本发明专利技术涉及安全技术领域,具体涉及缓存攻击的监测防御方法、电子设备及系统,该方法包括获取当前进程以及所述当前进程的启动时间;记录当前进程的结束时间以及当前进程对应的刷新次数;基于启动时间以及结束时间,确定时间间隔;当时间间隔在第一阈值与第二阈值之间,且刷新次数大于预设刷新次数时,确定当前进程为恶意进程以阻止当前进程的刷新操作,第一阈值在第一刷新间隔与第二刷新间隔之间,第一刷新间隔为正常刷新间隔,第二刷新间隔为Spcetre攻击间隔,第二阈值在第三刷新间隔与第四刷新间隔之间,第三刷新间隔为Flush和Time攻击间隔,第四刷新间隔为Flush和Reload攻击间隔。通过结合时间间隔与刷新次数,能够实时确认其是否为恶意攻击。实时确认其是否为恶意攻击。实时确认其是否为恶意攻击。
【技术实现步骤摘要】
缓存攻击的监测防御方法、电子设备及系统
[0001]本专利技术涉及安全
,具体涉及缓存攻击的监测防御方法、电子设备及系统。
技术介绍
[0002]信息系统及软件系统依托特定的物理设备运行的过程中会产生电磁辐射、声音、时间、计算机CPU内存运算等多种物理状态信息。缓存侧信道攻击作为一种典型的侧信道攻击方法,就是基于对程序运行过程中CPU高速缓存进程之间高度交互且共享内存状态的分析,利用其内存访问时间和缓存访问时间不同的特性破解密码系统而实施的攻击。
[0003]缓存侧信道攻击的隐蔽性与破坏力极强,但目前针对缓存侧信道攻击的防御措施仍然存在很多不足,特别是在ARM架构上针对刷新缓存的侧信道攻击的防御技术还不能实现实时监测,检测的准确性和分辨率也较低。
技术实现思路
[0004]有鉴于此,本专利技术实施例提供了一种缓存攻击的监测防御方法、电子设备及系统,以解决缓存攻击监测的准确性的问题。
[0005]根据第一方面,本专利技术实施例提供了一种缓存攻击的监测防御方法,包括:
[0006]获取当前进程以及所述当前进程的启动时间;
[0007]记录所述当前进程的结束时间以及所述当前进程对应的刷新次数;
[0008]基于所述启动时间以及所述结束时间,确定时间间隔;
[0009]当所述时间间隔在第一阈值与第二阈值之间,且所述刷新次数大于预设刷新次数时,确定所述当前进程为恶意进程以阻止所述当前进程的刷新操作,所述第一阈值在第一刷新间隔与第二刷新间隔之间,所述第一刷新间隔为正常刷新间隔,所述第二刷新间隔为Spcetre攻击间隔,所述第二阈值在第三刷新间隔与第四刷新间隔之间,所述第三刷新间隔为Flush和Time攻击间隔,所述第四刷新间隔为Flush和Reload攻击间隔。
[0010]本专利技术实施例提供的缓存攻击的监测防御方法,与正常进程频繁地刷新缓存不同,基于刷新的缓存攻击由于分支预测训练或加密具有一个必要且根本的特征,即在执行刷新操作时都需要间隔特定的时间,尽管不同的攻击具有不同的值,但是这些值都在一定范围之内,基于此通过对当前进程对应的时间间隔以及刷新次数,将时间间隔与第一阈值与第二阈值进行比较且将刷新次数与预设刷新次数进行比较,从而实时确认其是否为恶意攻击。
[0011]可选地,所述当所述时间间隔在第一阈值与第二阈值之间,且所述刷新次数大于预设刷新次数时,确定所述当前进程为恶意进程以阻止所述当前进程的刷新操作,包括:
[0012]当所述时间间隔在第一阈值与第二阈值之间,且所述刷新次数大于预设刷新次数时,将告警值设置为目标值;
[0013]基于所述告警值确定所述当前进程为恶意进程以阻止所述当前进程的刷新操作。
[0014]本专利技术实施例提供的缓存攻击的监测防御方法,在确定当前进程为恶意进程之后
将告警值设置为目标值以便于读取该告警值阻止当前进程的刷新操作,简化了数据处理过程。
[0015]可选地,所述基于所述告警值确定所述当前进程为恶意进程,包括:
[0016]读取所述告警值,并确定所述当前进程为恶意进程,以阻止所述当前进程的刷新操作。
[0017]本专利技术实施例提供的缓存攻击的监测防御方法,通过软件方式进行恶意进程的监测与防御,简单易于实现。
[0018]可选地,所述基于所述告警值确定所述当前进程为恶意进程,包括:
[0019]将所述告警值写入告警寄存器,以使得所述告警寄存器触发中断并在中断服务程序中将所述当前进程记录为恶意进程,以阻止所述当前进程的刷新操作。
[0020]本专利技术实施例提供的缓存攻击的监测防御方法,通过硬件中断防御措施实现缓存攻击的监测防御。
[0021]可选地,所述基于所述告警值确定所述当前进程为恶意进程,包括:
[0022]将所述告警值写入告警寄存器,以使得刷新防御器从所述告警寄存器读取所述告警值并将所述当前进程记录为恶意进程,以阻止所述当前进程的刷新操作。
[0023]本专利技术实施例提供的缓存攻击的监测防御方法,通过硬件告警寄存器的防御措施实现缓存攻击的监测防御。
[0024]可选地,所述方法还包括:
[0025]当确定所述当前进程不是恶意进程时,基于所述当前进程刷新第一级缓存以及第二级缓存。
[0026]根据第二方面,本专利技术实施例提供了一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面或者第一方面的任意一种实施方式中所述的缓存攻击的监测防御方法。
[0027]根据第三方面,本专利技术实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行第一方面或者第一方面的任意一种实施方式中所述的缓存攻击的监测防御方法。
[0028]根据第四方面,本专利技术实施例提供了缓存攻击的监测防御系统,包括:
[0029]本专利技术第二方面所述的电子设备;
[0030]告警寄存器,与所述电子设备连接,用于存储所述告警值。
[0031]可选地,所述系统还包括:
[0032]刷新防御器,与所述告警寄存器连接,用于读取所述告警寄存器存储的告警值,当所述告警值为目标值时确定所述当前进程为恶意进程以阻止所述当前进程的刷新操作。
[0033]需要说明的是,本专利技术实施例提供的电子设备、计算可读存储介质以及缓存攻击的监测防御系统的有益效果,请参见上文缓存攻击的监测防御方法的相关描述,在此不再赘述。
附图说明
[0034]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体
实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0035]图1示出了Spectre、Flush+Reload和Flush+Time攻击的刷新特征的示意图;
[0036]图2是根据本专利技术实施例的刷新攻击的监测防御方法的流程图;
[0037]图3是根据本专利技术实施例的刷新攻击的监测防御方法的流程图;
[0038]图4是根据本专利技术实施例的刷新攻击的监测防御方法的流程图;
[0039]图5是根据本专利技术实施例的刷新攻击的监测防御方法的流程图;
[0040]图6是根据本专利技术实施例的刷新攻击的监测防御方法的流程图;
[0041]图7是根据本专利技术实施例的FlushDetector模块接口的示意图;
[0042]图8是根据本专利技术实施例的刷新攻击的监测防御系统架构的示意图;
[0043]图9是本专利技术实施例提供的电子设备的硬件结构示意图。
具体实施方式
[0044]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种缓存攻击的监测防御方法,其特征在于,包括:获取当前进程以及所述当前进程的启动时间;记录所述当前进程的结束时间以及所述当前进程对应的刷新次数;基于所述启动时间以及所述结束时间,确定时间间隔;当所述时间间隔在第一阈值与第二阈值之间,且所述刷新次数大于预设刷新次数时,确定所述当前进程为恶意进程以阻止所述当前进程的刷新操作,所述第一阈值在第一刷新间隔与第二刷新间隔之间,所述第一刷新间隔为正常刷新间隔,所述第二刷新间隔为Spcetre攻击间隔,所述第二阈值在第三刷新间隔与第四刷新间隔之间,所述第三刷新间隔为Flush和Time攻击间隔,所述第四刷新间隔为Flush和Reload攻击间隔。2.根据权利要求1所述的方法,其特征在于,所述当所述时间间隔在第一阈值与第二阈值之间,且所述刷新次数大于预设刷新次数时,确定所述当前进程为恶意进程以阻止所述当前进程的刷新操作,包括:当所述时间间隔在第一阈值与第二阈值之间,且所述刷新次数大于预设刷新次数时,将告警值设置为目标值;基于所述告警值确定所述当前进程为恶意进程以阻止所述当前进程的刷新操作。3.根据权利要求2所述的方法,其特征在于,所述基于所述告警值确定所述当前进程为恶意进程,包括:读取所述告警值,并确定所述当前进程为恶意进程,以阻止所述当前进程的刷新操作。4.根据权利要求2所述的方法,其特征在于,所述基于所述告警值确定所述当前进程为恶意进程,包括:将所述告警值写入告警寄存器,以使得所述告警寄存器...
【专利技术属性】
技术研发人员:王益斌,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。