Detection Technique of Software-Induced Rowhammer Attacks

Side-channel attacks have recently progressed into software-induced attacks.In particular,a rowhammer attack,which exploits the characteristics of dynamic random access memory(DRAM),can quickly and continuously access the cells as the cell density of DRAM increases,thereby generating a disturbance error affecting the neighboring cells,resulting in bit flips.Although a rowhammer attack is a highly sophisticated attack in which disturbance errors are deliberately generated into data bits,it has been reported that it can be exploited on various platforms such as mobile devices,web browsers,and virtual machines.Furthermore,there have been studies on bypassing the defense measures of DRAM manufacturers and the like to respond to rowhammer attacks.A rowhammer attack can control user access and compromise the integrity of sensitive data with attacks such as a privilege escalation and an alteration of the encryption keys.In an attempt to mitigate a rowhammer attack,various hardware-and software-based mitigation techniques are being studied,but there are limitations in that the research methods do not detect the rowhammer attack in advance,causing overhead or degradation of the system performance.Therefore,in this study,a rowhammer attack detection technique is proposed by extracting common features of rowhammer attack files through a static analysis of rowhammer attack codes.

基于机器学习的多目标缓存侧信道攻击检测模型

当前缓存侧信道攻击检测技术主要针对单一攻击模式,对2~3种攻击的检测方法有限,无法全面覆盖;此外,尽管对单一攻击的检测精度高,但随着攻击数增加,精度下降,容易产生误报。为了有效检测缓存侧信道攻击,利用硬件性能计数器(HPC)采集不同的缓存侧信道攻击特征,结合机器学习算法,提出一种基于机器学习的多目标缓存侧信道攻击检测模型。首先,分析不同缓存侧信道攻击方式的相关特征,精选关键特征并收集数据集;其次,进行独立的训练,建立针对每种攻击方式的检测模型;最后,在检测时将测试数据并行送入多个模型中,根据检测结果判断是否存在某种缓存侧信道攻击。实验结果显示,所提模型在检测Flush+Reload、Flush+Flush和Prime+Probe这3种缓存侧信道攻击时,分别达到99.91%、98.69%和99.54%的高准确率,即使在同时存在多种攻击的情况下,也能准确识别各种攻击方式。

基于马尔科夫的计算机网络缓存侧信道攻击检测方法

计算机网络缓存侧信道能够间接体现计算机内部状态以及数据传输情况,其受攻击时,用户端信息数据存在泄露风险,因此提出一种基于马尔科夫的计算机网络缓存侧信道攻击检测方法。构建隐马尔科夫模型,对计算机网络缓存侧信道状态改变的概率进行计算。通过Baum‐Welch算法估计隐马尔科夫模型最优参数,并计算缓存侧信道状态观测序列输出概率。比较缓存侧信道观测序列输出概率与设定的阈值,判断该序列为计算机网络缓存侧信道攻击信号的可能性,并引入平均信息熵判断计算机缓存侧信道状态是否存在异常,完成计算机网络缓存侧信道攻击检测。通过实验验证得出,该方法用于计算机网络缓存侧信道攻击检测的准确率高,误报率低,在遭受DDoS攻击(Distributed denial of service)时的检测时间较短,对计算机网络缓存侧信道攻击的防御与保护产生了积极影响。

结合决策树和AdaBoost的缓存侧信道攻击检测

缓存侧信道攻击严重威胁各类系统的安全,对攻击进行检测可以有效阻断攻击。为此,提出了一种基于决策树和AdaBoost的AD检测模型,通过匹配系统硬件事件信息特征,快速有效地识别缓存侧信道攻击。首先,分析缓存侧信道攻击特点,提取攻击硬件事件特征模式。其次,利用决策树的快速响应能力,同时结合AdaBoost对数据样本进行加权迭代,对采集的不同负载下的特征数据进行模型训练,优化检测模型在不同负载时的整体检测精度。实验结果表明,该模型在不同系统负载条件下的检测精度均不低于98.8%,能够快速准确地检测出缓存侧信道攻击。

