[发明专利]一种处理器漏洞利用威胁检测方法及装置

说明书

本发明提供一种处理器漏洞利用威胁检测方法及装置，该方法包括：从硬件性能计数器HPC采样时间序列中，提取HPC数据连续时间序列片段；对所述HPC数据连续时间序列片段进行数据清洗，得到目标HPC数据；将所述目标HPC数据输入预设编码‑解码检测模型，得到所述目标HPC数据的数据重构误差序列；根据预设决策机制对所述目标HPC数据的数据重构误差序列进行分析，得到威胁检测结果；其中，所述预设编码‑解码检测模型是通过正常进程的目标HPC样本数据训练得到的。通过提取HPC数据连续时间序列片段，能够提取在给定容忍度下HPC数据中的连续有效值，避免数据的干扰，并且通过预设编码‑解码检测模型实现威胁检测。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种处理器漏洞利用威胁检测方法及装置。

背景技术

处理器作为现代计算机“大脑”，具备复杂数据与逻辑处理能力，其它外设工作均需要与之协调配合。由于处理器运算处理速度要远超从内存中读写数据、指令速度，为了不浪费宝贵计算资源，处理器与内存间设置了多级缓存(如L1、LLC缓存)，用于存储当前经常访问数据和指令，提升读写速度；并引入多级流水线，满足指令分类、并行化处理需求。进一步的，现代处理器引入“乱序执行”、“推测执行”等高级机制，从而与缓存相互协调提升流水线工作效率，并通过“回滚”等方式进行纠正，保证架构级别执行过程语义正常。

作为数据中转通道，缓存在提升处理器执行效率同时也带来了信息安全问题，目前已产生Flush+Reload、Flush+Flush、Prime+Probe等多种缓存侧信道攻击方式。基于内存与缓存中数据在访问速度上差异，攻击者能恢复出残存于缓存中的敏感数据。与此同时，处理器“乱序执行”、“推测执行”等机制漏洞所引发的瞬态执行将导致敏感数据被残留在缓存中，这为缓存侧信道攻击提供数据来源，其中有代表性的处理器漏洞利用威胁包括“熔断”和“幽灵”攻击，以及由其衍生出一系列漏洞变种。随着云技术蓬勃发展，越来越多企业将自身业务部署在云平台上，其最重要特点是底层硬件资源的共享性与流动性，这导致处理器漏洞利用在云内产生了更严重的安全威胁，如同驻攻击、虚拟机逃逸等。

虽然业界尝试了多种防御策略，但限于对处理器运行效率需求以及对其漏洞认知局限，目前还难以很好的实现基于处理漏洞利用的各种安全威胁的检测；因此如何有效的实现处理器漏洞利用威胁检测已经成为业界亟待解决的问题。

发明内容

本发明提供一种处理器漏洞利用威胁检测方法及装置，用以解决现有技术中难以很好的实现基于处理漏洞利用的各种安全威胁的检测的问题。

本发明提供一种处理器漏洞利用威胁检测方法，包括：

从硬件性能计数器HPC采样时间序列中，提取HPC数据连续时间序列片段；

对所述HPC数据连续时间序列片段进行数据清洗，得到目标HPC数据；

将所述目标HPC数据输入预设编码-解码检测模型，得到所述目标HPC数据的数据重构误差序列；

根据预设决策机制对所述目标HPC数据的数据重构误差序列进行分析，得到威胁检测结果；

其中，所述预设编码-解码检测模型是通过正常进程的目标HPC样本数据训练得到的。

根据本发明提供的一种处理器漏洞利用威胁检测方法，所述从硬件性能计数器HPC采样序列中，提取HPC数据连续时间序列片段的步骤，具体包括：

去除HPC采样时间序列中的目标无效值点，得到待处理HPC采样时间序列；其中，所述目标无效值点是指连续出现次数超过预设次数的无效值点；

根据所述待处理HPC采样时间序列中的最长连续时间片段，确定HPC数据连续时间序列片段。

根据本发明提供的一种处理器漏洞利用威胁检测方法，所述对所述HPC数据连续时间序列片段进行数据清洗，得到目标HPC数据的步骤，具体包括: