本發明專利技術實施例公開了一種信道檢測方法及裝置,所述方法包括:當至少兩臺虛擬機在同一個物理主機上進行內存去重合并時,在操作系統指令流中攔截操作系統執行的事件序列,所述事件序列中包括獲取時間事件;從所述事件序列中查找目標子序列,并獲取所述目標子序列的時間屬性;判斷所述目標子序列的時間屬性是否滿足預設條件,當所述目標子序列的時間屬性滿足預設條件時,確定系統中存在隱蔽信道。采用本發明專利技術,可以準確檢測出系統中是否存在隱蔽信道,且不會影響系統中正常的內存去重機制的功能。
【技術實現步驟摘要】
本專利技術涉及網絡安全
,尤其涉及一種信道檢測方法及裝置。
技術介紹
在多租戶云環境中,通常租戶間的虛擬機共享同一個物理主機的內存,具體的共享方法可以是采用內存去重技術進行共享,內存去重技術即是將相同的物理內存頁進行合并,只保留一份該內存頁的物理拷貝,所有其他虛擬機共同映射該物理內存頁。在后續使用過程中,當某個虛擬機需要對該內存頁進行寫操作時,操作系統將啟動寫操作異常事件,例如寫時復制(Copy-On-Write,COW)頁寫操作異常事件,并為該虛擬機重新拷貝一份物理內存頁進行寫操作。然而,內存去重技術在云平臺中的引入也會導致意想不到的安全漏洞。因為惡意用戶和普通用戶的虛擬機有可能位于同一個物理主機上,并利用內存去重技術進行內存頁的合并。惡意用戶可以通過這種共享內存的機制構建起隱蔽信道從而竊取其他普通用戶中的隱私信息,比如密鑰等等。隱蔽信道具體的構建方法為,如圖1所示,普通用戶Sender和惡意用戶Receiver分別為位于同一物理主機上的兩臺虛擬機,Receiver通過某種手段入侵了Sender,此時Receiver希望能夠隱蔽地將竊取到的用戶隱私數據傳遞出來而不被檢測到,則可以基于內存去重機制構建隱蔽信道進行信息傳遞,假設有N bit信息需要傳遞:Receiver控制Sender申請一份大小為N*4K的內存,并加載文件A到內存中。然后Receiver控制Sender將申請的內存按照內存頁粒度(4K)進行編碼,編碼的規則是:需要傳遞的信息為0則修改當前內存頁(任意修改),需要傳遞的信息為1則跳過不修改進入下一個內存頁。編碼完畢后等待內存合并。Receiver申請相同大小為N*4K的內存,并加載相同的文件A到內存中。操作系統自動進行內存頁合并。Receiver等待一段時間后,開始接收信息。即是將所申請的內存按照內存頁粒度進行解碼,解碼的規則是:逐個內存頁進行寫操作,同時測量內存頁寫操作執行的時間,具體的測量方式是在對某一個內存頁進行寫操作之前獲取一次系統時間,對該內存頁寫操作執行完畢后再獲取一
次系統時間,若該內存頁為進行合并之后的內存頁,由于需要額外的內存頁拷貝過程,所以該內存頁寫操作執行所花費的時間比普通內存頁寫操作執行時間更長,因此Receiver可以根據內存頁寫操作執行時間長短進行解碼,例如,某一個內存頁寫操作執行時間過長則當前頁解碼為1,否則當前頁解碼為0,Receiver接收信息完畢。現有技術中,為避免惡意用戶通過隱蔽信道將普通用戶的隱私數據傳遞出去,則直接關閉內存去重機制,這種方式雖然能夠解決隱蔽信道的攻擊,但是卻失去了內存去重機制的優勢,對系統性能影響較大。
技術實現思路
本專利技術實施例提供一種信道檢測方法及裝置,可以準確檢測出系統中是否存在隱蔽信道,且不會影響系統中正常的內存去重機制的功能。本專利技術實施例第一方面提供了一種信道檢測方法,可包括:當至少兩臺虛擬機在同一個物理主機上進行內存去重合并時,在操作系統指令流中攔截所述操作系統執行的事件序列,所述事件序列中包括獲取時間事件;從所述事件序列中查找目標子序列,并獲取所述目標子序列的時間屬性;判斷所述目標子序列的時間屬性是否滿足預設條件;當所述目標子序列的時間屬性滿足預設條件時,確定系統中存在隱蔽信道。