[发明专利]一种面向Meltdown漏洞的实时入侵行为检测方法和装置

说明书

本发明公开了一种面向Meltdown漏洞的实时入侵行为检测方法，至少包括以下步骤：步骤S1：得到汇编指令序列；步骤S2：转换成机器指令；步骤S3：内核进程运行PEBS；步骤S4：内核进程通过捕获SegFault异常数据获取触发SegFault信号的IP寄存器里的指令线性地址；步骤S5：利用所述机器指令对捕获SegFault异常数据点后面的预设字节以内的内存机器指令进行匹配；步骤S6：内核进程读取位于内核的环形缓冲器中PEBS的监控数据。本发明通过软硬件结合的方式，对Meltdown漏洞进行高精确度的实时入侵行为检测，检测对象为Meltdown漏洞关键静/动态特征，无法通过改变攻击策略予以规避，较之现有相关技术有显著改进。

技术领域

本发明涉及一种攻击程序检测技术领域，尤其涉及一种面向Meltdown漏洞的实时入侵行为检测方法和装置。

背景技术

随着移动互联网和云计算技术的迅猛发展，越来越多的数据在云环境下进行存储、共享和计算，云环境下的数据安全也逐渐成为学术界以及工业界关注的热点问题。作为基于密码学的隐私保护技术的一种方案，可信执行环境(Trusted executionenvironment，TEE)是基于硬件安全的CPU实现了基于内存隔离的安全计算，可在保证计算效率的前提下完成隐私保护的计算。TEE是一种通过软硬件方法、在计算机硬件中构建一个隔离的安全区域，以保证该区域内部加载的程序和数据在机密性和完整性上得到保护。

但是目前针对TEE的攻击研究方兴未艾，主要针对各具体TEE实现的安全逻辑缺陷、或者利用硬件上存在的一些漏洞、进而发起的侧信道攻击(Side Channel Attacks，SCA)。其中Meltdown漏洞(又称“熔断”漏洞)，就利用了现代微体系结构设计中的乱序执行(out-of-order execution)这一硬件加速机制，使得低权限进程可以短暂地获得对高权限内存的“临时”访问并残留下相应的CPU缓存痕迹、进而允许攻击者通过检测缓存痕迹模式实现泄露操作系统中特权数据的目的。为了提高处理性能，现代CPU架构大多都支持乱序执行机制，使得Meltdown漏洞这一无需特殊权限即可利用的弱点影响范围极广、危害特别严重，尤其是可以被用以破坏当前新兴的TEE技术所依赖的基于硬件的安全性基础。因此，信息产业亟需建立对Meltdown漏洞入侵行为的有效的实时检测机制。

为此，本发明提出一种面向Meltdown漏洞的实时入侵行为检测方法和装置。

发明内容

本发明的目的在于提供一种面向Meltdown漏洞的实时入侵行为检测方法和装置，解决了现有技术中如何针对Meltdown漏洞的防御技术实时性不强、漏报率和鲁棒性均较差的问题。

本发明采用的技术方案如下：

一种面向Meltdown漏洞的实时入侵行为检测方法，至少包括以下步骤：

步骤S1：Meltdown漏洞利用隐蔽信道指令序列进行寄存器层面的泛化，得到汇编指令序列；

步骤S2：根据各个不同指令集架构规定的机器指令编码格式将所得的每个汇编指令序列转译为机器码序列，并将所有的机器码序列汇总，得到字符串模式代码，并将所述字符串模式代码转换成机器指令；

步骤S3：内核进程运行PEBS，监控内存访问所述机器指令所引发的CPU缓存失效事件数据，PEBS将记录到的所述缓存失效事件数据存入位于内核的环形缓冲器内；

步骤S4：内核进程通过捕获SegFault异常数据获取触发SegFault信号的IP寄存器里的指令线性地址；

步骤S5：利用所述机器指令对捕获SegFault异常数据点后面的预设字节以内的内存机器指令进行匹配；当匹配成功，则发出一级Meltdown漏洞预警，进入步骤S6；反之，则确认为非熔断攻击；