[发明专利]基于无监督学习的硬件木马检测系统和信息数据处理方法

权利要求书

1.一种基于无监督学习的硬件木马检测方法，其特征在于，所述基于无监督学习的硬件木马检测方法包括：

首先，通过分析电路结构和木马电路运行逻辑，结合传统机器学习的电路特征，提出木马检测需要的特征；

然后，结合随机森林、相关性矩阵和平行坐标图分析特征的重要程度，对特征进行筛选，得到最佳特征集；接着，采用主成分分析PCA的方法对高维数据特征进行降维；

最后，采用降维后的数据训练Isolation Forest无监督模型，得到最佳训练模型；采用测试数据进行测试，根据测试结果计算准确度参数，评估模型；

所述基于无监督学习的硬件木马检测方法包括以下步骤：

步骤一，从电路结构和木马电路运行逻辑角度分析硬件木马特征，结合传统机器学习的电路特征，提出木马检测所需的电路特征；

步骤二，对待测的门级网表进行预处理，提取出硬件木马检测需要的特征；

步骤三，结合随机森林、相关性矩阵和平行坐标图分析电路特征对区分木马网络和正常网络的贡献度，对特征进行筛选，选取最佳的特征集；

步骤四，对步骤三得到的数据集进行归一化处理；

步骤五，采用特征降维方法，对步骤四得到的数据集进行降维处理；

步骤六，构建基于无监督学习的分类器，使用降维后的数据进行训练，根据训练结果优化模型，得到最佳训练模型；

步骤七，采用交叉验证的方法将若干待测数据集分为训练集和测试集；

步骤八，将测试数据输入到训练后的模型中进行检测，根据检测结果计算TPR，TNR，Precision，Recall，F1-score和Accuracy指标，评估模型检测能力。

2.如权利要求1所述的基于无监督学习的硬件木马检测方法，其特征在于，步骤一中，所述提出木马检测所需的电路特征，包括：

①距离线网net输入端或者输出端x级远的基本逻辑门的数量；

②距离线网net 输入端x级远的逻辑门的扇入数量；

③距离线网net输入端或者输出端x级远的触发器的数量；

④距离线网net输入端或者输出端x级远的多路选择器的数量；

⑤距离线网net输入端或者输出端最近的多路选择器的逻辑级数；

⑥距离线网net输入端或者输出端最近的触发器的逻辑级数；

⑦线网net输入端或者输出端含有x级环路的数量；

⑧距离线网net最近的主输入或者主输出所在的逻辑级数；

⑨距离线网net输入端或者输出端x级远的常数项的数量；

⑩距离线网net输入端或者输出端最近的反相器的逻辑级数；

11距离线网net输入端x级远处相同类型逻辑门的最大数量；

其中，x的值为1，2，3，4，5。

3.如权利要求1所述的基于无监督学习的硬件木马检测方法，其特征在于，步骤三中，使用随机森林、相关性矩阵和平行坐标图方法，基于特征的重要程度对特征进行筛选，使用平行坐标图对高维数据可视化，直观看出各个特征对区分木马电路和正常电路的贡献程度；随后采用随机森林和相关性矩阵方法，得到特征重要性的确定值和各个特征之间的相关程度；结合上述三种方法的结果进行分析，对特征进行筛选，得到最佳特征集。