【CN110096907A】一种基于信息流安全验证的硬件木马检测方法【专利】

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 202011173241.8(22)申请日 2020.10.28(71)申请人 西安电子科技大学地址 710071 陕西省西安市太白南路2号(72)发明人 张铭津　彭晓琪　郭杰　李云松　孙宸　王力伟　(74)专利代理机构 陕西电子工业专利中心61205代理人 王品华(51)Int.Cl.G06T 7/00(2017.01)G06T 7/11(2017.01)G06T 7/136(2017.01)G06T 7/194(2017.01)G06T 5/00(2006.01)(54)发明名称基于深度学习的硬件木马检测方法(57)摘要本发明公开了一种基于深度学习的硬件木马检测方法，主要解决现有方法成本高、漏检率高和效率低的问题。

其方案是：采集图像集，并构建两个训练集；采集待检测图像集；用第一训练集对残差通道注意力网络进行训练，用第二训练集对循环一致性生成对抗网络进行训练，将待检测图像集中的显微图像依次送入训练好的残差通道注意力网络和循环一致性生成对抗网络，得到与母版微观图像同源的图像；对与母版微观图像同源的图像及对应的母版微观图像进行增强并对增强后的图像进行二值化分割和去噪；对去噪后图像进行连通区域标记并对其进行异或运算，运算结果为1的区域为硬件木马。

本发明检测方精度更高，速度更快，且操作更简易，可用于集成电路芯片的制备。

权利要求书3页 说明书7页 附图2页CN 112288714 A 2021.01.29C N 112288714A1.基于深度学习的硬件木马检测方法，其特征在于，包括如下：(1)采集低分辨率芯片显微图像集W，高分辨率芯片显微图像集X以及母版微观图像集Y，并将低分辨率芯片显微图像集W和高分辨率芯片显微图像集X作为第一训练集，将高分辨率芯片显微图像集X以及对应的母版微观图像集Y作为第二训练集；(2)采集待检测芯片的低分辨率显微图像集P及待检测芯片对应的母版微观图像集R；(3)用第一训练集对残差通道注意力网络进行训练，得到训练好的残差通道注意力网络模型；(4)用第二训练集对循环一致性生成对抗网络进行训练，得到训练好的循环一致性生成对抗网络模型；(5)将低分辨率的待检测芯片显微图像集为P输入到训练好的残差通道注意力模型中，得到高分辨率的待检测芯片显微图像集Q，再将高分辨率的待检测芯片显微图像集Q输入到训练好的循环一致性生成对抗网络中，得到与母版微观图像同源的芯片显微图像集Z；(6)对待检测芯片对应的母版微观图像集为R及与母版微观图像同源的芯片显微图像集Z进行图像增强；(7)通过最大类间方差法对增强后的芯片显微图像和母版微观图像进行二值化分割，分别得到两种图像的目标区域和背景；(8)对芯片显微图像的目标区域和母版微观图像的目标区域依次进行异或运算及形态学操作，以去除比芯片结构元素小的噪声部分；(9)通过连通区域统计算法对去噪后芯片显微图像目标区域的每块连通区域和母版微观图像目标区域的每块连通区域分别进行标记；(10)将连通区域标记后的芯片显微图像与母版微观图像进行异或运算，异或结果为1的部分即为硬件木马，完成硬件木马的检测。

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 201910251422.9(22)申请日 2019.03.29(71)申请人 合肥高维数据技术有限公司地址 230088 安徽省合肥市高新区望江西路5089号中科大先研院未来中心B615室(72)发明人 田辉　梅俊　(74)专利代理机构 合肥天明专利事务所(普通合伙) 34115代理人 金凯(51)Int.Cl.G06F 21/60(2013.01)G06F 21/56(2013.01)(54)发明名称一种木马隐写方法和检测方法(57)摘要本发明公开了一种木马隐写方法和检测方法，属于网络安全技术领域，包括在数据传输通道中传输载密文件和加载器，该载密文件嵌入有木马程序；在所述加载器和所述载密文件所在页面被访问并获取时，运行所述加载器以将所述木马程序解密至内存中，并在内存中运行所述木马程序。

本发明披露了一种新的隐写木马植入途径，同时提供对应的检测方法，完善了杀毒软件对于木马的检测。

权利要求书2页 说明书6页 附图3页CN 110069936 A 2019.07.30C N 110069936A权　利　要　求　书1/2页CN 110069936 A1.一种木马隐写方法，其特征在于，包括：在数据传输通道中传输载密文件和加载器，该载密文件嵌入有木马程序；在所述加载器和所述载密文件所在页面被访问并获取时，运行所述加载器以将所述木马程序解密至内存中，并在内存中运行所述木马程序。

2.如权利要求1所述的木马隐写方法，其特征在于，在所述在数据传输通道中传输载密文件和加载器之前，还包括：利用高级加密标准算法 AES将所述木马程序加密成密文；利用LSB算法将所述密文嵌入到所述载体图像的每个像素最低位，得到所述载密文件。

