[发明专利]处理器指令异常行为检测方法及系统

权利要求书

1.一种处理器指令异常行为检测方法，其特征在于，包含如下内容：

不同处理器分别建立对应指令集；

对目标处理器的指令集进行模糊测试，生成指令搜索样例及指令样本库，并依据指令功能及特征对样本指令进行标签化处理；

依据标签化处理后的样本指令对待检测指令进行异常检测，判定是否为可疑指令或正常指令；并依据目标指令执行前后的操作及执行结果进行对比来断言可疑指令或正常指令是否为异常指令；针对异常指令，对其进行整理并形成异常指令测试报告；单条指令检测完毕后，返回异常检测以待进行下一条指令的测试；

依据目标处理器指令格式构成设置指令字节空间长度，从第一个字节开始利用深度优先算法遍历指令，获取除指令前缀字节外的所有指令内容，并将该内容与指令前缀结合，得到目标处理器所有有效指令；

依据模糊测试确定指令搜索空间，并利用反汇编器对样本指令进行反汇编，通过操作数测试完成指令分类；

依据指令功能及特征，并利用勘误表中指令异常特征，对指令分类进行标签化处理；

标签化处理中，对指令正常行为进行标识，将所有指令以及相应反汇编以无操作数、单操作数和多操作数进行分类，将分类结果映射成算数逻辑运算操作、内存读取类操作、寄存器写入类操作及特殊操作功能；

通过比对指令反汇编结果和指令实际执行过程中标签对比，并结合异常检测，判定待检测指令是否为可疑指令；

利用断言语句对目标指令执行前后的操作及执行结果进行对比，以确定指令异常行为；

利用always(表达式)判定执行权限与页面权限匹配异常行为和操作数结构处理异常行为，利用next (表达式, 信号, 时间)来判定处理器完全锁定异常行为，利用change(表达式, 信号)来判定寄存器修改异常行为、MSR修改异常行为和更新状态异常返回行为。

2.根据权利要求1所述的处理器指令异常行为检测方法，其特征在于，依据处理器厂商定期更新的勘误表，在预设时间间隔内对勘误表中指令异常特征进行提取及标签化，以确保指令测试准确性和完整性。

3.根据权利要求1所述的处理器指令异常行为检测方法，其特征在于，针对异常检测结果，通过复检来获取可疑指令，并结合人工分析来排除误报情形。

4.一种处理器指令异常行为检测系统，其特征在于，基于权利要求1所述的方法实现，包含：数据收集模块、模糊测试模块和异常检测模块，其中，

数据收集模块，用于针对不同处理器分别建立对应指令集；

模糊测试模块，用于对目标处理器的指令集进行模糊测试，生成指令搜索样例及指令样本库，并依据指令功能及特征对样本指令进行标签化处理；

异常检测模块，用于依据标签化处理后的样本指令对待检测指令进行异常检测，判定是否为可疑指令或正常指令；并依据目标指令执行前后的操作及执行结果进行对比来断言可疑指令或正常指令是否为异常指令；针对异常指令，对其进行整理并形成异常指令测试报告；单条指令检测完毕后，返回异常检测以待进行下一条指令的测试。