一種基于硬件機制的內核控制流異常檢測方法，包括以下步驟：進入VMM環境；生成合法跳轉目的地址集合；配置VMCS區域；配置LBR；配置PMU；進入VM環境；分支記錄驗證。通過LBR機制能夠在內核運行期間自動記錄分支跳轉的源地址和目標地址，使檢測系統的開銷顯著降低；通過PMU機制能夠在LBR記錄寫滿時產生NMI中斷，使檢測系統不會出現遺漏分支跳轉的情況；通過硬件虛擬化機制捕捉NMI中斷，并對記錄進行驗證，提高系統的安全性。相比于傳統的檢測系統，本發明能顯著提高內核異常控制流檢測的安全性和完整性。

技術領域

本發明屬于操作系統內核完整性保護領域，具體涉及一種基于硬件機制的內核控制流異常檢測方法。

背景技術

操作系統是計算機系統運行的基礎，是計算機系統安全運行的根本，如果操作系統的安全得不到保障，那么整個計算機系統都將處于危險之中。當前，典型的計算機操作系統普遍采用不安全的程序語言編寫，內核代碼量龐大、數據結構復雜，并且包含有大量第三方內核模塊，造成現代操作系統普遍存在大量的漏洞和錯誤，使攻擊者有了可乘之機。在針對操作系統內核的攻擊方式中，控制流劫持攻擊是最為常見的一種形式。控制流劫持攻擊利用內核漏洞劫持內核的控制流，使內核控制流轉到惡意代碼處執行。針對控制流劫持攻擊，可以通過檢測內核運行是否存在異常控制流來防御。然而，目前的內核異常控制流檢測方法在檢測過程中普遍存在著系統不安全、檢測不完整和性能開銷大等問題，影響著檢測方法的適用性。

發明內容

本發明的針對現有技術中的不足，提供一種基于硬件機制的內核控制流異常檢測方法。

為實現上述目的，本發明采用以下技術方案：

一種基于硬件機制的內核控制流異常檢測方法，其特征在于，包括以下步驟：

進入VMM環境：在Intel處理器啟動后進行配置，使系統進入VMM環境執行；

生成合法跳轉目的地址集合：通過對目標操作系統內核進行解析，并運行預先準備的測試程序，分別產生三種指令的合法跳轉目的地址集合，三種指令的合法跳轉目的地址集合分別為call指令合法跳轉目的地址集合、jump指令合法跳轉目的地址集合和ret指令合法跳轉目的地址集合；

配置VMCS區域：配置目標操作系統運行的VMCS區域，使其能夠捕捉記錄寫滿時產生的不可屏蔽中斷，設置此不可屏蔽中斷的中斷處理程序地址；

配置LBR：配置控制著LBR機制行為方式的IA32_DEBUGCTL寄存器和IA32_LASTBRANCH_TOS寄存器，使LBR在系統運行期間記錄所需的分支跳轉的源地址和目的地址；

配置PMU：配置控制著PMU機制行為方式的IA32_PMCI寄存器和IA32_PERFEVTSEL1寄存器，使其在LBR寫滿時產生一個不可屏蔽中斷；

進入VM環境：使系統進入VM環境，目標操作系統開始執行，硬件機制自動記錄分支跳轉；

分支記錄驗證：根據跳轉指令類型的不同，比較跳轉目的地址是否在相應的合法跳轉目的地址集合中，如果在，則為合法跳轉，否則，為異常控制流，系統發出警報。

為優化上述技術方案，采取的具體措施還包括：

所述進入VMM環境的過程包括：檢測處理器是否支持VMX架構；開啟VMX進入允許；分配VMXON區域地址空間；初始化VMXON區域；進入VMX模式，檢查執行是否成功。

所述生成合法跳轉目的地址集合的過程包括：收集內核函數入口地址；運行預先準備的測試程序；根據測試程序的執行情況設置白名單；生成call指令合法跳轉目的地址集合；生成jump指令合法跳轉目的地址集合；生成ret指令合法跳轉目的地址集合。