缓存侧信道攻击与防御

近年来,随着信息技术的发展,信息系统中的缓存侧信道攻击层出不穷.从最早利用缓存计时分析推测密钥的想法提出至今,缓存侧信道攻击已经历了10余年的发展和演进.研究中梳理了信息系统中缓存侧信道攻击风险,并对缓存侧信道攻击的攻击场景、实现层次、攻击目标和攻击原理进行了总结.系统分析了针对缓存侧信道攻击的防御技术,从缓存侧信道攻击防御的不同阶段出发,分析了攻击检测和防御实施2部分研究工作,并基于不同防御原理对防御方法进行分类和分析.最后,总结并讨论了互联网生态体系下缓存侧信道攻击与防御的研究热点,指出缓存侧信道攻击与防御未来的研究方向,为想要在这一领域开始研究工作的研究者提供参考.

CCN中基于节点状态模型的缓存污染攻击检测算法

针对内容中心网络中的缓存污染攻击问题,以污染内容数量、分布状态和攻击强度3个参数对缓存污染攻击进行定量描述和分析,建立了攻击下的节点缓存状态模型。通过分析节点关键参数的变化,提出了基于节点状态模型的攻击检测原则,并分别以单位时间缓存替换率和请求达到率为观测参数进行算法实例化设计。仿真结果与性能分析表明,所提检测算法在应对分散式攻击与集中式攻击时,可以取得良好的检测性能。

基于小波的异常检测方法研究

针对DDoS攻击引起的网络异常,提出基于小波变换的检测方法.将网络流量分解到不同的频段,根据高频段频谱能量,即小波方差的变化对网络流量异常进行检测.为提高预警的准确性,吸取了路由器的设计思想,用LRU Cache滤掉长时流发现突发流量,实验证明本尝试是有效的.

内容耗散网络的缓存污染攻击命中率阈值控制

内容耗散网络的缓存污染攻击命中率高,难以检测。研究内容耗散网络缓存污染攻击的命中率与域间传输阈值的关系,对降低攻击命中率提供控制模型基础。提出一种基于零周期数相变自适应冗余信息抑制的内容耗散网络缓存污染攻击命中阈值分析模型,提高对缓存污染攻击的检测概率。设计内容耗散网络及缓存污染攻击系统模型,基于url内容块检测模型,得到缓存污染攻击命中判决准则,通过AS-BOOST使用并行的读写操作,进行零周期数相变自适应冗余信息抑制,得到优化阈值分布下的判决准则。实验结果表明,采用该算法能通过合理设定域间阈值,达到消除缓存污染攻击的效果,实现对内容耗散网络的安全控制。

内容中心网中多参数的缓存污染攻击检测算法

针对内容中心网络中的缓存污染攻击检测问题,以单位时间缓存替换率、内容请求平均跳数、节点流量和低流行内容的稳态存储比例4个参数作为攻击下的节点状态参数,根据模糊层次分析法建立了攻击下的模糊层次结构模型,进而确定了攻击对各个状态参数的影响权重并定义了攻击影响度,通过观测攻击影响度并设置判决门限来检测攻击是否发生。仿真结果与性能分析表明,所提检测算法能有效检测Locality-Disruption和False-Locality两类典型的缓存污染攻击,与现有主要检测算法相比,可保证较高的正确检测率和较低的平均检测时延。

基于符号执行的软件缓存侧信道脆弱性检测技术

缓存侧信道攻击的基础是程序针对不同敏感信息将访问不同的缓存地址.本文提出基于符号执行的缓存侧信道脆弱性检测技术,通过符号化敏感信息的数据传播过程定位潜在的脆弱点,并通过比较其可能的不同缓存访问地址,判断上述代码在缓存攻击中的可利用性.本文开发了原型系统 CSCVulDiscover,并针对 RSA等 3种密码算法的 12类实现代码进行测试,总共发现了 125个脆弱点.

