【技术实现步骤摘要】
一种面向Meltdown漏洞的实时入侵行为检测方法和装置
[0001]本专利技术涉及一种攻击程序检测
,尤其涉及一种面向Meltdown漏洞的实时入侵行为检测方法和装置。
技术介绍
[0002]随着移动互联网和云计算技术的迅猛发展,越来越多的数据在云环境下进行存储、共享和计算,云环境下的数据安全也逐渐成为学术界以及工业界关注的热点问题。作为基于密码学的隐私保护技术的一种方案,可信执行环境(Trusted execution environment,TEE)是基于硬件安全的CPU实现了基于内存隔离的安全计算,可在保证计算效率的前提下完成隐私保护的计算。TEE是一种通过软硬件方法、在计算机硬件中构建一个隔离的安全区域,以保证该区域内部加载的程序和数据在机密性和完整性上得到保护。
[0003]但是目前针对TEE的攻击研究方兴未艾,主要针对各具体TEE实现的安全逻辑缺陷、或者利用硬件上存在的一些漏洞、进而发起的侧信道攻击(Side Channel Attacks,SCA)。其中Meltdown漏洞(又称“熔断”漏洞),...
【技术保护点】
【技术特征摘要】
1.一种面向Meltdown漏洞的实时入侵行为检测方法,其特征在于,至少包括以下步骤:步骤S1:Meltdown漏洞利用隐蔽信道指令序列进行寄存器层面的泛化,得到汇编指令序列;步骤S2:根据各个不同指令集架构规定的机器指令编码格式将所得的每个汇编指令序列转译为机器码序列,并将所有的机器码序列汇总,得到字符串模式代码,并将所述字符串模式代码转换成机器指令;步骤S3:内核进程运行PEBS,监控内存访问所述机器指令所引发的CPU缓存失效事件数据,PEBS将记录到的所述缓存失效事件数据存入位于内核的环形缓冲器内;步骤S4:内核进程通过捕获SegFault异常数据获取触发SegFault信号的IP寄存器里的指令线性地址;步骤S5:利用所述机器指令对捕获SegFault异常数据点后面的预设字节以内的内存机器指令进行匹配;当匹配成功,则发出一级Meltdown漏洞预警,进入步骤S6;反之,则确认为非熔断攻击;步骤S6:内核进程读取位于内核的环形缓冲器中PEBS的监控数据,在PEBS的监控数据中检查SegFault被触发前后同一条指令线性地址缓存失效次数,当达到预设次数,则发出二级Meltdown漏洞预警,确认熔断攻击;反之,则确认为非熔断攻击。2.根据权利要求1所述的一种面向Meltdown漏洞的实时入侵行为检测方法,其特征在于,步骤S1中所述隐蔽信道指令序列包括三行,其中,第一行为对所指的特权地址进行非法访问,将特权地址中包含的字节数据存...
【专利技术属性】
技术研发人员:马浩杰,马昊玉,陈雨凡,葛春鹏,刘哲,
申请(专利权)人:杭州后量子密码科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。