[发明专利]针对瞬态执行攻击动态攻击链路的安全性评估框架及方法

说明书

本发明提供一种针对瞬态执行攻击动态攻击链路的安全性评估框架，包括有向图转换模块，设置为将瞬态执行攻击链路的集合转换成原始的攻击有向图；有向图扩展模块，设置添加新的有向边来扩展原始的攻击有向图；路径选择模块，设置为选择可用的测试路径；代码生成模块，设置为根据测试路径生成对应的攻击程序的代码；测试引擎，设置为将攻击程序分别作为待测试的攻击链路来执行并评测其攻击效果，合成有效攻击或确认不能生成有效攻击。本发明还提供相应的安全性评估方法。本发明通过对瞬态执行攻击链路中不同阶段的可用方法进行动态组合，能合成出能够攻破当前防御环境的瞬态执行攻击，并通过是否能够合成有效攻击来对目标主机的安全性进行评估。

技术领域

本发明涉及一种针对瞬态执行攻击动态攻击链路的安全性评估框架及方法，属于系统安全技术领域。

背景技术

在过去几十年中，CPU的性能由于大量优化技术(例如推测执行和乱序执行)的采用而得到巨大的提升。但是，这些优化技术也可能被攻击者利用以泄露用户隐私信息，对现代处理器的安全构成了严重威胁。

为了提高处理器的运行速度，现代处理器中引入了推测执行和乱序执行两种投机优化技术。但是，这些投机操作有时也会预测错误，导致流水线中部分指令被错误地执行。为了保证程序运行的正确性，流水线必须刷新这些错误指令并使程序回到正确的位置处重新开始执行。我们称这些先是被错误地投机执行，而后又被刷新的指令为瞬态指令。这些瞬态指令最终不会在流水线中被提交，故其执行不会影响处理器中架构级的状态。然而，它们的投机执行却会影响处理器中微架构单元(如缓存等)的状态造成影响。

瞬态执行攻击就是一类典型的利用优化技术来实现的攻击。瞬态执行攻击是指攻击者利用执行瞬态指令对处理器微架构单元造成的影响来获取私密信息的一种攻击方式。通过执行瞬态指令，瞬态执行攻击可以成功将私密数据由微架构不可见、程序不可见的状态变为微架构可见、程序可见的状态。不同与传统的基于架构级状态改变的侧信道，瞬态执行攻击利用微架构级状态改变来泄漏私密信息。这些微架构级状态的更改是由于投机执行错误引发的在错误路径上执行指令，最终攻击者可以利用微架构侧信道观测到这些微架构级状态改变。

自原始的瞬态执行攻击(即Spectre和Meltdown)被提出以来，大量的瞬态执行攻击变体被发现。根据利用优化技术的不同，瞬态执行攻击可以分为两类：Spectre类攻击和Meltdown类攻击。其中，前者是利用现代处理器中的推测执行机制来发起攻击，而后者则利用乱序执行机制来发起攻击。现已有针对这两种类型瞬态执行攻击的系统调研分析成果。

然而，现有的瞬态执行攻击通常是依赖于单一的静态攻击链。这就使得攻击链中的任何一环的阻塞都可能导致整个攻击链路的失效。例如，大多数瞬时执行攻击利用缓存侧信道(例如“Flush+Reload”)来传输机密信息，而针对缓存侧信道的缓解措施可以防御绝大多数瞬态执行攻击。相比之下，基于动态攻击链路的攻击可以打破现有的防御方案。

Transynther是有关瞬态执行攻击合成的最新研究成果。Moghimi等人通过对Meltdown类攻击所需的基本代码片段进行动态自由组合，最终成功地发现了新型Meltdown类型攻击Medusa。然而，尽管Transynther可以攻破大量现有的缓解措施(例如KPTI)，但它仍然依赖于静态攻击链。当系统中装备了特定的防御方案(如缓存缓解措施)后，Medusa攻击便无法生效。

发明内容

本发明的目的在于提供一种针对瞬态执行攻击动态攻击链路的安全性评估方法，通过是否能够合成有效的动态攻击链路来对目标主机的安全性进行评估。

为了实现上述目的，本发明提供一种针对瞬态执行攻击动态攻击链路的安全性评估框架，包括：

有向图转换模块，其设置为将瞬态执行攻击链路的集合转换成原始的攻击有向图；

有向图扩展模块，其设置为通过向该原始的攻击有向图中添加新的有向边来扩展原始的攻击有向图，以生成最终的攻击有向图；