【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种信道检测方法及装置。
技术介绍
在多租户云环境中,通常租户间的虚拟机共享同一个物理主机的内存,具体的共享方法可以是采用内存去重技术进行共享,内存去重技术即是将相同的物理内存页进行合并,只保留一份该内存页的物理拷贝,所有其他虚拟机共同映射该物理内存页。在后续使用过程中,当某个虚拟机需要对该内存页进行写操作时,操作系统将启动写操作异常事件,例如写时复制(Copy-On-Write,COW)页写操作异常事件,并为该虚拟机重新拷贝一份物理内存页进行写操作。然而,内存去重技术在云平台中的引入也会导致意想不到的安全漏洞。因为恶意用户和普通用户的虚拟机有可能位于同一个物理主机上,并利用内存去重技术进行内存页的合并。恶意用户可以通过这种共享内存的机制构建起隐蔽信道从而窃取其他普通用户中的隐私信息,比如密钥等等。隐蔽信道具体的构建方法为,如图1所示,普通用户Sender和恶意用户Receiver分别为位于同一物理主机上的两台虚拟机,Receiver通过某种手段入侵了Sender,此时Receiver希望能够隐蔽地将窃取到的用户隐私数据传...
【技术保护点】
一种信道检测方法,其特征在于,包括:当至少两台虚拟机在同一个物理主机上进行内存去重合并时,在操作系统指令流中拦截所述操作系统执行的事件序列,所述事件序列中包括获取时间事件;从所述事件序列中查找目标子序列,并获取所述目标子序列的时间属性;判断所述目标子序列的时间属性是否满足预设条件;当所述目标子序列的时间属性满足预设条件时,确定系统中存在隐蔽信道。
【技术特征摘要】
1.一种信道检测方法,其特征在于,包括:当至少两台虚拟机在同一个物理主机上进行内存去重合并时,在操作系统指令流中拦截所述操作系统执行的事件序列,所述事件序列中包括获取时间事件;从所述事件序列中查找目标子序列,并获取所述目标子序列的时间属性;判断所述目标子序列的时间属性是否满足预设条件;当所述目标子序列的时间属性满足预设条件时,确定系统中存在隐蔽信道。2.如权利要求1所述的方法,其特征在于,所述目标子序列的时间属性包括所述目标子序列的起始时间与结束时间之间的第一时间差;所述判断所述目标子序列的时间属性是否满足预设条件,包括:判断所述目标子序列的所述第一时间差是否小于第一预设阈值;所述当所述目标子序列的时间属性满足预设条件时,确定系统中存在隐蔽信道,包括:当所述目标子序列的所述第一时间差小于所述第一预设阈值时,确定系统中存在隐蔽信道。3.如权利要求2所述的方法,其特征在于,若所述事件序列中包括多个目标子序列;所述从所述事件序列中查找目标子序列,并获取所述目标子序列的时间属性,包括:从所述事件序列中依次查找预设个数的目标子序列;计算所述预设个数的目标子序列中每个目标子序列的起始时间与结束时间之间的第一时间差。4.如权利要求3所述的方法,其特征在于,所述判断所述目标子序列的所述第一时间差是否小于第一预设阈值,包括:判断所述预设个数的目标子序列中每个目标子序列的所述第一时间差是否
\t均小于所述第一预设阈值;所述当所述目标子序列的所述第一时间差小于所述第一预设阈值时,确定系统中存在隐蔽信道,包括:当所述预设个数的目标子序列中每个目标子序列的所述第一时间差均小于所述第一预设阈值时,确定系统中存在隐蔽信道。5.如权利要求4所述的方法,其特征在于,所述当所述预设个数的目标子序列中每个目标子序列的所述第一时间差均小于所述第一预设阈值之后,还包括:判断所述预设个数的目标子序列中第一个目标子序列的起始时间和最后一个目标子序列的结束时间之间的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。