嚴(yán)迎建 趙聰慧 劉燕江

(戰(zhàn)略支援部隊(duì)信息工程大學(xué) 鄭州 450000)

1 引言

近年來(lái)賽博空間安全事件頻繁爆出，使得信息安全問(wèn)題再次受到了廣泛的關(guān)注。集成電路作為信息產(chǎn)業(yè)的基礎(chǔ)，其“自主可控”與“安全可信”是信息安全的根基。由于集成電路的先進(jìn)性和復(fù)雜

收稿日期：2021-01-04；改回日期：2021-03-10；網(wǎng)絡(luò)出版：2021-06-24

*通信作者：趙聰慧1024600921@qq.com性，第三方知識(shí)產(chǎn)權(quán)(Intellectual Property,IP)核，包括軟核、固核和硬核等，大量應(yīng)用在集成電路設(shè)計(jì)階段來(lái)縮短產(chǎn)品的開(kāi)發(fā)周期。然而，外購(gòu)的IP核可能由境外、外資或者合資企業(yè)提供，一旦一個(gè)環(huán)節(jié)出現(xiàn)安全問(wèn)題，將直接影響整個(gè)芯片的安全可信[1]。第三方IP核是惡意攻擊者的理想藏身之所，黑盒設(shè)計(jì)中可能早已內(nèi)置惡意電路，即硬件木馬，如圖1所示，它可于無(wú)聲處泄露內(nèi)部私密信息、篡改電路功能和升級(jí)系統(tǒng)權(quán)限等。此外，目前缺乏IP核的安全可信分析標(biāo)準(zhǔn)和行業(yè)規(guī)范，第三方IP核已成為硬件木馬的“天堂”，進(jìn)口的集成電路乃至自主設(shè)計(jì)的芯片的安全可信水平更加難以保障[2]。

圖1 IP核安全隱患分析

硬件木馬是IP核的主要安全威脅，如何檢測(cè)硬件木馬受到了國(guó)內(nèi)外研究學(xué)者的廣泛關(guān)注。目前安全性分析主要有形式化驗(yàn)證和木馬特征識(shí)別兩類(lèi)方法。形式化驗(yàn)證方法評(píng)估IP核的屬性違例情況來(lái)確定其可信任度，評(píng)估難度隨著電路規(guī)模的增加呈指數(shù)級(jí)增長(zhǎng)，驗(yàn)證邊界是主要瓶頸，另外安全屬性構(gòu)建大多是“一事一議”，硬件木馬類(lèi)型繁多，構(gòu)建的安全屬性很難涵蓋所有的硬件木馬類(lèi)型。硬件木馬雖然種類(lèi)繁多，但在結(jié)構(gòu)上存在多個(gè)共性特征，因此，基于特征識(shí)別的硬件木馬檢測(cè)方法被廣泛研究并成為主流方法。

具體來(lái)說(shuō)，Oya等人[3]總結(jié)了9種木馬特征并對(duì)每種特征賦予特定的分值，通過(guò)分值的高低來(lái)確定是否存在硬件木馬。但該文并未闡述這些特征的性質(zhì)及與硬件木馬觸發(fā)機(jī)制的聯(lián)系。Yao等人[4]基于數(shù)據(jù)流圖提出4種硬件木馬特征，利用硬件木馬特征匹配算法來(lái)檢測(cè)硬件木馬，并形成了檢測(cè)工具FASTrust。然而基于數(shù)據(jù)流圖的木馬特征構(gòu)建方法是從寄存器層面進(jìn)行的，大量的組合邏輯被忽略，誤識(shí)別率較高。Hasegawa等人[5]提出了LGFi,FFi,FFo,PI,PO等5種硬件木馬特征，并利用支持向量機(jī)算法來(lái)訓(xùn)練并識(shí)別木馬節(jié)點(diǎn)，然而在訓(xùn)練集中，硬件木馬特征集較少，訓(xùn)練集分布并不平衡，即便是采用動(dòng)態(tài)加權(quán)的支持向量機(jī)依然存在較大的誤識(shí)別情況。Chen等人[6]計(jì)算待測(cè)電路中兩級(jí)AONN門(mén)的分?jǐn)?shù)，認(rèn)為分?jǐn)?shù)較高的門(mén)是硬件木馬。該方法對(duì)單觸發(fā)型硬件木馬有效，然而對(duì)于多觸發(fā)條件的硬件木馬無(wú)能為力，且未考慮有效載荷電路及其功能。

