随着USB设备成为现代计算机不可或缺的组成部分，其安全性问题日益凸显。近年来，BadUSB等恶意USB设备通过篡改固件实现键盘注入、DNS欺骗等跨层攻击，传统防御手段如杀毒软件和USB防火墙(如USBFilter)因仅针对单一通信层而收效甚微。更严峻的是，现有解决方案多局限于Linux系统，且依赖专业规则配置，普通用户面对USB Rubber Ducky等设备伪装攻击时几乎毫无招架之力。这种安全困境催生了对新型防御框架的迫切需求。

为解决这一挑战，国立中央大学的研究团队开发了USBIPS框架——首个面向Windows系统的综合性USB入侵防御系统(Intrusion Prevention System, IPS)。该成果发表于《Computer Standards & Interfaces》，其创新性在于整合了白名单访问控制与跨层行为分析技术，通过监控USB传输层数据包和应用层设备行为，实现了对BadUSB、Hermes等复杂攻击的实时拦截。实验表明，USBIPS在保持98.21%存储设备吞吐量的同时，可有效阻止键盘注入攻击和Wi-Fi适配器DNS欺骗，CPU占用率仅8.49%，性能损耗显著低于传统安全软件。

关键技术包括：1) 基于设备描述符的白名单过滤机制；2) 针对人机接口设备(HID)、大容量存储和网络适配器的行为特征分析；3) 内核态与用户态协同监控架构；4) 集中式威胁分析框架支持离线规则更新。研究团队使用戴尔Alienware m17笔记本(Windows 11 24H2)和USB 3.1设备进行测试，通过2.3GB文件传输基准测试和1000次Wi-Fi ping延迟测量验证系统性能。

【系统设计】部分提出三层防御模型：传输层实施USB协议合规性检查，应用层监控设备异常行为(如存储设备突然发送键盘信号)，管理端集中分析威胁指标(IoCs)。与USBFilter仅过滤USB数据包相比，USBIPS能识别设备功能切换等高级攻击特征。

【评估】结果显示：1) 在模拟BadUSB攻击中，USBIPS成功拦截了伪装键盘的指令注入；2) 针对DNS欺骗攻击，系统检测到Wi-Fi适配器异常修改网络配置的行为；3) 与USBFilter、FirmUSB等方案对比，USBIPS对跨层攻击的拦截率提升40%以上。

【结论】部分强调，USBIPS的创新价值在于：首次实现Windows平台USB攻击的实时行为检测，通过集中管理框架支持未知威胁发现，其低资源占用特性(内存60.8MB)使其适合普通用户部署。研究团队指出，未来可扩展该框架至蓝牙等无线外设安全领域，为构建可信外设生态提供技术基础。论文通讯作者Fu-Hau Hsu特别指出，该成果突破了传统防御"重协议轻行为"的局限，为应对物联网时代的外设安全挑战提供了新范式。