将根据实施例描述监控和过滤USB网络流量的监控装置或设备在流量源和终端用户系统之间被耦合的总体系统。总体系统100包括流量源104、监控设备108、和终端用户系统112,例如,计算机设备。监控设备108可以是在终端用户系统112外部的USB集线器、并且被耦合到终端用户系统112且被布置为从流量源104接收流量116、120。
在一个实施例中,流量源104可以被耦合至监控设备108从而使得监控设备108与流量源104和终端用户系统112有效地直接通信。流量源104可以将针对终端用户系统112的流量116和
120提供给监控设备108,并且终端用户系统112可以将针对流量源104的流量(未示出)提供给监控设备108。
在一个实施例中,流量源104可以被耦合至监控设备108从而使得监控设备108与流量源104和终端用户系统112有效地直接通信。流量源104可以将针对终端用户系统112的流量116和
120提供给监控设备108,并且终端用户系统112可以将针对流量源104的流量(未示出)提供给监控设备108。
[0021] 流量源104可以是可以与监控设备108通信(例如,物理耦合到监控设备108)的任意设备或组件。在一个实施例中,流量源104包括与监控设备108的插座(receptacle)(未示出)通过接口连接的连接器(未示出),或者包括与监控设备108的连接器(未示出)通过接口连接的插座(未示出)。应该理解的是在一些实例中,流量源104可以与监控设备108无线通信并且因此通信地耦合至而不是物理地耦合至监控设备108。
[0022] 监控设备108通常被布置为处理流量116、120以识别安全流量120和不安全、或恶意流量116。监控设备108获取流量116和120并且当识别到安全流量120和不安全流量116时,可以将安全流量120提供给终端用户系统112并且阻止将不安全流量116提供给终端用户系统。监控设备108可以使用任意适当的方法来通过将与流量116、120相关联的签名与不安全内容的已知签名相比较(例如,病毒和/或恶意软件的已知的签名)以识别安全流量120和不安全流量116。签名可以被存储在监控设备108上并且可以通过监控设备108进行定期地更新。更新签名可以包括但不限于从监控设备108可访问的数据储存库(未示出)获取当前签名。
[0023] 在一个实施例中,监控设备108可以是监控和过滤USB流量的USB集线器设备。图2A是根据实施例的监控和过滤USB流量的USB集线器设备被耦合在流量源和终端用户系统之间的总体系统的图示。总体系统200包括USB设备204,在所述实施例中,USB设备204是USB媒体驱动器204。系统200还包括USB集线器设备208和终端用户系统212,例如,具有USB主机控制器(未示出)的计算机设备。
[0024] 可以是闪盘驱动器或拇指驱动器的USB媒体驱动器204可以被耦合到USB集线器设备208并且可以将不安全USB网络流量216和安全USB网络流量220提供给USB集线器设备208。应该理解的是,USB媒体驱动器204不限于是闪盘驱动器或拇指驱动器。换言之,USB媒体驱动器204通常可以是存储数据或流量并且被布置为参与USB通信的任意适当的设备。
[0025] USB集线器设备208通常被配置为使用任意适当的方法识别和过滤出不安全流量216,并且阻止不安全流量216传递到终端用户系统212,同时允许安全流量220传递到终端用户系统212。USB媒体驱动器204可以包括与USB集线器设备208的插座(未示出)通过接口连接的连接器(未示出),或者可以包括与USB集线器设备208的连接器(未示出)通过接口连接的插座(未示出)。
[0026] 在一个实施例中,由USB集线器设备208实施的功能(例如,允许不安全流量204被识别并且有效地阻止不安全流量204到达终端用户系统212的功能)可以在USB媒体驱动器上而不是USB集线器设备208上被提供。也就是说,当USB媒体驱动器与终端用户系统通过接口连接时,USB媒体驱动器可以包括识别不安全或恶意内容并且阻止内容被提供至终端用户系统的功能。
[0027] 将针对图2B描述可以在USB媒体设备中提供监控流量内容或流量中所包含的分组的内容的能力的实施例,其中USB媒体设备还是USB网络流量的源。图2B是根据实施例的USB媒体设备包括监控和过滤USB流量的USB集线器模块的总体系统的图示。总体系统200'包括与终端用户系统212通信(例如,在物理上通过与终端用户系统212接口连接)的USB媒体驱动器204’。可以是闪盘驱动器或拇指驱动器的USB媒体驱动器204'包括USB集线器模块208’,该USB集线器模块208’被布置为监控和处理将从USB媒体驱动器204'有效传递至终端用户系统212的内容或流量216、220。USB集线器模块208’被配置为识别不安全内容或流量
216,并且阻止不安全内容或流量216传递至终端用户系统212。USB集线器模块208’还被配置为识别安全内容或流量220,并且允许将安全内容或流量220传递至终端用户系统212。当检测到USB媒体驱动器204'与终端用户系统212实质上通过接口连接时,USB集线器模块
208’可以将与内容或流量216或220相关联的地址与安全数据的已知地址进行比较以识别不安全内容或流量216并且识别安全内容或流量220。
216,并且阻止不安全内容或流量216传递至终端用户系统212。USB集线器模块208’还被配置为识别安全内容或流量220,并且允许将安全内容或流量220传递至终端用户系统212。当检测到USB媒体驱动器204'与终端用户系统212实质上通过接口连接时,USB集线器模块
208’可以将与内容或流量216或220相关联的地址与安全数据的已知地址进行比较以识别不安全内容或流量216并且识别安全内容或流量220。
[0028] 在一个实施例中,有效监控USB网络流量以过滤出不安全或恶意流量的功能可以在终端用户系统上被提供,从而使得不安全或恶意流量可以在此类流量被传递到终端用户系统的处理布置或USB主机控制器之前被识别。例如,终端用户系统可以具有提供不止一个USB端口的内置USB集线器。具有内置USB集线器的终端用户系统可以包括提供USB集线器功能的集成电路芯片。在一个实施例中,有效监控USB网络流量以过滤出不安全或恶意流量的功能可以在集成电路芯片上被提供,该集成电路芯片在终端用户系统中提供USB集线器功能。图2C是根据实施例的终端用户系统包括监控和过滤USB流量的USB集线器模块的总体系统的图示。总体系统200'包括与终端用户系统212’通信(例如,在物理上通过接口与终端用户系统212’连接)的USB媒体驱动器204。USB媒体驱动器204可以是闪盘驱动器或拇指驱动器、或者被配置为参与同终端用户系统212’的USB通信的任意适当的设备。
[0029] USB集线器模块208’被布置为当USB媒体驱动器204与终端用户系统212’通信时监控和处理从USB媒体驱动器204有效传递至终端用户系统212的内容或流量216、220。USB集线器模块208’被配置为获取并且识别不安全内容或流量216并且阻止将不安全内容或流量216传递至终端用户系统212’的处理布置222。换言之,USB集线器模块208’被配置为识别不安全流量216从而使得阻止处理不安全流量216。
[0030] USB集线器模块208’还被配置为识别安全内容或流量220,并且允许将安全内容或流量220传递至终端用户系统212’的处理布置222。当检测到USB媒体驱动器204实质上与终端用户系统212通过接口连接并且使得流量被发送至终端用户系统212’时,USB集线器模块208’可以将与内容或流量216、220相关联的签名与安全数据的已知签名进行比较以识别不安全内容或流量216并且识别安全内容或流量220。