因此，本文構(gòu)建了扇入單元數(shù)、扇入觸發(fā)器數(shù)、扇出觸發(fā)器數(shù)、輸入拓?fù)渖疃取⑤敵鐾負(fù)渖疃?、選擇器數(shù)量和反相器數(shù)量的硬件木馬特征。另外，本文建立了基于圖結(jié)構(gòu)的電路分析模型，將門(mén)級(jí)網(wǎng)表映射為有向圖模型，最終形成了網(wǎng)表簡(jiǎn)化分析流程。最后，提出廣度優(yōu)先搜索算法計(jì)算網(wǎng)表頂點(diǎn)的硬件木馬特征值得分，利用基于最近鄰不平衡數(shù)據(jù)分類(lèi)算法(Synthetic Minority Oversampling Technique an d Ed it ed Near est Neighbor,SMOTEENN)的硬件木馬特征擴(kuò)展算法來(lái)解決木馬特征數(shù)據(jù)集不平衡問(wèn)題，借助支持向量機(jī)(Support Vector Machines,SVM)算法建立硬件木馬檢測(cè)模型并檢測(cè)出IP核中的硬件木馬。

2 基于有向圖的門(mén)級(jí)網(wǎng)表抽象化建模算法

目前的IP核安全性分析方法大多基于門(mén)級(jí)網(wǎng)表開(kāi)展研究，分析網(wǎng)表的狀態(tài)是否存在違例情況或者提取網(wǎng)表中的隱藏性結(jié)構(gòu)特征等，然而網(wǎng)表分析效率隨著電路規(guī)模呈指數(shù)級(jí)增長(zhǎng)，嚴(yán)重限制了驗(yàn)證范圍。為了簡(jiǎn)化硬件木馬分析效率，本文研究了門(mén)級(jí)網(wǎng)表的抽象化建模算法，將門(mén)級(jí)網(wǎng)表映射為有向圖，形成利于分析的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)，大大提高了分析效率，降低了驗(yàn)證成本。另外，基于有向圖可將硬件木馬的行為級(jí)描述轉(zhuǎn)換為可量化的數(shù)據(jù)指標(biāo)，可擴(kuò)展應(yīng)用未知硬件木馬檢測(cè)，更具普適性。

2.1 門(mén)級(jí)網(wǎng)表的有向圖模型

首先介紹有向圖的基本概念。圖是由頂點(diǎn)的有窮非空集合和頂點(diǎn)之間邊的集合組成的。頂點(diǎn)vi和v j之 間的邊有方向稱(chēng)為有向邊。若圖中任意兩個(gè)頂點(diǎn)之間的邊均是有向邊，則稱(chēng)該圖為有向圖[7,8]。下面以圖2所示的簡(jiǎn)單電路為例介紹網(wǎng)表的有向圖模型，其中I1,I2,I3,I4,I5和clk為電路的輸入，O1和O2為電路的輸出。

圖2 門(mén)級(jí)網(wǎng)表等效電路圖

將電路中所有的輸入(I1,I2,I3,I4,I5和clk)、輸出端口(O1,O2)和器件單元(N1,N2,···,N8)映射為有向圖的頂點(diǎn)，組成頂點(diǎn)集V。將頂點(diǎn)之間的連線(xiàn)映射為有向圖的邊，每條邊的弧尾為與該節(jié)點(diǎn)相連的上一級(jí)器件單元，弧頭為與該節(jié)點(diǎn)相連的下一級(jí)器件單元，構(gòu)成邊集E={e1,e2,···,e18}?；诖擞成湟?guī)則，任何一個(gè)網(wǎng)表都可以映射為由頂點(diǎn)集V和邊集E組成的有向圖G=(V,E)。

2.2 基于十字鏈表的有向圖數(shù)據(jù)存儲(chǔ)