基于累积和算法的域名系统缓存攻击检测

针对域名系统(DNS)缓存攻击,提出一种简单有效的检测机制。为增强对攻击行为的敏感性并减小计算复杂度,通过无参数累积和检测模型改进DNS的协议行为,利用变点检测的相关算法实现对攻击行为的检测。仿真结果表明,该机制能够有效检测DNS缓存攻击,并实现检测准确率和误警率间的平衡。

基于改进反向探测的IPv6邻居缓存保护方法

针对IPv6邻居缓存(NC)易被攻击的问题,提出一种改进的反向探测方法(RD+)。该方法首先引入时间戳和报文序列两个选项,分别用于限制报文响应时长以及响应报文匹配;之后,定义RD+队列存储时间戳和报文序号等信息,并设计基于时间戳的随机早期检测(RED-T)算法对RD+队列实施管理以防范拒绝服务(DoS)攻击。实验结果表明,RD+能够有效抵抗邻居缓存欺骗和DoS攻击,与启发式和显式相结合的方法(HE)以及安全邻居发现协议(SEND)相比,其资源消耗较少。

面向NDN的网络攻击检测技术分析

随着网络的发展,传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol,TCP/IP)架构已经不能适应现实的通信需求,存在诸多弊端。命名数据网络(Named Data Network,NDN)在内容分发、移动性支持以及内生安全等方面具有独特优势,成为未来网络架构方案中极具代表性的一种。NDN网络避免了IP架构中的一系列问题,但也带来了新的安全隐患,如兴趣包泛洪攻击、缓存污染攻击等。针对主流攻击方式的特点,从攻击检测角度出发,剖析现有方案,总结不同检测方案采用的策略类型及其各自的优缺点,并展望其发展前景。

缓存侧信道攻击下硬件事件特征分析

基于硬件事件的异常检测是当前防御缓存侧信道攻击的主要手段之一。然而,现有防御机制普遍未考虑攻击者主动隐藏特征时的检测准确度。本文指出可行的侧信道攻击需要满足不可或缺的驱逐操作和严格的攻击频率这两个先决条件,并发现这些攻击约束会导致被攻击的缓存组访问量急剧增加。实验结果表明,相比于SPEC基准程序,侧信道攻击至少会导致2.61倍的访问量。

一种缓存感知的统一化Spectre攻击检测

推测执行攻击及其变种正在不断被推出,攻击在缓存中留下痕迹,再通过缓存侧信道将敏感信息泄露出去。然而,现有的针对Spectre攻击的检测对于Spectre攻击及各类变种的代码模式和防御手段分析不足,存在误报和漏报的情况。针对这一问题,提出了一种改进的缓存感知的动态分析方法,以识别多种Spectre攻击。基于攻击原理及代码模式特征对Spectre攻击多种变体进行分析建模,并提出了一种基于最近最少使用替换策略的抽象缓存模型;基于对Spectre攻击及缓存的建模实现了一个缓存感知的Spectre漏洞动态分析检测工具。通过分析建模、缓存状态感知和追踪实现了更全面和准确的检测。在一组微基准及常用的密码库上进行了实验,准确地检测出所有微基准样本中的Spectre漏洞,并在多个加密算法中检测到缓存侧信道及Spectre漏洞。实验结果表明,本文所实现的方法具有较好的检测能力。

命名数据网络低速缓存污染攻击的协同检测机制

缓存污染攻击是命名数据网络中的主要安全威胁之一,为解决缓存污染攻击中的低速率攻击问题,在计算网络中相邻多节点请求变动率的基础上,以传输路径中各节点与网络边缘节点请求变动率的相关性为检测依据,提出一种协同检测机制.仿真结果表明,该机制能有效检测低速攻击行为,与现有主要检测方法相比,可保证较高的正确检测率,同时适当增加协同层数,能降低分散攻击的检测时延.