[发明专利]基于控制流页访问分析的受控信道脆弱性自动化检测方法

权利要求书

1.一种基于控制流页访问分析的受控信道脆弱性自动化检测方法，其特征在于，所述方法包括以下步骤：

步骤1：搭建条件控制流内存页访问实时攻击环境，并控制目标应用程序在分配的物理内存区域上开始执行；

步骤2：利用内存管理单元MMU分配给目标应用程序受限的物理内存页帧数，当目标应用程序开始执行时，记录下触发的系统中断或缺页异常对应的物理内存页号，生成一个缺页异常序列；

步骤3：分析步骤2获取的缺页异常序列，搜索其中重复出现的最长子序列，记录每条最长子序列及其重复次数；

步骤4：分析步骤2获取的缺页异常序列，基于步骤3搜索到的最长子序列，计算相邻两个最长子序列之间的距离向量、平均值、方差；

步骤5：将每条最长子序列及其重复次数，相邻两个最长子序列之间的距离向量、平均值、方差作为缺页异常特征信息，采用机器学习分析缺页异常特征信息与目标应用程序间的相关度，从而检测敏感目标应用程序的受控信道脆弱性。

2.根据权利要求1所述的基于控制流页访问分析的受控信道脆弱性自动化检测方法，其特征在于，所述步骤1具体为：通过侧信道攻击框架SGX-Step模拟标准的Intel SGX受控信道攻击威胁模型中的攻击者，获取控制特权系统软件的权限，并操控内存管理单元MMU对可信世界Enclave对应的内存页进行管理；侧信道攻击框架SGX-Step控制目标应用程序在分配的物理内存区域上开始执行，并且实时监视内存区域的缺页异常状态，从而搭建条件控制流内存页访问实时攻击环境。

3.根据权利要求1所述的基于控制流页访问分析的受控信道脆弱性自动化检测方法，其特征在于，所述步骤2具体包括以下子步骤：

步骤2.1：利用性能计数器对目标应用程序运行时内存缺页异常信息进行监控；

步骤2.2：设置内存页的可执行标记位，以模拟其是否被加载到分配的内存空间中；当设定分配的物理内存页帧数大于1时，定义一个队列用于记录当前状态下可执行的内存页；在发生缺页异常时，将触发缺页异常的页号记录到队列中并标记为可执行的；

步骤2.3：通过FIFO、LRU或LFU在内的替换策略维护和管理可执行内存页队列，当队列已满时，被逐出队列的内存页被标记为不可执行的；当该不可执行的内存页被再次访问时，会产生缺页异常并触发系统中断，获取异常信息，即引起缺页异常的内存页号，若干引起缺页异常的内存页号组成缺页异常序列。

4.根据权利要求3所述的基于控制流页访问分析的受控信道脆弱性自动化检测方法，其特征在于，所述步骤2具体还包括：

步骤2.4：调整攻击参数，重复步骤2.2～2.3若干次，以检测目标应用程序的抗受控信道攻击性能。

5.根据权利要求3所述的基于控制流页访问分析的受控信道脆弱性自动化检测方法，其特征在于，所述步骤2.2包括：

当设定物理内存页帧数为1时，即目标应用程序只能在此内存页帧上执行；此时将最大化受控信道泄露，触发缺页异常中断进程；当设定物理内存页帧数大于1时，分配给目标应用程序可供其执行的内存空间至少为2个页帧，需要定义一个队列用于记录当前状态下被加载到分配的内存空间中的内存页号；

使用内存页的可执行标记位模拟其是否被加载到分配的内存空间中，在攻击初始化阶段，将所有的内存页都设定为不可执行的，然后等待目标应用程序开始执行；当目标应用程序访问某一内存页上的指令时，若此内存页属性为不可执行，则会触发缺页异常；此时，恶意操作系统可获取对应的内存页号，将对应的内存页标记位设置为可执行的，并且将内存页号记录到一个队列中，这个队列中记录的内存页号表示这些内存页被标记为可执行的，即被加载到分配的内存空间中；队列的容量等于设定的物理内存页帧数大小；目标应用程序继续执行，访问之前触发系统中断的内存页，直到下次产生缺页异常，如此循环得到完整的缺页异常序列。