件注冊事件處理函數�����,截獲客戶虛擬機觸發(fā)的內存事件���,通過邏輯事件注冊表找到該硬件事件對應的邏輯事件處理函數�����,在事件處理完成后���,最后再將控制權交還客戶虛擬機,并用于過濾掉可信的進程內存活動��,提取非可信進程的內存訪問活動的相關信息形成內存活動日志��。
[0012]進一步的��,所述步驟B具體包括如下步驟:
(1)將目標客戶虛擬機的內存活動日志按照進程區(qū)分開來����,在每個進程里面查找是否存在某內存頁面被同一進程重復訪問,存在則進入步驟(2)并將訪問該頁面的進程放入可疑進程序列����;
(2)從可疑進程序列中依次取出可疑進程,找到該進程訪問的內存活動記錄�����,根據這些記錄分別計算其屬性值,所述屬性值包括以下至少一種:每次密集活動時間間隔�����、每次密集活動訪問內存頁面集合�����、每次密集活動訪問持續(xù)時間和每次密集活動開始時間�;
(3)如果可疑進程不具備下述兩種條件其中之一,則將該進程從可疑進程序列中去除�,所述兩種條件包括:
對于side-channel攻擊的接收者存在每次密集活動時間間隔一致;
對于side-channel攻擊的發(fā)送者存在每次密集活動時間間隔為正常時間間隔的整數倍��;
(4)檢查可疑進程每次密集活動訪問頁面集合是否都一致���,如果不一致則將該進程從可疑進程序列中去除�����。
[0013]進一步的����,所述步驟B還包括攻擊類型識別的步驟: 如果發(fā)送者進程和接收者進程的每次密集訪問開始時間一致����,則判斷攻擊類型為基于CPU負載的side-channel攻擊;如果發(fā)送者進程和接收者進程的每次密集訪問開始時間不一致,則觀察其密集訪問持續(xù)時間�����,如果遠遠大于基于CPU緩存的side-channel攻擊的延遲閾值�,則該攻擊為基于內存總線的side-channel攻擊,否則為基于CPU緩存的side-channel攻擊�。
[0014]進一步的,所述步驟C中對可疑進程進行靜態(tài)的二進制代碼分析的過程包括如下步驟:
(1)根據記錄中可疑進程的進程空間地址����,在內存快照中對應位置提取出可疑進程內存空間;
(2)找到可疑進程的代碼數據段�,將二進制代碼提取出來;
(3)將二進制代碼根據該代碼運行的系統(tǒng)和硬件平臺還原成匯編代碼進行分析����;
(4)在匯編代碼中重點查找執(zhí)行重復指令的代碼;
(5)在重復指令代碼里面查找是否存在進行時間刺探的代碼以及其他存在的side-channel 攻擊代碼特征�����,如果存在則表明該進程為惡意進程,如果不存在則過濾掉該可疑進程���。
[0015]與現(xiàn)有技術相比����,本發(fā)明具有如下優(yōu)點和有益效果:
1.本發(fā)明提供的取證系統(tǒng)和方法能夠在硬件虛擬化技術的支持下�����,在基于時間的side-channel攻擊發(fā)生時����,實時地獲取攻擊證據,克服了當前事后取證方法的缺陷����,實現(xiàn)客戶目標虛擬機的實時取證,在取證過程中最大程度的防止了證據的丟失和篡改����。
[0016]2.本發(fā)明的識別過程克服了基于時間的side-channel攻擊無法識別的缺陷,通過底層活動的分析找到了這類攻擊的存在和發(fā)生過程證據����。
[0017]3.本發(fā)明提出了二次驗證機制�,彌補識別過程中可能出現(xiàn)的誤報進程���,再次確認攻擊進程的存在����,驗證了整個取證過程的可行性���,保證了獲取證據的有效性和可信度。
[0018]4.本發(fā)明能夠在支持硬件虛擬化的虛擬化平臺上部署�����,在系統(tǒng)運行時部署�,無需停止或重啟目標客戶虛擬機,無需修改客戶虛擬機和虛擬機監(jiān)控平臺代碼�����,具有很高的透明性�,不會對虛擬機平臺造成額外的負荷和運行干擾。
【附圖說明】
[0019]圖1為本發(fā)明提供的基于內存活動的邊信道攻擊取證系統(tǒng)結構示意圖����;
圖2為監(jiān)控模塊處理流程示意圖;
圖3為識別模塊處理流程示意圖;
圖4為驗證模塊處理流程過程圖�;
圖5為證據數據中心中三個數據池中數據流動示意圖。
【具體實施方式】
[0020]以下將結合具體實施例對本發(fā)明提供的技術方案進行詳細說明�,應理解下述【具體實施方式】僅用于說明本發(fā)明而不用于限制本發(fā)明的范圍。