基于第一方面,在第一方面的第一種可行的實施方式中,所述目標子序列的時間屬性包括所述目標子序列的起始時間與結束時間之間的第一時間差。所述判斷所述目標子序列的時間屬性是否滿足預設條件,包括:判斷所述目標子序列的所述第一時間差是否小于第一預設閾值;所述當所述目標子序列的時間屬性滿足預設條件時,確定系統中存在隱蔽信道,包括:當所述目標子序列的所述第一時間差小于所述第一預設閾值時,確定系統中存在隱蔽信道。基于第一方面的第一種可行的實施方式中,在第一方面的第二種可行的實施方式中,若所述事件序列中包括多個目標子序列;所述從所述事件序列中查找目標子序列,并獲取所述目標子序列的時間屬
性,包括:從所述事件序列中依次查找預設個數的目標子序列;計算所述預設個數的目標子序列中每個目標子序列的起始時間與結束時間之間的第一時間差。基于第一方面的第二種可行的實施方式,在第一方面的第三種可行的實施方式中,所述判斷所述目標子序列的所述第一時間差是否小于第一預設閾值,包括:判斷所述預設個數的目標子序列中每個目標子序列的所述第一時間差是否均小于所述第一預設閾值;所述當所述目標子序列的所述第一時間差小于所述第一預設閾值時,確定系統中存在隱蔽信道,包括;當所述預設個數的目標子序列中每個目標子序列的所述第一時間差均小于所述第一預設閾值時,確定系統中存在隱蔽信道。基于第一方面第三種可行的實施方式,在第一方面的第四種可行的實施方式中,所述當所述預設個數的目標子序列中每個目標子序列的所述第一時間差均小于所述第一預設閾值之后,還包括:判斷所述預設個數的目標子序列中第一個目標子序列的起始時間和最后一個目標子序列的結束時間之間的第二時間差是否小于第二預設閾值,所述第二預設閾值小于所述預設個數;當所述第二時間差小于所述第二預設閾值時,確定系統中存在隱蔽信道。本專利技術第二方面提供一種信道檢測裝置,包括:攔截模塊,用于當至少兩臺虛擬機在同一個物理主機上進行內存去重合并時,在操作系統指令流中攔截所述操作系統執行的事件序列,所述事件序列中包括獲取時間事件;獲取模塊,用于從所述事件序列中查找目標子序列,并獲取所述目標子序列的時間屬性;判斷模塊,用于判斷所述目標子序列的時間屬性是否滿足預設條件,確定模塊,用于當所述目標子序列的時間屬性滿足預設條件,確定系統中存在隱蔽信道。基于第二方面,在第二方面的第一種可行的實施方式中,所述目標子序列
的時間屬性包括所述目標子序列的起始時間與結束時間之間的第一時間差。;所述判斷模塊具體用于判斷所述目標子序列的所述第一時間差是否小于第一預設閾值;所述確定模塊具體用于當所述目標子序列的所述第一時間差小于所述第一預設閾值時,確定系統中存在隱蔽信道。基于第二方面第一種可行的實施方式,在第二方面的第二種可行的實施方式中,若所述事件序列中包括多個目標子序列;所述獲取模塊包括:查找單元,用于從所述事件序列中依次查找預設個數的目標子序列;計算單元,用于計算所述預設個數的目標子序列中每個目標子序列的起始時間與結束時間之間的第一時間差。基于第二方面第二種可行的實施方式,在第二方面的第三種可行的實施方式中,所述判斷模塊具體用于判斷所述預設個數的目標子序列中每個目標子序列的所述第一時間差是否均小于所述第一預設閾值。基于第二方面第三種可行的實施方式,在第二方面第四種可行的實施方式中,所述確定模塊包括判斷單元和確定單元;所述判斷單元,用于當所述預設個數的目標子序列中每個目標子序列的所述第一時間差均小于所述第一預設閾值時,判斷所述預設個數的目標子序列中第一個目標子序列的起始時間和最后一個目標子序列的結束時間之間的第二時間差是否小于第二預設閾值,所述第二預設閾值小于所述預設個數,所述確定單元,用于當所述第二時間差小于所述第二預設閾值時,確定系統中存在隱蔽信道。本專利技術實施例中,當至少兩臺虛擬機在同一個物理主機上進行內存去重合并時,在操作系統指令流中攔截該操作系統執行的事本文檔來自技高網...
