[发明专利]处理器指令异常行为检测方法及系统

说明书

本发明属于网络安全技术领域，特别涉及一种处理器指令异常行为检测方法及系统，包含：不同处理器分别建立对应指令集；对目标处理器的指令集进行模糊测试，生成指令搜索样例及指令样本库，并依据指令功能及特征对样本指令进行标签化处理；依据标签化处理后的样本指令对待检测指令进行异常检测，判定是否为可疑指令或正常指令；并依据目标指令执行前后的操作及执行结果进行对比来断言可疑指令或正常指令是否为异常指令；针对异常指令，对其进行整理并形成异常指令测试报告；单条指令检测完毕后，返回异常检测以待进行下一条指令的测试。本发明能够有效检测处理器指令错误，提高处理器的性能。

技术领域

本发明属于网络安全技术领域，特别涉及一种处理器指令异常行为检测方法及系统。

背景技术

自处理器的不断发展，为了提高性能，满足更多的软件和系统要求，逐渐引入多种的指令扩展，但指令的安全问题也逐渐变多。1994年，FDIV bug导致Pentium处理器上的浮点数除法出现错误，大批处理器被召回；1997年。Pentium处理器上的F00F异常指令可导致指令编码无效同时异常处理机制被死锁以至于CPU宕机，2014年，TSX指令bug影响系统的正常运行，导致相应指令被禁用。2007年，Theo de Raadt是第一个将英特尔勘误与OpenBSD操作系统中的潜在安全漏洞联系起来的，之后越来越多的人开始立足于勘误表实施攻击。2018年，由于操作系统开发者没有正确处理MOV SS/POP SS指令，出现的#DB异常可能产生意外的行为，引起操作系统崩溃甚至可以被用来提权。2018年，Domas Christopher发现了威盛(VIA)C3处理器中的指令后门，利用该指令普通用户可以提升至超级用户权限。而微指令的更新也被发现问题，2014年，Daming D.Chen对x86处理器的微代码进行了安全性分析，证明了恶意微代码更新可能潜在地实现新的恶意代码结构或改变现有指令的功能。2017年，Koppe Philipp等人对x86处理器微代码进行逆向分析，并完成了自定义的微代码更新，实现了微代码级别的可远程触发的后门。这些指令级的安全问题严重危害关键基础设施安全及重要行业的信息安全，已经造成巨大损失。

为解决设计时处理器缺陷，使用形式验证来证明正确性。DIVA是一种采用动态验证技术来进行检测修复处理器错误，提高处理器的性能。SPECS为处理器添加了少量硬件，通过设定不同的安全不变量并动态验证，旨在不影响程序正常运行的情况下检测并恢复违反不变量规则的处理器错误。清华大学硬件安全与密码芯片实验室魏少军教授团队提出在硬件层次上实现了CPU硬件安全动态监测管控技术，以指令级CPU模型与硬件行为安全断言方法相结合管控处理器，有效防止CPU受到硬件木马、非法微码更新、硬件漏洞等攻击，发现指令XRSTO的真实行为与指令手册不一致。尽管有越来越多的动态监控技术来处理处理器的缺陷，但是针对指令的异常行为研究仍旧需要加大研究力度。

发明内容

为此，本发明提供一种处理器指令异常行为检测方法及系统，能够有效检测处理器指令错误，提高处理器的性能。

按照本发明所提供的设计方案，一种处理器指令异常行为检测方法，包含如下内容：

不同处理器分别建立对应指令集；

对目标处理器的指令集进行模糊测试，生成指令搜索样例及指令样本库，并依据指令功能及特征对样本指令进行标签化处理；

依据标签化处理后的样本指令对待检测指令进行异常检测，判定是否为可疑指令或正常指令；并依据目标指令执行前后的操作及执行结果进行对比来断言可疑指令或正常指令是否为异常指令；针对异常指令，对其进行整理并形成异常指令测试报告；单条指令检测完毕后，返回异常检测以待进行下一条指令的测试。

作为本发明处理器指令异常行为检测方法，进一步的，依据目标处理器指令格式构成设置指令字节空间长度，从第一个字节开始利用深度优先算法遍历指令，获取除指令前缀字节外的所有指令内容，并将该内容与指令前缀结合，得到目标处理器所有有效指令。