一种入侵检测系统,其包括监视器,其用于通过低等待时间通信链路从目标接收消息,所述低等待时间通信链路包括受控访问存储器结构,其使用点到点互连逻辑上定位在目标和监视器之间,该受控访问存储器结构用于从目标接收指示该目标已经进入受控操作模式的消息。
intrusion detection system
【技术实现步骤摘要】
【国外来华专利技术】入侵检测系统
技术介绍
诸如操作系统(OS)的内核、虚拟化系统中的管理程序(hypervisor)或固件之类的低级执行环境可以直接访问系统硬件,并且是高度特权的。对其预期行为的更改(恶意的或非恶意的)可能对所讨论的系统的保密性、完整性或可用性具有不期望的后果。附图说明从以下结合附图的详细描述中,某些示例的各种特征将显而易见,该附图仅通过示例的方式一起图示了多个特征,并且其中:图1是根据示例的入侵检测系统的示意性表示;图2是根据示例的入侵检测系统的示意性表示;以及图3是根据示例的与存储器相关联的处理器的示意性表示。具体实施方式在以下描述中,为了解释的目的,阐述了某些示例的多个特定细节。说明书中对“示例”或相似语言的引用意味着结合该示例所描述的特定特征、结构或特性包括在至少一个示例中,但是不一定在其它示例中。在诸如计算设备或虚拟系统之类的执行环境中,诸如基础输入/输出系统(BIOS)或统一可扩展固件接口(UEFI)兼容固件之类的引导固件用于在将执行传送到OS之前测试并初始化硬件组件。在虚拟化系统中,其中一个或多个虚拟机(VM)可以在物理硬件上实例化,管理程序或虚拟机监视器(VMM)用于分配硬件访问,并且向VM呈现OS的执行并进行管理。在这些低级执行环境中的一个中执行的改变其原始预期行为(诸如跳过验证步骤)的任意指令可能损害系统的后续部分。因此,篡改这些环境对于可能试图用恶意软件感染它们的攻击者来说是有吸引力的。由于这些环境的性质以及它们的早期执行,这样的恶意软件可能变得持久、难以检测和去除,并且独立于OS。例如,在x86指令集系统(其基于向后兼容的指令集架构族)上,CPU的高度特权执行模式(系统管理模式(SMM))可以修改包含引导固件的系统闪存。SMM的使用可以防止受损害的操作系统感染系统固件。更具体地,在初始系统引导过程期间,并且在执行系统OS之前,引导固件可以将一些指令加载到所谓的系统管理RAM(SMRAM)中。这些指令对应于要在SMM中执行的特权功能。固件可以(使用硬件特征)锁定SMRAM和闪存,以防止被OS修改。在引导过程和更新过程期间,使用密码签名也是可能的,使得由供应商的密钥签名的固件被执行。此外,可以在引导时间计算和存储引导过程的配置和组件的测量(密码散列),以证明平台的完整性。虽然密码签名和测量在引导时间提供了指令和数据完整性,但是它们不能阻止攻击者在例如系统的运行时间利用SMM中的易损性(vulnerability)。因此,如果攻击者设法在SMM或另一个低级执行环境中执行恶意指令,则其可能创建OS不可检测到的恶意软件。根据示例,提供了入侵检测系统(IDS),以检测在运行时间修改低级执行环境的预期行为的入侵。IDS可以用于在运行时间监视SMM的完整性,并且可以用于监视内核或VMM或其它低级执行环境。系统的一部分使用监视器从形成系统的受监视组件的目标接收消息。在示例中,监视器通过使用协处理器与受监视组件隔离,所述协处理器是在结构上分离的设备。根据示例的IDS利用使得目标能够发送信息的通信信道来弥补监视器和目标之间的语义间隙。图1是根据示例的入侵检测系统的示意性表示。监视器101可以通过低等待时间通信链路105从目标103接收消息。在示例中,监视器101可以是协处理器,并且是用于检测系统中的入侵的可信组件。对主系统的正常行为的任何更改都不影响监视器的完整性。由监视器101提供的隔离意味着其中指令在目标103上执行的上下文的知识中的损失。在没有完整的上下文的情况下,在目标的实际行为的内容以及监视器101可以推断的内容之间可能存在语义间隙。例如,可能存在与虚拟到物理地址的映射或所采用的执行路径相关的知识缺口。根据示例,监视器101和目标103之间的通信信道105使得目标103能够向监视器101发送信息,以便缩小针对监视器101的语义间隙。根据示例,呈现了以下属性:数据完整性-如果消息被发送到监视器,则该消息之后可能不会被去除或修改。否则,如果攻击者损害目标,则其可以在消息被处理之前修改或去除消息,以隐藏其入侵。按时间顺序的次序-消息在监视器处以它们从目标发射的次序被处理,否则,攻击者可能根据检测方法重新安排次序以逃避检测。访问-当目标正在执行时,没有其它组件具有对通信信道的访问。