【技术实现步骤摘要】
基于结构特征筛选及负载扩展的机器学习木马检测方法
[0001]本专利技术属于硬件安全
,尤其涉及一种基于结构特征筛选及负载扩展的机器学习木马检测方法。
技术介绍
[0002]目前,硬件木马是某些攻击者在芯片制造时故意插入在正常电路中的额外电路,用于秘密泄露信息、增加电路功耗、干扰或破坏电路正常功能。此外,木马电路的隐蔽性极高,仅在罕见条件下触发,这使得硬件木马检测比较困难。现有的木马检测多使用机器学习的方法进行分析,并具有较好的性能。但其缺陷也比较明显:一是相比正常电路,木马节点的数量很少,因此训练时数据不平衡的问题尤其严重;二是现有的方法多数是从木马电路的罕见性分析寻找其触发电路,但对功能特异、结构和正常电路相差无几的木马载荷电路束手无策。这些均对硬件木马检测的准确度有较大的影响。因此,亟需一种新的硬件木马检测和优化方法,以弥补现有技术的缺陷。
[0003]通过上述分析,现有技术存在的问题及缺陷为:
[0004](1)现有的木马检测多使用机器学习的方法进行分析,但其相比正常电路,木马节点的数量很少,因...
【技术保护点】
【技术特征摘要】
1.基于结构特征筛选及负载扩展的机器学习木马检测方法,其特征在于,所述基于结构特征筛选及负载扩展的机器学习木马检测方法包括:首先将电路的网表转化为可以量化的数学模型,并基于此模型通过数学方法进行特征提取;之后结合硬件木马触发结构特点,筛选节点得到更为平衡的数据集,再结合机器学习分类方法进行木马检测;最后根据硬件木马载荷结构特点,对木马节点进行后向拓展,从而得到完备的硬件木马电路。2.如权利要求1所述的基于结构特征筛选及负载扩展的机器学习木马检测方法,其特征在于,所述基于结构特征筛选及负载扩展的机器学习木马检测方法包括以下步骤:步骤一,分析电路结构和木马电路运行逻辑,结合传统机器学习的电路特征,提出木马检测需要的特征,并从预处理后的网表中获取每个节点的特征;步骤二,以电路中各节点为起点建立n级子图,统计各个子图中的低概率级联结构,筛选出低危险度子图和正常子图;步骤三,以低危险度子图节点的特征作为数据集进行训练,得到训练模型;采用测试数据进行测试,获取高危险度节点;步骤四,对高危险度节点进行拓展,获取完整木马结构;根据测试结果计算准确度参数,评估测试结果。3.如权利要求2所述的基于结构特征筛选及负载扩展的机器学习木马检测方法,其特征在于,步骤二中,所述统计各个子图中的低概率级联结构,包括:(1)木马电路的触发条件十分苛刻,从电路角度即门的翻转概率很低;因此从电路结构和门器件功能的角度出发,提出电路中输出为0或输出为1概率很低的门器件二级级联结构;(2)对步骤(1)中的二级级联结构进行扩展,提出加入非门或触发器作为中间级的低概率级联结构;(3)统计待评测子图中与步骤(1)、步骤(2)提出结构相同的部分,相同结构数量大于阈值t0则认定带评测子图为低危险度子图;反之则为正常子图;(4)提取步骤(3)得到的所有低危险度子图的节点,去重后将提取节点的特征值作为数据集进行后续训练。4.如权利要求2所述的基于结构特征筛选及负载扩展的机器学习木马检测方法,其特征在于,步骤二中,所述低概率级联结构,包括:二级低0概率级联结构:
①
或门连接或门;
②
与非门连接与非门;
③
或门连接与非门;
④
与非门连接或门;二级低1概率级联结构:
①
与门连接与门;
②
或非门连接或非门;
③
与门连接或非门;
④
或非门连接与门;在所述8种二级结构的基础上,加入非门和触发器的多级低概率级联结构,分为两种:在原结构中插入奇数个非门:
①
与非门连接奇数个非门,再连接与门;
②
与非门连接奇数个非门,在连接或非门;
③
或非门连接奇数个非门,再连接或门;
④
或非门连接奇数个非门,再连接与非门;在原结构中插入偶数个非门或若干个触发器:包括二级低概率级联结构中的所有结构;其中,所有的级联结构必须以与门、或门、与非门、或非门中的门作为开始节点和结束节
点。5.如权利要求2所述的基于结构特征筛选及负载扩展的机器学习木马检测方法,其特征在于,步骤三中,使用机器学习的方式进行训练和测试时,训练集和测试集都是经过筛选后的低危险度节点,对于具体使用的机器学习方法则没有要求;将机器学习得到的测试结果认定为高危险度的木马节点,用于后续拓展补全木马结构。6.如权利要求2所述的基于结构特征筛选及负载扩展的机器学习木马检测方法,其特征在于,步骤四中,所述对高危险度节点进行拓展,包括:从木马电路的功能角度出发,木马节点对于电路的影响是隐蔽的,即木马节点的扇出很小,只会影响极少数的节点;对高危险度节点进行后续拓展时,查询每个高危险性节点的后续节点,将扇出值小于阈值t1的后续节点加入到木马节点中,并对这些节点继续进行后向拓展;...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。