本发明专利技术公开了一种针对众核芯片上篡改数据包的恶意木马的检测及防御方法,其中众核芯片中应对硬件木马的检测方法包括:使用检测请求包对路径进行检测;使用检测请求包对硬件木马进行定位;众核芯片中应对硬件木马的防御方法包括:使用最小路由算法绕过硬件木马;使用转向模型预防死锁。本发明专利技术能够降低众核芯片中硬件木马造成的丢包问题。
【技术实现步骤摘要】
针对众核芯片上篡改数据包的恶意木马的检测及防御方法
本专利技术涉及集成电路
,具体涉及一种针对众核芯片上篡改数据包的恶意木马的检测及防御方法。
技术介绍
在数据中心、移动计算之类的系统中,一个十分突出的挑战是信息安全。为了满足高计算能力的性能需求,这些系统使用多核芯片作为它们的构建模块。多核芯片依赖于众核芯片(Network-on-Chip,NoC)作为其的底层的通信工具。在现在的多核芯片中,安全性成为一个非常关键的挑战。硬件木马(hardwareTrojan,HT)对多核芯片构成严重的威胁,能导致芯片发生故障或泄露敏感的信息。硬件木马可以通过在芯片设计过程中嵌入一个恶意电路来注入到芯片之中。为了缩短上市时间和减少设计开销,现在的多核芯片集成了许多不同的第三方(thirdpartyintellectualprop-erty,3PIP)组件,而这些组件中可能包含有硬件木马。深坑/黑洞拒绝服务攻击是针对众核芯片的灾难性的攻击之一,这种攻击通过恶意节点试图使预期用户的众核芯片资源是不可用的。在黑洞攻击中,硬件木马被注入到路由器中,使数据包不被转发到原始的目的地,相反地,他们被丢弃或转发到其他恶意节点。在深坑攻击中,在自适应路由下恶意节点通过假装拥有很多空闲缓冲区来吸引附近节点的数据包。
技术实现思路
本专利技术的目的是针对植入到路由器篡改数据包的硬件木马,提出一种针对众核芯片上篡改数据包的恶意木马的检测及防御方法。本专利技术的目的可以通过采取如下技术方案达到:一种针对众核芯片上篡改数据包的恶意木马的检测及防御方法,所述的方法包括检测步骤和防御步骤,其中,所述的检测步骤包括路径检测子步骤和节点定位子步骤,所述的路径检测子步骤具体如下:全局管理者通知发送数据包的源节点向目标节点发送检测请求包,其中检测请求包由普通数据包使用循环冗余校验在数据包的每一帧尾部添加校验码形成;当数据包到达目标节点后,目标节点通过检查校验码来判断该检测数据包在路由过程中是否被篡改,若未被篡改则目标节点回复源节点,若被篡改,则目标节点将向众核系统中所有的可疑节点发出一个重发请求;全局管理者将已回复路径上的节点标记为无木马节点;所述的节点定位子步骤具体如下:每一个可疑节点会发送一个目的地为向其发出重发请求的节点的数据包,同时重发的数据包格式与检测到被篡改的数据包格式相同;收到重发数据包的节点将依次检测每个数据包是否被篡改,并根据路由算法确定植入恶意木马的节点位置;其中,所述的防御步骤具体如下:每一个众核芯片的路由器维护一个相邻恶意节点列表,该表记录该路由器的北,西,南,东四个方向的下游路由器是否是植入木马,当路由器计算一个数据包的输出端口时,该路由器会检查计算出的输出端口是否包含恶意节点,若包含恶意节点,该路由器将会为数据包重新选择输出端口。进一步地,所述的可疑节点的选取依赖于众核芯片所使用的路由算法决定,选取为被篡改数据包在路由过程中经过的节点。进一步地,每一次探测出恶意木马植入的节点位置,该位置都会被广播至每一个节点,每个节点相应的路由器通过接收的广播更新本节点的相邻恶意节点列表。进一步地,所述的检测步骤中使用检测请求包来执行检测协议。本专利技术相对于现有技术具有如下的优点及效果:本专利技术可以有效探测到以篡改数据包为目的的木马位置,在保证探测精度的情况下拥有较小的功率消耗,对芯片各类资源的占有较低。同时在相应模拟器上的实验显示可以有非常高的正确率检测到木马位置同时新的数据包可以正确避开含有木马的恶意节点。附图说明图1是检测方法中的路径检测场景图;图2是检测方法中的木马定位场景图;图3是防御方法中绕过含木马节点的场景图;图4是针对众核芯片上篡改数据包的恶意木马的检测及防御方法的流程步骤图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。实施例一本实施例针对植入到路由器篡改数据包的硬件木马,提出一种在线的检测与防御方法。其中,检测步骤:发送数据包的源节点会在发出数据包之前使用循环冗余校验在数据包的每一帧尾部添加校验码。当数据包到达目标节点后,目标节点通过检查校验码来判断该数据包在路由过程中是否被篡改。一旦发现篡改,该目标节点将向众核系统中所有的“可疑节点”发出一个重发请求。“可疑节点”的选取依赖于众核芯片所使用的具体路由算法,一般为被篡改数据包在路由过程中经过的节点。每一个“可疑节点”会发送一个目的地为向它发出重发请求的节点的数据包,同时重发的数据包格式与检测到被篡改的数据包格式相同。