随着嵌入式系统的广泛应用,嵌入式系统的安全越来越重要,缓冲区溢出作为最常见的软件安全漏洞对嵌入式系统安全构成严重威胁。为了改善嵌入式系统对缓冲区溢出攻击的防御能力,本文在嵌入式处理器的体系结构层次提出一种基于细粒度指令流监控的硬件防御机制。本文分析比较了已有侦测技术,通过对缓冲区溢出攻击进行指令级的行为研究,确定在处理器体系结构中构建一种基于细粒度指令流监控的硬件防御机制。监控单元在cache与流水线的数据通路中截取指令流,通过虚拟执行单元虚拟执行指令,在指令流中提取缓冲区边界地址等监控信息。依据这些信息,对攻击行为执行缓冲区边界检查,栈边界检查,返回地址保护和跳转指令检查,在缓冲区溢出攻击流程的关键节点拦截攻击,增强系统运行过程中的安全性。对设计进行功能仿真和FPGA验证,监控单元可以有效地防御缓冲区溢出攻击。利用ISE工具评估该设计,监控单元带来了15%的硬件开销和0.1%的性能损耗。本文的主要特色在于通过建立虚拟执行单元来获取监控信息,不需要修改程序,不破坏流水线完整性,而且虚拟执行单元与流水线同步处理指令,隐藏监控处理时间,对系统的性能影响小,本文的防护机制可以应用于其他嵌入式系统设计中动态防御缓冲区溢出攻击。