(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111589222.8 (22)申请日 2021.12.23 (71)申请人 天翼云科技有限公司 地址 100007 北京市东城区青龙胡同甲1 号、 3号2幢2层20 5-32室 (72)发明人 王益斌　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 缓存攻击的监测防御方法、 电子设备及系统 (57)摘要 本发明涉及安全技术领域， 具体涉及缓存攻 击的监测防御方法、 电子设备及系统， 该方法包 括获取当前进程以及所述当前进程的启动时间； 记录当前进程的结束时间以及当前进程对应的 刷新次数； 基于启动时间以及结束时间， 确定时 间间隔； 当时间间隔在第一阈值与第二阈值之 间， 且刷新次数大于预设刷新次数时， 确定当前 进程为恶意进程以阻止当前进程的刷新操作， 第 一阈值在第一刷新间隔与第二刷新间隔之间， 第 一刷新间隔为正常刷新间隔， 第二刷新间隔为 Spcetre攻击间隔， 第二阈值在第三刷新间隔与 第四刷新间隔之间， 第三刷新间隔为Flush和 Time攻击间隔， 第四刷新间隔为Flush和Reload 攻击间隔。 通过结合时间间隔与刷新次数， 能够 实时确认其是否为恶意 攻击。 权利要求书2页 说明书9页 附图7页 CN 114448666 A 2022.05.06 CN 114448666 A 1.一种缓存攻击的监测防御方法， 其特 征在于， 包括： 获取当前进程以及所述当前进程的启动时间； 记录所述当前进程的结束时间以及所述当前进程对应的刷新次数； 基于所述启动时间以及所述结束时间， 确定时间 间隔； 当所述时间间隔在第一阈值与第二阈值之间， 且所述刷新次数大于预设刷新次数时， 确定所述当前进程为恶意进程以阻止所述当前进程的刷新操作， 所述第一阈值在第一刷新 间隔与第二刷新间隔之间， 所述第一刷新间隔为正常刷新间隔， 所述第二刷新间隔为 Spcetre攻击间隔， 所述第二阈值在第三刷新间隔与第四刷新间隔之间， 所述第三刷新间隔 为Flush和Time攻击间隔， 所述第四刷新间隔为Flush和Rel oad攻击间隔。 2.根据权利要求1所述的方法， 其特征在于， 所述当所述 时间间隔在第 一阈值与第 二阈 值之间， 且所述刷新次数大于预设刷新次数时， 确定所述当前进程为恶意进程以阻止所述 当前进程的刷新操作， 包括： 当所述时间间隔在第一阈值与第二阈值之间， 且所述刷新次数大于预设刷新次数时， 将告警值设置为目标值； 基于所述告警值确定所述当前进程 为恶意进程以阻止所述当前进程的刷新操作。 3.根据权利要求2所述的方法， 其特征在于， 所述基于所述告警值确定所述当前进程为 恶意进程， 包括： 读取所述告警值， 并确定所述当前进程 为恶意进程， 以阻止所述当前进程的刷新操作。 4.根据权利要求2所述的方法， 其特征在于， 所述基于所述告警值确定所述当前进程为 恶意进程， 包括： 将所述告警值写入告警寄存器， 以使得所述告警寄存器触发中断并在中断服务程序中 将所述当前进程记录为恶意进程， 以阻止所述当前进程的刷新操作。 5.根据权利要求2所述的方法， 其特征在于， 所述基于所述告警值确定所述当前进程为 恶意进程， 包括： 将所述告警值写入告警寄存器， 以使得刷新防御器从所述告警寄存器读取所述告警值 并将所述当前进程记录为恶意进程， 以阻止所述当前进程的刷新操作。 6.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 当确定所述当前进程不是恶意进程 时， 基于所述当前进程刷新第 一级缓存以及第 二级 缓存。 7.一种电子设备， 其特 征在于， 包括： 存储器和 处理器， 所述存储器和所述处理器之间互相通信连接， 所述存储器中存储有 计算机指 令， 所述处理器通过执行所述计算机指 令， 从而执行权利要求 1‑6中任一项 所述的 缓存攻击的监测防御方法。 8.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机指 令， 所述计算机指令用于使计算机执行权利要求1 ‑6中任一项所述的缓存攻击的监测防御 方法。 9.一种缓存攻击的监测防御系统， 其特 征在于， 包括： 权利要求7 所述的电子设备； 告警寄存器， 与所述电子设备 连接， 用于存 储所述告警值。权　利　要　求　书 1/2 页 2 CN 114448666 A 210.根据权利要求9所述的系统， 其特 征在于， 所述系统还 包括： 刷新防御器， 与所述告警寄存器连接， 用于读取所述告警寄存器存储的告警值， 当所述 告警值为目标值时确定所述当前进程 为恶意进程以阻止所述当前进程的刷新操作。权　利　要　求　书 2/2 页 3 CN 114448666 A 3