【技術保護點】
一種信道檢測方法,其特征在于,包括:當至少兩臺虛擬機在同一個物理主機上進行內存去重合并時,在操作系統指令流中攔截所述操作系統執行的事件序列,所述事件序列中包括獲取時間事件;從所述事件序列中查找目標子序列,并獲取所述目標子序列的時間屬性;判斷所述目標子序列的時間屬性是否滿足預設條件;當所述目標子序列的時間屬性滿足預設條件時,確定系統中存在隱蔽信道。
【技術特征摘要】
1.一種信道檢測方法,其特征在于,包括:當至少兩臺虛擬機在同一個物理主機上進行內存去重合并時,在操作系統指令流中攔截所述操作系統執行的事件序列,所述事件序列中包括獲取時間事件;從所述事件序列中查找目標子序列,并獲取所述目標子序列的時間屬性;判斷所述目標子序列的時間屬性是否滿足預設條件;當所述目標子序列的時間屬性滿足預設條件時,確定系統中存在隱蔽信道。2.如權利要求1所述的方法,其特征在于,所述目標子序列的時間屬性包括所述目標子序列的起始時間與結束時間之間的第一時間差;所述判斷所述目標子序列的時間屬性是否滿足預設條件,包括:判斷所述目標子序列的所述第一時間差是否小于第一預設閾值;所述當所述目標子序列的時間屬性滿足預設條件時,確定系統中存在隱蔽信道,包括:當所述目標子序列的所述第一時間差小于所述第一預設閾值時,確定系統中存在隱蔽信道。3.如權利要求2所述的方法,其特征在于,若所述事件序列中包括多個目標子序列;所述從所述事件序列中查找目標子序列,并獲取所述目標子序列的時間屬性,包括:從所述事件序列中依次查找預設個數的目標子序列;計算所述預設個數的目標子序列中每個目標子序列的起始時間與結束時間之間的第一時間差。4.如權利要求3所述的方法,其特征在于,所述判斷所述目標子序列的所述第一時間差是否小于第一預設閾值,包括:判斷所述預設個數的目標子序列中每個目標子序列的所述第一時間差是否
\t均小于所述第一預設閾值;所述當所述目標子序列的所述第一時間差小于所述第一預設閾值時,確定系統中存在隱蔽信道,包括:當所述預設個數的目標子序列中每個目標子序列的所述第一時間差均小于所述第一預設閾值時,確定系統中存在隱蔽信道。5.如權利要求4所述的方法,其特征在于,所述當所述預設個數的目標子序列中每個目標子序列的所述第一時間差均小于所述第一預設閾值之后,還包括:判斷所述預設個數的目標子序列中第一個目標子序列的起始時間和最后一個目標子序列的結束時間之間的...
【專利技術屬性】
技術研發人員:袁勁楓,王勝,
申請(專利權)人:華為技術有限公司,
類型:發明
國別省市:廣東;44
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。