3.如权利要求1或2所述的木马隐写方法，其特征在于，在所述利用AES算法将所述木马程序加密成密文之后，还包括：利用libpng模块解析所述载体图像，并统计图像像素数量；根据所述图像像素数量，判断所述载体图像的嵌入容量是否大于所述密文大小；若是，则将所述密文嵌入到载体图像中，得到所述载密文件。

专利名称：基于硬件木马数据信息统计的检测系统和方法专利类型：发明专利
发明人：刘歌风
申请号：CN202011447625.4
申请日：20201209
公开号：CN112487503A
公开日：
20210312
专利内容由知识产权出版社提供
摘要：本发明公开了一种基于硬件木马数据信息统计的检测系统和方法，包括：主机设备、数据库系统和检测系统；主机设备一方面用于对硬件木马的共有信息和特有信息进行统计，并输入数据库系统，另一方会根据数据库系统相关数据，在做出硬件可信性评判的同时，也会将部分相关信息反馈给集成电路的验证与测试设备。

数据库系统用于存储历史上被检测到的硬件木马，并将这些硬件木马数据反馈给主机设备，从而使主机设备对木马可信性作出评估。

检测系统是针对于不同插入阶段，不同种类的硬件木马的检测设备，这些设备上传至主机的木马数据有一个相对统一的标准，并且随着木马数据库的丰富，木马检测时间会一定程度上降低。

申请人：电子科技大学
地址：611731 四川省成都市高新区(西区)西源大道2006号
国籍：CN
代理机构：成都方圆聿联专利代理事务所(普通合伙)
代理人：李鹏
更多信息请下载全文后查看。

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 201810827278.4(22)申请日 2018.07.25(71)申请人 山东省计算中心(国家超级计算济南中心)地址 250014 山东省济南市历下区科院路19号山东省计算中心(72)发明人 徐丽娟　王连海　徐淑奖　韩晓晖　张睿超　周洋　(74)专利代理机构 北京华际知识产权代理有限公司 11676代理人 褚庆森(51)Int.Cl.G06F 21/55(2013.01)G06F 21/56(2013.01)(54)发明名称一种基于计算机内存分析技术的木马检测方法(57)摘要本发明的基于计算机内存分析技术的木马检测方法，包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现；行为监控包括进程操作、注册表操作、文件操作和网络数据监控，恶意代码检测包括动态链接库检测、恶意进程、隐藏进程检测、驱动检测，磁盘信息综合分析包括注册表启动项、文件扫描、PE文件解析。

本发明的木马检测方法，对于存在加密保护的恶意代码，其在内存中运行时的状态是解密状态，使用本技术检测此类恶意代码无需进行解密，检测结果更为可靠，能有效防止rootkit攻击对木马检测结果造成的影响。

权利要求书2页 说明书6页 附图6页CN 109033828 A 2018.12.18C N 109033828A1.一种基于计算机内存分析技术的木马检测方法，其特征在于，包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现；行为监控包括进程操作行为监控、注册表操作行为监控、文件操作行为监控和网络数据监控，恶意代码检测包括基于内存分析技术的动态链接库检测、恶意进程检测、隐藏进程检测、驱动检测，磁盘信息综合分析包括注册表启动项检测、文件扫描检测、文件关联检测、PE文件解析；综合关联分析包括进程监控、文件监控与注册表监控的关联，恶意进程与自启动项的关联，进程与网络连接的关联；检测结果处理包括样本提取、风险评估、检测报告生成；行为监控通过监控网络数据、进程变化、操作的文件和注册表信息检测异常行为来实现。

专利名称：一种木马检测方法、装置和设备专利类型：发明专利
发明人：那键
申请号：CN202080004649.4
申请日：20201120
公开号：CN112640392A
公开日：
20210409
专利内容由知识产权出版社提供
摘要：本申请公开了一种木马检测方法、装置和设备，所述方法包括：接收来自源端的第一询问包，所述第一询问包中包括源端的IP地址，当所述第一询问包符合域名系统DNS协议规范，获取与所述第一询问包对应的第一响应包，所述第一响应包为目的端发送，解析第一响应包得到至少一个目的IP地址；如果所述源端IP地址和所述至少一个目的IP地址之间均不存在数据包，则确定源端到目的端之间存在DNS隧道木马。

本方法能够检测出符合DNS协议规范的数据包中是否隐藏有DNS隧道木马，解决了基于一般规则的入侵检测系统无法发现高隐蔽性DNS隧道木马的问题。

申请人：华为技术有限公司
地址：518129 广东省深圳市龙岗区坂田华为总部办公楼
国籍：CN
代理机构：北京弘权知识产权代理有限公司
更多信息请下载全文后查看。

专利名称：硬件木马检测方法、系统、计算机设备及可读存储介质
专利类型：发明专利
发明人：孙宸,成立业,王力纬,侯波,雷登云,曲晨冰,黄云,恩云飞
申请号：CN202010799367.X
申请日：20200811
公开号：CN112084541A
公开日：
20201215
专利内容由知识产权出版社提供
摘要：本申请涉及芯片测试技术领域，具体公开一种硬件木马检测方法、系统、计算机设备及可读存储介质。

