【CN109948374A】一种硬件木马的检测方法及装置【专利】

(19)中华人民共和国国家知识产权局

(12)发明专利申请

(10)申请公布号 (43)申请公布日 (21)申请号 201910193263.1

(22)申请日 2019.03.14

(71)申请人 中国科学院微电子研究所

地址 100029 北京市朝阳区北土城西路3号

中国科学院微电子研究所

(72)发明人 佟鑫　闫华钰　李莹　陈岚　

(74)专利代理机构 北京集佳知识产权代理有限

公司 11227

代理人 王宝筠

(51)Int.Cl.

G06F 21/76(2013.01)

G06K 9/62(2006.01)

(54)发明名称

一种硬件木马的检测方法及装置

(57)摘要

本申请提供了一种硬件木马的检测方法及

装置，获取目标电路的指令集功耗数据；对指令

集功耗数据进行预处理，并计算预处理后的指令

集功耗数据的中位数；判断预处理后的指令集功

耗数据的中位数是否大于预设无木马电路功耗

值；若是，将预处理后的指令集功耗数据输入到

线性SVM训练上边界模型中进行处理，得到目标

电路的硬件木马检测结果；若否，将预处理后的

指令集功耗数据输入到线性SVM训练下边界模型

中进行处理，得到目标电路的硬件木马检测结

果。本发明使用SVM机器学习算法对指令集功耗

数据进行分类以检测硬件木马，提高了硬件木马

检测的准确率。权利要求书2页 说明书11页 附图3页CN 109948374 A 2019.06.28

C N 109948374

A

权　利　要　求　书1/2页CN 109948374 A

1.一种硬件木马的检测方法，其特征在于，包括：

获取目标电路的指令集功耗数据；

对指令集功耗数据进行预处理，并计算预处理后的指令集功耗数据的中位数；

判断预处理后的指令集功耗数据的中位数是否大于预设无木马电路功耗值；

若是，将预处理后的指令集功耗数据输入到线性SVM训练上边界模型中进行处理，得到目标电路的硬件木马检测结果；

若否，将预处理后的指令集功耗数据输入到线性SVM训练下边界模型中进行处理，得到目标电路的硬件木马检测结果。

2.根据权利要求1所述的方法，其特征在于，所述目标电路的硬件木马检测结果为无硬件木马或有硬件木马，当所述目标电路的硬件木马检测结果为有硬件木马时，所述目标电路的硬件木马检测结果还包括木马类型。

3.根据权利要求1所述的方法，其特征在于，所述对指令集功耗数据进行预处理，包括：

对指令集功耗数据进行去离群点处理，并对去离群点处理后的指令集功耗数据进行归一化处理。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取训练集和验证集，所述训练集和所述验证集分别包括不同指令、不同操作数和不同木马类型对应的功耗数据组；

分别计算所述训练集和所述验证集中每个功耗数据组的中位数；

利用中位数大于所述预设无木马电路功耗值的所述训练集中的功耗数据组对SVM模型进行训练，得到所述线性SVM训练上边界模型，并利用中位数不大于所述预设无木马电路功耗值的所述训练集中的功耗数据组对SVM模型进行训练，得到所述线性SVM训练下边界模型；

利用中位数大于所述预设无木马电路功耗值的所述验证集中的功耗数据组对所述线性SVM训练上边界模型进行验证，利用中位数不大于所述预设无木马电路功耗值的所述验证集中的功耗数据组对所述线性SVM训练下边界模型进行验证；

对所述线性SVM训练上边界模型和所述线性SVM训练下边界模型的准确率进行计算，并当准确率大于第一预设值时停止对模型的训练。

5.根据权利要求4所述的方法，其特征在于，所述获取训练集和验证集，包括：

对多个不同指令、不同操作数和不同木马类型对应的功耗数据组预处理；

对预处理后的功耗数据组进行标记，标记结果包括木马组数据和正常组数据；

对标记后的功耗数据组进行分组抽样，每次抽出一组木马组数据作为验证集，其余的作为训练集。

6.根据权利要求5所述的方法，其特征在于，所述对所述线性SVM训练上边界模型和所述线性SVM训练下边界模型的准确率进行计算，包括：

对于每一次验证，当标记结果为正常组数据，检测结果为正常组数据时，将验证结果标记为真正类；

当标记结果为正常组数据，检测结果为木马组数据时，将验证结果标记为假负类；

当标记结果为木马组数据，检测结果为正常组数据时，将验证结果标记为假正类；

当标记结果为木马组数据，检测结果为木马组数据时，将验证结果标记为真负类；

2