CATalyst——针对末级缓存侧信道攻击的防御技术

CATalyst: Defeating Last-Level Cache Side Channel Attacks inCloud Computing, HPCA’16 (A类), 2016年3月[1] 

https://pdfs.semanticscholar.org/96ba/6f5c06850c009e5b77094c0d4532744dedc2.pdf

1. 背景

普林斯顿大学、澳洲NICTA研究所、澳大利亚新南威尔士大学、澳大利亚阿德莱德大学、Intel公司的研究人员对云中多租户环境中的侧信道攻击问题展开研究。目前基于Last-level cache(LLC)的侧信道攻击具有高带宽、低噪声的特点，对虚拟机之间的安全隔离构成了很大威胁。本文提出了一种利用目前商用CPU（主要是Intel）的性能优化技术（即CacheAllocation Technology, CAT）来实现对LLC侧信道攻击的防御。并实现了原型系统CATalyst，该系统能够将LLC分成不同的管理cache，从而实现不同虚拟机在LLC的隔离。本文系统在Xen和Linux上实现。

2. 贡献

本文提出了一种新的侧信道攻击缓解方法——CATalyst，该方法利用了目前商用CPU所提供的性能优化技术。

本文根据该方法设计并实现了原型系统。

3. 架构

目前有两种LLC攻击方式：

1）  PRIME+PROBE攻击

2）  FlUSH+RELOAD攻击

3）  本文架构：

4. 实验

本文方法在SPEC 2006和PARSEC两个测试集上进行了测试。在开启CATalyst之后，SPEC 2006测试集的时间开销为0.7%，PARSEC的时间开销为0.5%。具体如下所示：

 

5. 专家观点

本文的学术价值比较高，通过一种业界常用的技术打败了目前最为流行的LLC侧信道攻击技术。同时有一定的实用性，如支持目前最广泛使用的Xen平台，并且支持Intel CPU。因此是一个不错的工作。

6. 参考文献

[1] Liu, Fangfei, et al. "CATalyst: Defeating Last-LevelCache Side Channel Attacks in Cloud Computing." 22nd IEEE Symposium onHigh Performance Computer Architecture. 2016.