[发明专利]用于检测在第一阶指令高速缓冲存储器中的恶意代码的集成电路和方法

说明书

本发明提供一种集成电路，其可包括：处理器；第一阶指令高速缓冲存储器，其具有第一存储容量；和第二阶高速缓冲存储器，其具有大于所述第一存储容量的第二存储容量。所述第一阶指令高速缓冲存储器经配置以存储所述第二阶高速缓冲存储器中所存储的指令的子集。所述第二阶高速缓冲存储器经配置以存储外部存储器中所存储的数据和指令的子集。所述处理器执行检测例程的内部循环，且监测所述内部循环的执行时间以检测所述第一阶指令高速缓冲存储器中的恶意代码。检测例程指令的总数大于所述第一存储容量。所述内部循环需要从所述第二阶高速缓冲存储器提取检测例程指令，且在所述内部循环的执行期间执行的指令的执行数目小于所述第一存储容量。

对相关申请案的交叉参考

本申请案主张2014年9月22日向美国专利局申请的美国非临时申请案第14/493,306号的优先权和权利，所述申请案的全部内容以引用的方式并入本文中。

技术领域

本发明大体上涉及检测与非高速缓冲存储(do-not-cache)攻击相关联的恶意代码。

背景技术

许多计算环境包含直接从RAM提取一或多个指令的指令。这些指令不存储于第二阶(L2)高速缓冲存储器中，而是替代地直接被复制到较小且较快的第一阶(L1)指令高速缓冲存储器中。通常，绕过L2高速缓冲存储器为善意操作。然而，在不存取L2高速缓冲存储器的情况下执行代码的能力可允许敌人用不使用L2高速缓冲存储器的恶意/损毁代码替换使用L2高速缓冲存储器的无害代码而此替换不被发现。举例来说，如果整个恶意代码适应L1高速缓冲存储器，那么恶意代码可隐藏其存在而不被扫描/检测软件发现。

因此，需要检测隐藏于第一阶指令高速缓冲存储器中的恶意代码的能力。

发明内容

本发明的一方面可在于一种集成电路，其包括：处理器；第一阶指令高速缓冲存储器，其具有第一存储容量；和第二阶高速缓冲存储器，其具有大于所述第一存储容量的第二存储容量。所述第一阶指令高速缓冲存储器耦合于所述处理器与所述第二阶高速缓冲存储器之间，且经配置以存储所述第二阶高速缓冲存储器中所存储的指令的子集。所述第二阶高速缓冲存储器耦合于所述第一阶指令高速缓冲存储器与外部存储器之间，且经配置以存储所述外部存储器中所存储的数据和指令的子集。所述处理器经配置以执行检测例程的内部循环，且监测所述内部循环的执行时间以检测所述第一阶指令高速缓冲存储器中的恶意代码。检测例程指令的总数大于所述第一存储容量。在执行期间，所述内部循环需要从所述第二阶高速缓冲存储器提取检测例程指令，且在所述内部循环的执行期间执行的指令的执行数目小于所述第一存储容量。

在本发明的更详细方面中，所述执行数目可显著小于所述第一存储容量。所述检测例程指令可包括一系列类似函数，且所述系列类似函数中的至少两个函数可为不同的。在执行期间，所述检测例程的所述内部循环可包含基于在所述检测例程的所述执行之前未知的至少一个选择输入对至少一个检测例程指令的选择。

本发明的另一方面可在于一种方法，其包括：通过处理器执行检测例程的内部循环，其中检测例程指令的总数大于第一阶指令高速缓冲存储器的第一存储容量；和在所述内部循环正在执行时从具有第二存储容量的第二阶高速缓冲存储器提取检测例程指令，所述第二阶高速缓冲存储器用于存储外部存储器中所存储的数据和指令的子集，其中在所述内部循环的执行期间执行的指令的执行数目小于所述第一存储容量；且通过所述处理器监测所述内部循环的执行时间以检测所述第一阶指令高速缓冲存储器中的恶意代码。