[发明专利]一种ATM程序更新的安全防护方法及系统

权利要求书

1.一种ATM程序更新的安全防护方法，其特征在于，包括：

动态感知ATM终端中是否有更新程序运行；

当感知到有更新程序运行时，阻断更新程序的运行，并加密备份ATM终端中所有程序及相关的所有信息；

所述加密备份结束后，放行更新程序的运行；

创建诱饵文件夹，存放诱饵文件，动态感知更新程序对诱饵文件的操作，若感知到更新程序有对诱饵文件进行修改的行为，则判定更新程序存在恶意，并阻断更新程序的运行；否则待更新程序运行结束后，对更新后的程序进行自动化测试，根据测试结果判断更新程序是否存在恶意；

针对更新程序存在恶意的情况，删除更新程序创建的所有信息，同时恢复加密备份的数据；若判定更新程序不存在恶意，则视为更新程序安全。

2.如权利要求1所述的方法，其特征在于，所述加密备份ATM终端中所有程序及相关的所有信息，其中相关的所有信息包括：文件信息、数据信息或注册表信息。

3.如权利要求1或2所述的方法，其特征在于，所述创建诱饵文件夹，具体为：在待更新的程序的根分区下创建诱饵文件夹；所述诱饵文件包括：不同结构的PE文件或不同扩展名的文本文件。

4.如权利要求3所述的方法，其特征在于，所述对更新后的程序进行自动化测试，根据测试结果判断更新程序是否存在恶意，具体为：使用预先设置的安全测试用例对更新后的程序进行测试，若测试成功则视为更新程序安全，否则视为更新程序存在恶意。

5.如权利要求1或2或4所述的方法，其特征在于，还包括：针对视为更新程序安全的情况，使用ATM终端中原有数据在断网状态下对更新后的程序进行测试，感知更新后的程序是否存在异常发送数据包的请求，和/或感知更新后的程序是否存在敏感操作，若是则视为更新程序存在恶意，否则视为更新程序安全；其中，所述敏感操作包括：修改注册表信息、释放可执行文件或删除数据操作。

6.一种ATM程序更新的安全防护系统，其特征在于，包括：

动态感知加密模块，用于动态感知ATM终端中是否有更新程序运行，当感知到有更新程序运行时，阻断更新程序的运行，并加密备份ATM终端中所有程序及相关的所有信息，所述加密备份结束后，放行更新程序的运行；

恶意检测模块，用于创建诱饵文件夹，存放诱饵文件，动态感知更新程序对诱饵文件的操作，若感知到更新程序有对诱饵文件进行修改的行为，则判定更新程序存在恶意，并阻断更新程序的运行；否则待更新程序运行结束后，对更新后的程序进行自动化测试，根据测试结果判断更新程序是否存在恶意；

备份恢复模块，用于针对更新程序存在恶意的情况，删除更新程序创建的所有信息，同时恢复加密备份的数据；若判定更新程序不存在恶意，则视为更新程序安全。

7.如权利要求6所述的系统，其特征在于，所述加密备份ATM终端中所有程序及相关的所有信息，其中相关的所有信息包括：文件信息、数据信息或注册表信息。

8.如权利要求6或7所述的系统，其特征在于，所述创建诱饵文件夹，具体为：在待更新的程序的根分区下创建诱饵文件夹；所述诱饵文件包括：不同结构的PE文件或不同扩展名的文本文件。

9.如权利要求8所述的系统，其特征在于，所述对更新后的程序进行自动化测试，根据测试结果判断更新程序是否存在恶意，具体为：使用预先设置的安全测试用例对更新后的程序进行测试，若测试成功则视为更新程序安全，否则视为更新程序存在恶意。

10.如权利要求6或7或9所述的系统，其特征在于，还包括单机检测模块，具体用于：针对视为更新程序安全的情况，使用ATM终端中原有数据在断网状态下对更新后的程序进行测试，感知更新后的程序是否存在异常发送数据包的请求，和/或感知更新后的程序是否存在敏感操作，若是则视为更新程序存在恶意，否则视为更新程序安全；其中，所述敏感操作包括：修改注册表信息、释放可执行文件或删除数据操作。