[0021]請參閱圖1�,圖中為本發(fā)明提供的基于內存活動的邊信道攻擊取證系統(tǒng)結構示意圖,本系統(tǒng)在硬件虛擬化平臺的支持下���,獲取到客戶虛擬機的內存訪問權限�����,攔截并記錄客戶虛擬機頁面內存的訪問情況��,將云平臺下基于時間的side-channel攻擊識別并驗證�����,并保存相關證據�����。系統(tǒng)具體包括監(jiān)控模塊����、識別模塊、驗證模塊和證據數據中心���,其中���,監(jiān)控模塊負責整個證據收集過程,其對系統(tǒng)底層內存活動進行實時監(jiān)控�,并提供詳細的日志記錄����。識別模塊將云平臺下基于時間的side-channel攻擊識別出來,提取出可疑進程日志并將冗余的監(jiān)控日志過濾掉�。驗證模塊對識別模塊識別出來的可疑進程進行二次驗證,并提取此時系統(tǒng)的內存快照�,為取證系統(tǒng)提供完整的證據提取和分析支持。證據數據中心提供對整個取證過程中的證據數據處理支持���,與其他三個模塊相互配合�,支持證據的收集�、過濾和提取。本系統(tǒng)運行環(huán)境包括三個層次:硬件層���、虛擬機監(jiān)視器層和虛擬機層�����,監(jiān)控模塊橫跨虛擬機監(jiān)視器層和虛擬機層����,其余模塊都部署在虛擬機中,對目標客戶虛擬機不會產生任何的干擾����,具有很高的透明性和隱蔽性。
[0022]對于底層內存活動的監(jiān)控�����,硬件虛擬化技術提供內存虛擬化技術支持����,從而能夠實現(xiàn)對內存訪問的權限管理,實現(xiàn)對客戶虛擬機內存行為監(jiān)控的同時也能保證了虛擬機的相互隔離與獨立性�。硬件虛擬化的特性保證了運行環(huán)境的一致性,即計算機軟件在硬件虛擬機下的行為和在機器上直接運行保持一致;保證了 VMM能夠完全控制虛擬機的資源�����,包括內存��、寄存器、1/0����、中斷和指令的執(zhí)行;并保證了高效性,即普通指令的運行不受VMM干擾�,能夠全速運行。目前在x86架構下支持硬件虛擬化的技術有INTEL的Intel VT_x(2005)和AMD的AMD-V(2006)�����,都已經廣泛運用在各類個人電腦和服務器中���。本例采用了 intel VT硬件虛擬化技術,在虛擬機平臺Xen當中運行���。監(jiān)控模塊初始化時通過內存EPT來修改內存頁面的訪問權限�����,當客戶虛擬機對內存頁面進行訪問時就會觸發(fā)一個VM exit并陷入到虛擬機監(jiān)視器中���,此時監(jiān)視器從事件注冊表中找到事先注冊好的事件處理函數,然后將該事件傳遞到我們的取證系統(tǒng)中進行處理���,同時此時會恢復內存訪問權限讓客戶進程繼續(xù)執(zhí)行����。
[0023]具體的說,監(jiān)控模塊包括模塊初始化和事件處理兩個單元�,監(jiān)控模塊運作流程如圖2所示。
[0024]其中模塊初始化單元用于監(jiān)控目標客戶虛擬機的詳細信息����,然后向虛擬機監(jiān)視器申請獲取目標客戶虛擬機的內存具體位置,隨后在內存相應位置修改內存訪問權限�,當有進程訪問這塊內存區(qū)域時就會觸發(fā)一個內存硬件事件,最后在虛擬機監(jiān)視器中對該內存硬件事件注冊事件處理函數�����。模塊初始化單元處理的具體過程如下:
(1)監(jiān)控模塊向虛擬機監(jiān)視器申請獲取目標客戶虛擬機的運行信息����,包括客戶虛擬機的ID,內存大小����,虛擬機內存對應的實際內存地址范圍和客戶虛擬機用戶進程的偏移量信息;
(2)向虛擬機監(jiān)視器申請修改目標客戶虛擬機內存區(qū)域的訪問權限;
(3)向虛擬機監(jiān)視器申請注冊目標客戶虛擬機內存事件的邏輯處理事件����。
[0025]而事件處理單元主要由內存硬件事件的事件處理函數組成���。事件處理單元自動截獲到客戶虛擬機觸發(fā)的內存事件,此時控制流陷入虛擬機監(jiān)視器中���,虛擬機監(jiān)視器通過邏輯事件注冊表找到該硬件事件對應的邏輯事件處理函數����,在事件處理完成后�����,最后再將控制權交還客戶虛擬機����。事件處理單元處理的具體過程如下:
(1)虛擬機監(jiān)視器接收到內存硬件事件��,在事件注冊表中找到注冊的對于邏輯處理事件�����,并將該事件傳給對應的處理函數����,并取消掉該頁面的訪問權