一种基于硬件机制的内核控制流异常检测方法

发明专利有效专利

申请号：
CN201710674436.2
IPC分类号：G06F21/52;G06F11/36
申请日期：
2017-08-09
申请人：
南京大学

基础信息

权利要求

说明书

PDF全文

法律信息

引证文献

著录项信息

专利名称	一种基于硬件机制的内核控制流异常检测方法
申请号	CN201710674436.2	申请日期	2017-08-09
法律状态	授权	申报国家	中国
公开/公告日	2017-12-22	公开/公告号	CN107506638A
优先权	暂无	优先权号	暂无
主分类号	G06F21/52 ? IPC结构图谱： G 物理 G0 仪器 G06 计算；推算；计数 G06F 电数字数据处理（基于特定计算模型的计算机系统入G06N） G06F21/24 （转入G06F 21/60） G06F21/50 监控用户、程序或设备，以维护平台完整。例如处理器、固件或操作系统〔2013.01〕 G06F21/52 在程序执行过程中，例如堆栈完整性、缓冲区溢出或防止不必要的数据擦除〔2013.01〕	IPC分类号	G;0;6;F;2;1;/;5;2;;;G;0;6;F;1;1;/;3;6查看分类表>
申请人	南京大学	申请人地址	江苏省南京市鼓楼区汉口路22号变更专利地址、主体等相关变化，请及时变更，防止失效
权利人	南京大学	当前权利人	南京大学
发明人	曾庆凯;焦贺贺
代理机构	南京钟山专利代理有限公司	代理人	戴朝荣

摘要

一种基于硬件机制的内核控制流异常检测方法，包括以下步骤：进入VMM环境；生成合法跳转目的地址集合；配置VMCS区域；配置LBR；配置PMU；进入VM环境；分支记录验证。通过LBR机制能够在内核运行期间自动记录分支跳转的源地址和目标地址，使检测系统的开销显著降低；通过PMU机制能够在LBR记录写满时产生NMI中断，使检测系统不会出现遗漏分支跳转的情况；通过硬件虚拟化机制捕捉NMI中断，并对记录进行验证，提高系统的安全性。相比于传统的检测系统，本发明能显著提高内核异常控制流检测的安全性和完整性。

序号	公开(公告)号	公开(公告)日	申请日	专利名称	申请人
该专利没有引用任何外部专利数据！

序号	公开(公告)号	公开(公告)日	申请日	专利名称	申请人
该专利没有被任何外部专利所引用！

我浏览过的专利

专利服务由北京酷爱智慧知识产权代理公司提供