[发明专利]一种基于硬件虚拟化的云平台受控侧信道攻击检测方法

权利要求书

1.一种基于硬件虚拟化的云平台受控侧信道攻击检测方法，其特征在于，包括以下步骤：

步骤1：虚拟机监视VMM利用内存管理单元MMU对客户虚拟机的进程页表进行虚拟化扩展，获得扩展页表EPT；

步骤2：确定扩展页表EPT中客户页表结构；

在虚拟机监视VMM控制下仅在处理器工作处于非根模式时才参与地址转换，内存管理单元MMU虚拟化扩展；EPT直接在硬件上支持从客户机虚拟地址GVA到宿主机物理地址HPA之间的映射，直接在硬件上支持客户虚拟地址-客户物理地址-主机物理地址的两次转换；

步骤3：修改EPT页表项的读写权限位，限制受保护进程页表的修改，从而锁定内存；

具体实现包括以下子步骤：

步骤3.1：将扩展页表EPT中客户页表在EPT页表映射中PT层的页面设置为只读，当攻击者去修改这些页表结构时，系统会因为扩展页表冲突立刻陷入到虚拟机监视VMM中，称为第一次陷入；

步骤3.2：虚拟机监视VMM掌握控制权，记录被修改前的地址及其指向内容并恢复该处的可写权限；通过修改MSR寄存器来设置监视陷阱标志MTF让客户机进入单步执行模式；

步骤3.3：在恢复客户机完成写操作之后，执行完一条指令会触发监视陷阱标志MTF再次陷入到虚拟机监视VMM中，称为第二次陷入；处理第二次陷入时，读取记录地址中新的内容，并重新设置扩展页表EPT为只读，来监控下一次的修改操作；

步骤4：虚拟机监视VMM通过读取虚拟机控制块VMCS中的中断描述符表IDT表地址，获取其完整内容，保证中断描述符表IDT表不会被修改，虚拟机监视VMM保留所有系统例程地址变化和页表内容写操作的相关记录；

其中所述保证中断描述符表IDT表不会被修改，具体实现包括以下子步骤：

步骤4.1：通过system.map文件获取中断描述符表IDT表的地址，并用文件中的do_page_fault()地址作为#PF处理例程的依据；

其中，System.map是最后产生的文件，包含所有的可执行上下文、数据段的运行地址以及加载地址； do_page_fault()是处理缺页异常的入口，do_page_fault()地址就是处理缺页异常的入口地址；#PF为页错误Page Fault；

步骤4.2：在虚拟机监视VMM中，系统读取虚拟机控制结构VMCS中的IDTR_ BASE字段值作为一个门描述符指针，称为idtr_base；该指针用来计算出具体的#PF和其他中断处理例程地址；

一旦idtr_base或者处理例程的地址pf_addr的值发生变化，虚拟机监视VMM就会立刻记录并作为系统完整性的一个重要指标；如果地址在标准的基础上改变了两次，相关的例程或IDT就证明不再安全；

步骤5：根据受控信道攻击的攻击模型，通过区分恶意OS对系统结构的特殊修改行为，虚拟机监视VMM判断出OS对受保护进程的恶意操作；

其中，采用事件关联方法对特定时间段的异常进行对比分析，具体实现包括以下子步骤：

步骤5.1：将收集到的文件按照定义好的事件格式进行元数据抽取，进行清洗、标准化，形成事件元数据，使得这些侧信道的特征凸显出来；

步骤5.2：对事件进行归并，从大量事件中将符合一定条件的事件归并为一条事件流；

步骤5.3：提取出事件主体行为，排除无关事件的干扰，提高系统的处理能力；

步骤5.4：根据这些事件确定侧信道攻击的特征，从而确定威胁点，达到检测的目的。

2.根据权利要求1所述的基于硬件虚拟化的云平台受控侧信道攻击检测方法，其特征在于：步骤3.1中，修改扩展页表EPT 违规处理程序Violation handler来增加筛选的条件；

筛选的条件为：

1）退出辅助信息Exit_ Qualification是WRITE_ MASK，对应页表写操作；

2）当前的GUEST_CR3是目标进程，则过滤无用进程信息；其中，GUEST_CR3是存储客户进程所映射的物理地址单元内容，即客户机物理地址，作为下一级客户页表的索引基址；

3）当前客户物理地址GUEST_PHYSICAL_ADD- RESS值存在于页号存储结构中；

如果上述条件都满足，扩展页表EPT将进入第一次陷入处理。