[发明专利]基于无监督学习的硬件木马检测系统和信息数据处理方法

说明书

本发明属于硬件安全技术领域，公开了一种基于无监督学习的硬件木马检测系统和信息数据处理方法，通过分析电路结构和木马电路运行逻辑，提出木马检测需要的特征；结合随机森林、相关性矩阵和平行坐标图分析特征的重要程度，对特征进行筛选，得到最佳特征集；采用主成分分析PCA方法对高维数据特征进行降维；采用降维后的数据训练Isolation Forest无监督模型，得到最佳训练模型；采用测试数据进行测试，根据测试结果计算准确度等参数，评估模型。本发明在减少数据维度的同时保留了数据的绝大部分信息，有效提高准确度，减少训练时间，同时使用无监督学习的方法，解决硬件木马检测领域标签值不易获得甚至无法获得的难题。

技术领域

本发明属于硬件安全技术领域，尤其涉及一种基于无监督学习的硬件木马检测系统和信息数据处理方法。

背景技术

目前，随着当今信息化社会的高速发展以及人工智能技术加速应用，人们对集成电路芯片的需求正日益剧增。但由于芯片设计制造环节过于复杂，芯片厂商无法对每个环节实现完全自主可控，这就为某些攻击者对集成电路实施恶意修改和破坏提供了可能。这种由攻击者蓄意制造并插入到芯片中，使芯片功能或性能发生改变并在某些情况特殊条件下触发的缺陷模块称为硬件木马。硬件木马会给芯片安全带来极大的潜在威胁，引起了人们对集成电路的完整性和安全性的严重担忧。

通常，硬件特洛伊木马不包含任何状态信息。恶意攻击者完全控制他们的硬件木马触发器，并植入了各种类型的硬件木马，这是传统的验证技术很难检测到的。此外，流通中的SoC是一个由多个第三方IP核组成的复杂异构系统，由于硬件木马的小尺寸和隐蔽性，第三方IP核中的木马检测技术很难完全区分木马网络，有些木马甚至需要手动分析。一些恶意第三方供应商甚至串通联合制造硬件木马以逃避检测。因此，如何设计安全可靠的SoC安全策略和木马检测技术是摆在研究人员面前的重要课题。

虽然现有的基于机器学习理论的方法都有较好的性能，但它们基本都属于有监督的学习方法，都有一个关键的前提，那就是大量的已知信息。此外，监督学习方法的训练过程往往很耗时，通常需要大量平衡的训练数据。而无监督学习，即异常检测模型，目的为检测出样本中行为与其他样本相差很大的异常样本，十分适合用于硬件木马检测。此外，由于用于木马检测的电路特征多为高维数据，对算法复杂度、模型训练时间以及检测精度等都有较大影响。因此，亟需一种新的硬件木马检测方法。

通过上述分析，现有技术存在的问题及缺陷为：

(1)硬件特洛伊木马不包含任何状态信息，恶意攻击者完全控制硬件木马触发器，并植入各种类型的硬件木马，这是传统的验证技术很难检测到的。

(2)流通中的SoC是一个由多个第三方IP核组成的复杂异构系统，由于硬件木马的小尺寸和隐蔽性，第三方IP核中的木马检测技术很难完全区分木马网络，一些恶意第三方供应商甚至串通联合制造硬件木马以逃避检测。

(3)现有的基于机器学习理论的方法都属于有监督的学习方法，需要大量已知信息；监督学习方法的训练过程很耗时，通常需要大量平衡的训练数据。且用于木马检测的电路特征多为高维数据，对算法复杂度、模型训练时间以及检测精度等都有较大影响。

解决以上问题及缺陷的难度为：

1.基于电路特征、木马触发逻辑和负载电路功能进行分析，结合传统机器学习的电路特征，提出能有效检测出木马电路的电路特征。

2.结合特征分析和筛选方法，提取出能高效检测木马的最佳特征集。

3.对高维电路特征进行处理，在降低特征维数的同时保留绝大部分数据信息。

4.构建无监督学习模型，在不需要标签信息和大量平衡数据的前提下训练模型，使用训练好的模型对木马电路进行检测。

解决以上问题及缺陷的意义为：