方法包括获取待测芯片的原始旁路信号；根据时钟信号从获取到的原始旁路信号中提取出多段电路特征；分别从各段电路特征中提取统计特征；对各段电路特征的统计特征进行分析，根据分析结果判断待测芯片是否存在硬件木马。

上述硬件木马检测方法，从原始旁路信号中提取出多段电路特征后，再针对各段电路特征的统计特征进行分析，即，将高维的原始旁路信号划分为多段低维信号后再进行分析，降低了信号处理维度，有助于检测出面积较小的木马，解决了直接分析高维信号而导致漏检面积较小的木马的问题，增加了硬件木马检测的准确率，降低漏检率。

申请人：中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室))
地址：511300 广东省广州市增城区朱村街朱村大道西78号
国籍：CN
代理机构：广州华进联合专利商标代理有限公司
代理人：缪成珠
更多信息请下载全文后查看。

专利名称：一种硬件木马的在片检测方法
专利类型：发明专利
发明人：李磊,向祎尧,孙超龙,谭贤军,周婉婷,高洪波申请号：CN201910432778.2
申请日：20190523
公开号：CN110135161A
公开日：
20190816
专利内容由知识产权出版社提供
摘要：本发明公开一种硬件木马在片检测方法，应用于集成电路硬件木马检测领域，针对现有技术中存在的工艺偏差对于旁路信息的影响的问题，本发明提出了一种基于工艺偏差修正的在片硬件木马检测方法，建立了工艺偏差修正的可信模型，增加了可信模型的精度，提高硬件木马检测准确率；并且本发明的方法不需要在设计阶段植入任何模块，即可实现对片外工艺偏差的修正，完成硬件木马检测。

申请人：电子科技大学
地址：611731 四川省成都市高新区(西区)西源大道2006号
国籍：CN
代理机构：成都虹盛汇泉专利代理有限公司
代理人：王伟
更多信息请下载全文后查看。

专利名称：一种基于机器学习和电路行为级特征的硬件木马检测方法
专利类型：发明专利
发明人：金铮斐,张颖,陈鑫,葛明慧,李森,姚嘉祺,毛志明,施聿哲,刘小雨
申请号：CN201911117317.2
申请日：20191115
公开号：CN110955892A
公开日：
20200403
专利内容由知识产权出版社提供
摘要：本发明公开了一种基于机器学习和电路行为级特征的硬件木马检测方法，属于硬件安全的技术领域。

本发明通过分析可疑电路在行为级的内在结构特征和信号特征，构建数学模型，然后通过机器学习算法训练生成各类木马的分类器，利用分类器即可对其他待检测的可疑电路进行硬件木马检测。

相比于传统的硬件木马检测方法，本发明无需要求检测人员对可疑代码进行逐条分析，提高了检测效率。

同时基于机器学习算法，本发明可以在后期的检测过程中针对新木马产生相应的分类器，不断学习完善，具有很强的适用性。

申请人：南京航空航天大学
地址：210016 江苏省南京市秦淮区御道街29号
国籍：CN
代理机构：南京经纬专利商标代理有限公司
代理人：熊玉玮
更多信息请下载全文后查看。

(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 201910351577.X(22)申请日 2019.04.28(71)申请人 天津大学地址 300072 天津市南开区卫津路92号(72)发明人 赵毅强　王品　刘燕江　(74)专利代理机构 天津市北洋有限责任专利代理事务所 12201代理人 刘国威(51)Int.Cl.G06F 21/56(2013.01)G06F 21/77(2013.01)G01R 29/08(2006.01)(54)发明名称基于芯片表面扫描的硬件木马定位方法(57)摘要本发明涉及集成电路可信任性技术领域，为实现小面积硬件木马的检测和区域定位。

为此，本发明采取的技术方案是，基于芯片表面扫描的硬件木马定位方法，步骤如下：步骤一：搭建集成电路辐射测试平台，通过数据采集系统设置相关参数，调节电磁探头与开发板之间的距离；步骤二：数据采集系统控制电磁探头采集测试板的电磁辐射信息，并将采集的数据上传到计算机；步骤三：在计算机上对数据进行处理，分析集成电路的辐射信息；步骤四：通过比较各个点的差异度，从而实现硬件木马的检测和区域定位。

本发明主要应用于集成电路设计制造场合。

权利要求书1页 说明书4页 附图1页CN 110096880 A 2019.08.06C N 110096880A权　利　要　求　书1/1页CN 110096880 A1.一种基于芯片表面扫描的硬件木马定位方法，其特征是，步骤如下：步骤一：搭建集成电路辐射测试平台，通过数据采集系统设置相关参数，调节电磁探头与开发板之间的距离；步骤二：数据采集系统控制电磁探头采集测试板的电磁辐射信息，并将采集的数据上传到计算机；步骤三：在计算机上对数据进行处理，分析集成电路的辐射信息；步骤四：利用芯片表面扫描系统先后获取加密算法在无木马和有木马插入时的电磁辐射信息，单方向的电磁辐射信息采用Z字型扫描方式。