收到这些重发的数据包的节点将依次检测每个数据包是否被篡改,并根据具体使用的路由算法确定植入了木马的节点位置。防御步骤:每一个众核芯片的路由器会维护一个相邻恶意节点列表,这个表记录了这个路由器的北,西,南,东四个方向的下游路由器是否是植入了木马。每一次探测出恶意木马植入的节点位置,该位置都会被广播至每一个节点,每个节点相应的路由器通过这些广播更新自己的相邻恶意节点列表。当路由器计算一个数据包的输出端口时,它会检查计算出的输出端口是否对应了一个恶意节点,如果确实如此,路由器将会为数据包重新选择输出端口。通过这个机制,新的数据包可以避免经过被植入木马的节点,继而防止数据包被篡改。实施例二本实施例在2D-mesh网络中为全局管理者增加检测请求包功能并为网络增加检测协议。本实施例修改网络路由算法为非最小路由算法。这里以3x32D-mesh网络为例来阐释本专利技术中公开的恶意木马的检测及防御方法。本实施例的路径检测流程如图1所示,全局管理者G选择节点3和节点4作为可疑节点,然后向它们发送检测请求包;节点4收到请求包并回复全局管理者G;全局管理者收到回复,标记节点3和节点6为无木马节点。全局管理者未收到可疑节点4的回复,对硬件木马进行精确定位,流程如图2所示,全局管理者G发现到可疑节点4的检测请求包丢失,则先向路径上的可疑节点8发送检测请求包(路径标记为①)。如果节点8没有回复,则标记节点8为恶意节点。否则,G向路径上的下一个可疑节点7发送检测请求包,查看节点7是否回复(路径标记为②)。本实施例的非最小路由防御流程如图3所示,由节点1发送到节点9的数据包在使用正常路由得情况下经过含木马节点3,使用非最小路由算法,在节点2中,路由器对初步结果节点3进行验证,读取木马寄存器发现节点3为含木马节点,舍弃初步结果重新计算新出口节点5,最后,数据包经过1-2-5-6-9的路径到达目的地节点9。该算法使用北最后转向模型,该例中禁止北-东转向,如禁止路径为4-1-2的情况。上述实施例为本专利技术较佳的实施方式,但本专利技术的实施方式并不受上述实施例的限制,其他的任何未背离本专利技术的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本专利技术的保护范围之内。本文档来自技高网...
【技术保护点】
一种针对众核芯片上篡改数据包的恶意木马的检测及防御方法,其特征在于,所述的方法包括检测步骤和防御步骤,其中,所述的检测步骤包括路径检测子步骤和节点定位子步骤,所述的路径检测子步骤具体如下:全局管理者通知发送数据包的源节点向目标节点发送检测请求包,其中检测请求包由普通数据包使用循环冗余校验在数据包的每一帧尾部添加校验码形成;当数据包到达目标节点后,目标节点通过检查校验码来判断该检测数据包在路由过程中是否被篡改,若未被篡改则目标节点回复源节点,若被篡改,则目标节点将向众核系统中所有的可疑节点发出一个重发请求;全局管理者将已回复路径上的节点标记为无木马节点;所述的节点定位子步骤具体如下:每一个可疑节点会发送一个目的地为向其发出重发请求的节点的数据包,同时重发的数据包格式与检测到被篡改的数据包格式相同;收到重发数据包的节点将依次检测每个数据包是否被篡改,并根据路由算法确定植入恶意木马的节点位置;其中,所述的防御步骤具体如下:每一个众核芯片的路由器维护一个相邻恶意节点列表,该表记录该路由器的北,西,南,东四个方向的下游路由器是否是植入木马,当路由器计算一个数据包的输出端口时,该路由器会检查计算出的输出端口是否包含恶意节点,若包含恶意节点,该路由器将会为数据包重新选择输出端口。...
【技术特征摘要】
1.一种针对众核芯片上篡改数据包的恶意木马的检测及防御方法,其特征在于,所述的方法包括检测步骤和防御步骤,其中,所述的检测步骤包括路径检测子步骤和节点定位子步骤,所述的路径检测子步骤具体如下:全局管理者通知发送数据包的源节点向目标节点发送检测请求包,其中检测请求包由普通数据包使用循环冗余校验在数据包的每一帧尾部添加校验码形成;当数据包到达目标节点后,目标节点通过检查校验码来判断该检测数据包在路由过程中是否被篡改,若未被篡改则目标节点回复源节点,若被篡改,则目标节点将向众核系统中所有的可疑节点发出一个重发请求;全局管理者将已回复路径上的节点标记为无木马节点;所述的节点定位子步骤具体如下:每一个可疑节点会发送一个目的地为向其发出重发请求的节点的数据包,同时重发的数据包格式与检测到被篡改的数据包格式相同;收到重发数据包的节点将依次检测每个数据包是否被篡改,并根据路由算法确定植入恶意木马的节点位置;其中,所述...
【专利技术属性】
技术研发人员:赵一鸣,王小航,龙子俊,张力,潘文明,
申请(专利权)人:华南理工大学,广州健飞通信有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。