[0031] 如先前所描述的,例如关于图2A,USB集线器设备可以充当USB媒体驱动器和终端用户系统之间的接口,并且阻止与USB媒体驱动器相关联的不安全USB网络流量到达终端用户系统。应该理解的是,USB集线器设备还可以阻止与终端用户系统相关联的不安全USB网络流量到达USB媒体驱动器。参考图3,图3将根据实施例描述USB集线器设备。USB集线器设备308通常被布置为接收USB网络流量或在USB总线上接收到的流量并且识别该流量内的不安全内容,从而使得可以有效阻止不安全内容被提供至目的地,例如,终端用户系统。
[0032] USB集线器设备308包括通信接口328,通信接口328通常被布置为参与USB通信或USB总线(未示出)上的通信。通信接口328包括输入/输出(I/O)接口330。I/O接口330可以包括含有USB连接器、USB插座和/或电线的端口布置。I/O接口330可以被配置为允许USB集线器设备308与USB媒体驱动器和终端用户系统在物理上通过接口连接。
[0033] USB集线器设备308还包括处理布置332,处理布置332包括至少一个处理器(未示出)并且被配置为执行逻辑。与USB功能模块336、数据监控模块340、和不安全流量过滤模块344相关联的逻辑可以由处理布置332执行。
[0034] USB功能模块336被布置为允许USB集线器设备308识别USB网络流量。此外,USB功能模块336允许USB集线器设备308适当地处理USB网络流量。
[0035] 数据监控模块340被布置为处理由通信接口328从USB总线获取的流量、以及确定特定流量是安全的还是不安全的。数据监控模块340可以包括获取与已知的不安全数据(例如,病毒或恶意代码)相关的签名和/或信息以与同获取的流量相关联的签名进行比较。在一个实施例中,此类针对已知不安全数据的签名可以从可选数据存储348中获取,可选数据存储348可以被定期地更新以维护针对已知不安全数据的签名的当前列表。然而,应该理解的是,数据监控模块340可以替代地从任意适当的外部数据源获取针对已知不安全数据的签名。
[0036] 由数据监控模块340识别的安全流量可以有效地通过通信接口328被转发至或以其它方式被传递至目的地。由数据监控模块340识别的不安全流量可以有效地由不安全或恶意流量过滤模块344阻止转发。不安全或恶意流量模块344还可以提供与不安全流量相关的警告。例如,除了阻止不安全流量读取终端用户系统,不安全或恶意流量过滤模块344可以向终端用户系统提供USB媒体驱动器正试图将不安全内容加载至终端用户系统的指示。
[0037] 接下来参考图4,图4将根据实施例描述使用USB集线器设备监控和过滤USB网络流量的一种方法。监控和过滤USB网络流量的方法401从步骤405处开始,在步骤405中,USB集线器设备被耦合至终端用户系统。例如,USB集线器设备可以被耦合至终端用户系统的USB端口从而使得USB集线器设备和终端用户系统被布置为在USB总线上通信。
[0038] 在步骤409中,USB媒体设备或更一般的USB设备被耦合至USB集线器设备。应该理解的是,USB媒体设备可以替代地在USB集线器设备被耦合至用户终端系统之前被耦合至USB集线器设备。例如,USB媒体设备可以被耦合至USB集线器设备的USB端口,从而使得USB集线器设备和USB媒体设备可以在USB总线上通信。
[0039] 流量(例如,USB网络流量)在步骤413中由USB集线器设备413检测到。该流量通常可以是源自USB媒体设备的流量,但应该理解流量可以替代地是源自终端用户系统的流量。一旦流量被检测到,那么与该流量相关联的签名就在步骤417中由USB集线器设备确定或以其它方式被识别。
[0040] 在与流量相关联的签名被确定后,在步骤421中,USB集线器设备将与该流量相关联的签名与被标识为或以其它方式被认为与不安全内容相关联的签名进行比较。被标识为是不安全的签名可以从已知不安全内容的任意适当的数据库或储存库中获取。