否则,攻击者可以发送伪造合法行为的消息。低等待时间-发送消息应该快速(例如,亚微秒),使得低级组件可以最小化执行其任务所花费的时间,以避免影响用户空间应用。根据示例,在要在所考虑的低级执行环境(即,目标)上执行的指令的编译期间,可以使用仪表化(instrumentation)步骤来实现从目标103到监视器101的通信。这样的仪表化例如可以在编译器级别操作,或者如果不具有对源指令集的访问,则通过重写二进制来操作。根据示例,仪表化可以在运行时间从在编译时间已知的位置处的目标获取信息。控制流完整性(CFI)是这样的仪表化的示例,其中编译器可以在不求助于开发者的情况下使二进制指令仪表化。根据示例的进一步仪表化可以是自组织(adhoc)方法,该方法使用目标的源指令的手动修改,或者其可以提供诸如注释之类的其它信息。例如,如果攻击者可以修改它们的值,则类似CR3的x86控制寄存器可以改变系统的行为。寄存器的预期值是已知的,就像修改是合法的情况一样。因此,指令的仪表化部分可以用于向监视器发送这些寄存器的值。图2是根据示例的入侵检测系统的示意性表示。监视器200可以通过低等待时间通信链路214从目标201接收消息211、213等等。根据示例,监视器200可以是协处理器,该协处理器可以用作安全处理器以执行敏感任务,并且处理敏感数据(例如,密码密钥)。系统的主处理器不直接访问安全处理器存储器。因此,其不能访问敏感数据,但是可以经由通信信道查询协处理器以执行任务。通信信道、链路或路径的等待时间可能影响用于从目标发送到监视器的每个消息的系统管理中断(SMI)处理程序(handler)的等待时间。可接受的等待时间可以约为150μs。快速和频繁的SMI导致性能(I/O吞吐量或CPU时间)的退化。另一方面,长且不频繁的SMI导致用户体验退化,其中使用USB设备的音频回放被驱动器认为无响应,并且例如可能发生游戏引擎中帧速率的严重下降。因此,根据示例,受控访问存储器结构230可以使用点到点互连在逻辑上定位在目标和监视器之间,以便使得能够实现在目标和监视器之间的低等待时间通信路径。在示例中,存储器结构可以形成目标的一部分、监视器的一部分或是单独的组件,使得协处理器可以用作监视器而无需修改。因此,在该连接中,逻辑上定位指的是存储器结构被配置为从目标接收数据,以及将数据发送到监视器(或使数据从监视器提取),并且不阻止该结构在目标或监视器内形成,或者作为目标或监视器的一部分,或者作为系统中单独的组件。其它组件可能物理上位于目标和监视器之间。在示例中,存储器结构可以使用受限访问先进先出(F本文档来自技高网...
【技术保护点】
1.一种入侵检测系统,包括:/n监视器,其用于通过低等待时间通信链路从目标接收消息,所述低等待时间通信链路包括受控访问存储器结构,其使用点到点互连逻辑上定位在所述目标和所述监视器之间,所述受控访问存储器结构用于从所述目标接收指示该目标已经进入受控操作模式的消息。/n
【技术特征摘要】
【国外来华专利技术】20170607 EP 17305673.01.一种入侵检测系统,包括:
监视器,其用于通过低等待时间通信链路从目标接收消息,所述低等待时间通信链路包括受控访问存储器结构,其使用点到点互连逻辑上定位在所述目标和所述监视器之间,所述受控访问存储器结构用于从所述目标接收指示该目标已经进入受控操作模式的消息。
2.根据权利要求1所述的入侵检测系统,其中所述存储器结构包括线性或环形阵列,其中消息以它们被接收到的次序被处理。
3.根据权利要求1所述的入侵检测系统,其中所述目标的物理地址被映射到所述监视器。
4.根据权利要求1所述的入侵检测系统,其中所述目标和所述监视器之间的通信链路是到所述监视器的单线程访问链路。
5.根据权利要求1所述的入侵检测系统,其中所述监视器是使用形成所述目标的管理程序在虚拟化系统中分配的物理硬件上进行实例化的虚拟机。
6.根据权利要求1所述的入侵检测系统,其中所述存储器结构作为所述目标或所述监视器的一部分或作为独立的组件提供。
7.一种入侵检测系统中的目标和监视器之间的通信链路,所述通信链路包括受控访问存储器结构,其使用点到点的互连逻辑上定位在所述目标和所述监视器之间,所述受控访问存储器结构用于从所述目标接收指示该目标已经进入受控操作模式的消息。
8.根据权利要求6所述的通信链路,其中所述链路包括从所述目标的物理地址到所述监视器的映射...
【专利技术属性】
技术研发人员:R·谢瓦利耶,D·普拉坎,M·维拉泰尔,G·耶特,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。