[发明专利]一种面向Meltdown漏洞的实时入侵行为检测方法和装置

权利要求书

1.一种面向Meltdown漏洞的实时入侵行为检测方法，其特征在于，至少包括以下步骤：

步骤S1：Meltdown漏洞利用隐蔽信道指令序列进行寄存器层面的泛化，得到汇编指令序列；

步骤S2：根据各个不同指令集架构规定的机器指令编码格式将所得的每个汇编指令序列转译为机器码序列，并将所有的机器码序列汇总，得到字符串模式代码，并将所述字符串模式代码转换成机器指令；

步骤S3：内核进程运行PEBS，监控内存访问所述机器指令所引发的CPU缓存失效事件数据，PEBS将记录到的所述缓存失效事件数据存入位于内核的环形缓冲器内；

步骤S4：内核进程通过捕获SegFault异常数据获取触发SegFault信号的IP寄存器里的指令线性地址；

步骤S5：利用所述机器指令对捕获SegFault异常数据点后面的预设字节以内的内存机器指令进行匹配；当匹配成功，则发出一级Meltdown漏洞预警，进入步骤S6；反之，则确认为非熔断攻击；

步骤S6：内核进程读取位于内核的环形缓冲器中PEBS的监控数据，在PEBS的监控数据中检查SegFault被触发前后同一条指令线性地址缓存失效次数，当达到预设次数，则发出二级Meltdown漏洞预警，确认熔断攻击；反之，则确认为非熔断攻击。

2.根据权利要求1所述的一种面向Meltdown漏洞的实时入侵行为检测方法，其特征在于，步骤S1中所述隐蔽信道指令序列包括三行，其中，第一行为对所指的特权地址进行非法访问，将特权地址中包含的字节数据存入寄存器；第二行，将寄存器的值扩大预设倍数；第三行，将非法获取的特权数据通过扩大预设倍数后的寄存器以地址偏移量的形式参与寻址，在寻到的新目标地址处产生探查的CPU缓存痕迹。

3.根据权利要求2所述的一种面向Meltdown漏洞的实时入侵行为检测方法，其特征在于，所述预设倍数为4096倍。

4.根据权利要求2所述的一种面向Meltdown漏洞的实时入侵行为检测方法，其特征在于，第三行参与寻址所访问的目标被设定为具有256个页面的探查表，且取决于Meltdown漏洞所泄露的具体字节内容。

5.根据权利要求1所述的一种面向Meltdown漏洞的实时入侵行为检测方法，其特征在于，步骤S5中预设字节为150字节。

6.根据权利要求1所述的一种面向Meltdown漏洞的实时入侵行为检测方法，其特征在于，步骤S6中预设次数为100-200次。

7.一种面向Meltdown漏洞的实时入侵行为检测装置，其特征在于，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述一个或多个处理器执行所述可执行代码时，用于实现权利要求1-6中任一项所述的一种面向Meltdown漏洞的实时入侵行为检测方法。

8.一种计算机可读存储介质，其特征在于，其上存储有程序，该程序被处理器执行时，实现权利要求1-6中任一项所述的一种面向Meltdown漏洞的实时入侵行为检测方法。