[0041] 在步骤425中关于与流量相关联的签名是否指示该流量是不安全的判定被完成。也就是说,判定与流量相关联的签名是否有效地与已知与不安全内容相关联的签名相匹配。如果判定为与流量相关联的签名未指示流量是不安全的,那么指示是流量是安全的。因此,处理流从步骤425移动至步骤429,在步骤429中,流量视情况被USB集线器设备转发至例如终端用户系统或USB媒体设备。
[0042] 一旦流量(即安全流量)被转发,那么在步骤437中确定是否检测到额外的流量。如果确定检测到额外流量,那么处理流返回至步骤417,在步骤417中,由USB集线器设备确定与额外流量相关联的签名。替代地,如果判定为没有检测到额外流量,那么监控和过滤USB网络流量的方法被完成。
[0043] 返回步骤425,如果确定与流量相关联的签名指示该流量是不安全的,那么该流量不由USB集线器设备433进行转发。在一个实施例中,不转发该流量可以包括提供该流量是不安全的指示。例如,USB集线器设备可以向终端用户系统提供USB媒体驱动器试图将不安全内容加载至终端用户设备上的指示,或者USB集线器设备可以向USB媒体驱动器提供终端用户系统试图将不安全内容加载到USB媒体驱动器上的指示。处理流从步骤433移动至步骤437,在步骤437中,确定是否检测到额外流量。
[0044] 如先前提到的,使得不安全或恶意USB网络流量能够在被提供至终端用户系统的处理布置之前被检测到的功能不限于在USB集线器设备上实施。例如,此类功能可以在USB媒体设备或终端用户系统上被提供。图5是根据实施例的示出使用USB集线器模块(例如,安装在USB媒体设备上的USB集线器模块)监控和过滤USB流量的一种方法的处理流程图。监控和过滤USB网络流量的方法从步骤501处开始,在步骤501中,USB媒体设备被耦合至终端用户系统。在一个实施例中,将包括USB集线器设备(例如图2B的USB集线器模块208’)的USB媒体设备耦合至终端用户系统可以包括将USB媒体设备的USB连接器耦合至终端用户设备的USB插座,从而使得USB媒体设备和终端用户系统可以在USB总线上通信。为了便于讨论,USB集线器模块被描述为被提供在USB媒体设备上。然而,应该理解的是USB集线器模块可以替换地被提供在终端用户系统上,如上文参考图2C所讨论的。
[0045] 一旦USB媒体设备和终端用户系统被耦合,那么在步骤513中由USB集线器模块检测USB网络流量。在所述实施例中,由USB集线器模块检测到的USB网络流量是USB媒体设备正试图发送至终端用户系统的流量。然而,应该理解的是USB网络流量可以替换地是终端用户系统正试图发送至USB媒体设备的流量。
[0046] 在步骤517中,与USB网络流量相关联的签名被USB集线器模块确定或以其它方式被识别。在与USB网络流量相关联的签名被确定后,在步骤521中,将与USB网络流量相关联的签名与被标识为是不安全的签名(例如,已知病毒或恶意代码的签名)进行比较。
[0047] 在步骤525中判定与流量相关联的签名是否指示该流量是不安全的。换言之,判定与流量相关联的签名是否与被标识为是不安全的任意签名有效匹配。如果在步骤525中的判定为与流量相关联的签名指示流量不是不安全的,那么其含义是该流量是安全的。因此,处理流从步骤525移动至步骤529,在步骤529中,流量被USB集线器模块转发。在一个实施例中,USB集线器模块位于USB媒体设备上,并且因此,流量有效地从USB媒体设备被转发终端用户系统。在另一实施例中,USB集线器模块可以位于终端用户系统上从而使得有效地允许流量通过USB集线器模块传递至终端用户系统的处理布置。
