[发明专利]一种针对Meltdown漏洞精准动态分析检测方法和装置

说明书

本发明公开了一种针对Meltdown漏洞精准动态分析检测方法和装置，至少包括以下步骤：步骤S1：系统内核进程运行PEBS；步骤S2：内核捕捉到由用户进程触发的SegFault信号；步骤S3：在虚拟机审判的单步执行模拟中，判断是否有被标记为符号量的寄存器数值被等比放大预设倍数，且以偏移量的形式参与另一条指令中的基址加变址的寻址操作；步骤S4：判断是否报告一级Meltdown漏洞预警；步骤S5：系统内核进程读取位于内核的环形缓冲器中PEBS的监控数据，判断是否报告二级Meltdown漏洞预警；确认熔断攻击；反之，则确认为非熔断攻击。本发明通过软硬件结合的方式，对Meltdown漏洞进行高精确度的实时入侵行为检测，检测对象为Meltdown漏洞利用在实施时的关键动态特征。

技术领域

本发明涉及一种漏洞动态分析和检测技术领域，尤其涉及一种针对Meltdown漏洞精准动态分析检测方法和装置。

背景技术

随着移动互联网和云计算技术的迅猛发展，越来越多的数据在云环境下进行存储、共享和计算，云环境下的数据安全也逐渐成为学术界以及工业界关注的热点问题。作为基于密码学的隐私保护技术的一种方案，可信执行环境(Trusted executionenvironment，TEE)是基于硬件安全的CPU实现了基于内存隔离的安全计算，可在保证计算效率的前提下完成隐私保护的计算。TEE是一种通过软硬件方法、在计算机硬件中构建一个隔离的安全区域，以保证该区域内部加载的程序和数据在机密性和完整性上得到保护。

但是目前针对TEE的攻击研究方兴未艾，主要针对各具体TEE实现的安全逻辑缺陷、或者利用硬件上存在的一些漏洞、进而发起的侧信道攻击(Side Channel Attacks，SCA)。其中Meltdown漏洞(又称“熔断”漏洞)，就利用了现代微体系结构设计中的乱序执行(out-of-order execution)这一硬件加速机制，使得低权限进程可以短暂地获得对高权限内存的“临时”访问并残留下相应的CPU缓存痕迹、进而允许攻击者通过检测缓存痕迹模式实现泄露操作系统中特权数据的目的。为了提高处理性能，现代CPU架构大多都支持乱序执行机制，使得Meltdown漏洞这一无需特殊权限即可利用的弱点影响范围极广、危害特别严重，尤其是可以被用以破坏当前新兴的TEE技术所依赖的基于硬件的安全性基础。因此，信息产业亟需建立对Meltdown漏洞入侵行为的有效的实时检测机制。

为此，我们提出一种针对Meltdown漏洞精准动态分析检测方法和装置。

发明内容

本发明的目的在于提供一种针对Meltdown漏洞精准动态分析检测方法和装置，解决了现有技术中如何基于自动模拟机的Meltdown漏洞实时检测方法，以解决现有针对Meltdown漏洞的防御技术实时性不强、漏报率和鲁棒性均较差的问题。

本发明采用的技术方案如下：

一种针对Meltdown漏洞精准动态分析检测方法，至少包括以下步骤：

步骤S1：系统内核进程运行PEBS，监控内存访问指令所引发的CPU缓存失效事件数据，PEBS将记录到的所述CPU缓存失效事件数据存入位于内核的环形缓冲器内；

步骤S2：内核捕捉到由用户进程触发的SegFault信号，则开启QEMU模拟器进行虚拟机审判，并在所述QEMU模拟器的初始化时将SegFault触发现场的寄存器快照中所有数值为零的寄存器标记为符号量；

步骤S3：在虚拟机审判的单步执行模拟中，判断是否有被标记为符号量的寄存器数值被等比放大预设倍数，且以偏移量的形式参与另一条指令中的基址加变址的寻址操作；

步骤S4：判断是否报告一级Meltdown漏洞预警；

步骤S5：系统内核进程读取位于内核的环形缓冲器中PEBS的监控数据，判断是否报告二级Meltdown漏洞预警；确认熔断攻击；反之，则确认为非熔断攻击。