[0048] 一旦流量被USB集线器模块转发,那么在步骤527中关于是否检测到额外流量的判定被完成。如果确定检测到额外流量,那么处理流返回步骤517,在步骤517中,与额外流量相关联的签名被确定。另一方面,如果确定没有检测到额外流量,那么监控和过滤USB网络流量的方法被完成。
[0049] 返回步骤525,如果判定为与流量相关联的签名指示流量是不安全的,那么在步骤533中该流量不被USB集线器模块转发。当USB集线器模块位于USB媒体驱动器上时,那么该流量被阻止到达终端用户系统。当USB集线器模块位于终端用户系统上时,流量可以被阻止到达终端用户系统的处理系统。在一个实施例中,不转发流量可以包括提供已经检测到不安全流量的指示。在流量不被USB集线器模块转发之后,处理流移动至步骤537,在步骤537中,确定是否检测到额外流量。
[0050] 通常,USB媒体设备是可以存储内容并且可以使用USB通信进行通信(例如,在USB总线上通信)的任意适当的设备。图6是根据实施例的USB媒体设备的框图表示。USB媒体设备604包括存储布置670和USB接口674。存储布置670被布置为存储内容,例如,可以在USB总线上传输和/或从USB总线获取的内容。可以包括USB连接器或端口的USB接口674被配置为允许USB媒体设备604被耦合至USB集线器设备(未示出)或终端用户系统(未示出)。
[0051] 虽然本公开只描述了几个实施例,但应该理解的是本公开可以在不背离本公开的精神和范围的情况下体现为许多其它具体形式。例如,诸如USB集线器设备的监控设备已经被描述为检测恶意流量。除了检测恶意流量之外,监控设备还可以检测异常流量并且提供与异常流量相关的警告。也就是说,除了检测恶意流量,监控设备可以检测通常被标识为不寻常并且因此可疑的流量。
[0052] 虽然用于确定具体流量是安全还是不安全的签名已经被描述为被存储在诸如USB集线器设备之类的监控设备上,但是可以替换地按照需要由监控设备从监控设备外部的源获取签名。例如,当监控设备在评估流量是否包含不安全内容时,监控设备可以基本实时访问含有签名的储存库。
[0053] USB网络流量可以是在USB总线上被发送和/或被接收的任意流量或内容。这类流量通常可以包括数据分组,并且数据分组可以包括但不限于包括含有软件应用、文本、音频和/或视频的分组。
[0054] USB集线器设备可以使用单个集成电路芯片来实施。针对USB集线器功能在USB媒体设备上被提供的实施例,USB集线器功能可以作为现场可编程门阵列(FGPA)或作为专用集成电路(ASIC)被提供。
[0055] 虽然流量源已经被描述为是USB媒体驱动器,但是应该理解的是流量源不限于是USB媒体驱动器。更普遍地,流量源可以是USB分类中的任意适当的设备。例如,在不背离本公开的精神和范围的情况下,流量源可以是USB鼠标或USB键盘。
[0056] 实施例可以被实施为包含在有形(即非暂态)介质中的硬件、固件、和/或软件逻辑,当逻辑被执行时,可操作来执行上面所述的各种方法和处理。也就是说,逻辑可以被体现为物理布置、模块或组件。有形介质实质上可以是能够存储逻辑或计算机程序代码的任意计算机可读介质,该逻辑或计算机程序代码可以由例如处理器或总体计算系统执行以执行与实施例相关联的方法和功能。此类计算机可读介质可以包括但不限于包括物理存储装置和/或存储器设备。可执行的逻辑可以包括但不限于包括代码设备、计算机程序代码、和/或可执行计算机命令或指令。
[0057] 应该理解的是计算机可读介质或机器可读介质可以包括暂态实施例和/或非暂态实施例,例如,信号或包含在载波中的信号。也就是说,计算机可读介质可以与非暂态有形介质和暂态传播信号相关联。
[0058] 与本公开的方法相关联的步骤可以广泛地变化。在不背离本公开的精神和范围的情况下,步骤可以被添加、移除、更改、组合、和重排序。因此,当前示例是被认为是说明性的而非限制性的,并且示例不限于本文给出的细节,而是可以在所附权利要求的范围内进行修改。