將門(mén)級(jí)網(wǎng)表映射為有向圖后，需要存儲(chǔ)有向圖的頂點(diǎn)集V和邊集E。鄰接表是一種數(shù)組與鏈表相結(jié)合的存儲(chǔ)方法，由于只存有關(guān)聯(lián)的信息，不存在空間浪費(fèi)的問(wèn)題[9]。因此本文采用圖的鄰接表來(lái)存儲(chǔ)有向圖數(shù)據(jù)。具體來(lái)說(shuō)，數(shù)組用來(lái)存儲(chǔ)所有的頂點(diǎn)信息，鏈表用來(lái)存儲(chǔ)頂點(diǎn)對(duì)應(yīng)的邊的信息。

在用鄰接表來(lái)存儲(chǔ)網(wǎng)表的有向圖時(shí)，需統(tǒng)計(jì)各頂點(diǎn)鏈表中的結(jié)點(diǎn)數(shù)目，便可得到所有頂點(diǎn)的出度，但要獲取各頂點(diǎn)的入度則需要遍歷整個(gè)鄰接表，或者為該有向圖建立一個(gè)逆鄰接表。為了同時(shí)計(jì)算有向圖的出度和入度，本文采用將鄰接表和逆鄰接表相結(jié)合的十字鏈表，圖3的十字鏈表結(jié)構(gòu)存儲(chǔ)如圖4所示。其中，頂點(diǎn)表中的data存儲(chǔ)可唯一表示該頂點(diǎn)的信息，firstin表示入邊表頭指針，指向以該頂點(diǎn)為終點(diǎn)的邊，firstout表示出邊表頭指針，指向以該頂點(diǎn)為起點(diǎn)的邊。邊表中tailvex是指有向邊的起點(diǎn)在頂點(diǎn)表的下標(biāo)，headvex是指有向邊的終點(diǎn)在頂點(diǎn)表的下標(biāo)，headlink是指入邊表指針域，指向終點(diǎn)相同的下一條邊，taillink是指出邊表指針域，指向起點(diǎn)相同的下一條邊。

圖3 門(mén)級(jí)網(wǎng)表的有向圖模型

圖4 有向圖的十字鏈表結(jié)構(gòu)

3 硬件木馬結(jié)構(gòu)特征模型

硬件木馬的結(jié)構(gòu)千差萬(wàn)別，類(lèi)型豐富多樣，然而硬件木馬在觸發(fā)和載荷方面具有隱蔽性，在功能方面具有惡意破壞性，因此可以提取出共性特征。本文分析了硬件木馬庫(kù)Trust_Hub[10]以及現(xiàn)有文獻(xiàn)給出的多種硬件木馬，提出了FAN_IN,FF_IN,FF_OUT,DPI,DPO,MUX和INV 7種硬件木馬共性結(jié)構(gòu)特征。

(1)扇入單元特征FAN_IN。硬件木馬為了保證隱蔽性，通常會(huì)選擇多個(gè)稀有邏輯值或者狀態(tài)作為其觸發(fā)條件，保證在測(cè)試驗(yàn)證階段難以“誤觸發(fā)”，即硬件木馬的觸發(fā)邏輯輸入個(gè)數(shù)較多。圖5(a)為硬件木馬RS232-T1400的結(jié)構(gòu)，其觸發(fā)部分是一個(gè)組合比較器，當(dāng)多個(gè)條件同時(shí)滿(mǎn)足時(shí)，硬件木馬被激活，改變?cè)行盘?hào)的值。圖5(b)為圖5(a)的有向圖，觸發(fā)邏輯包含4層扇入頂點(diǎn)，且扇入單元數(shù)量大于11。本文將從輸入方向距離單元n 4層邏輯門(mén)的扇入單元總數(shù)FAN_IN作為判斷硬件木馬的結(jié)構(gòu)特征。

圖5 RS232-T1400中的硬件木馬電路及其有向圖模型

(2)扇入觸發(fā)器數(shù)FF_IN和扇出觸發(fā)器數(shù)FF_OUT。觸發(fā)器是時(shí)序電路的基本單元，由觸發(fā)器組成的狀態(tài)機(jī)的特定狀態(tài)轉(zhuǎn)移序列和計(jì)數(shù)器的計(jì)數(shù)值均可作為硬件木馬的觸發(fā)條件。圖6(a)為RS232-T1200電路中的硬件木馬電路部分，該木馬電路的觸發(fā)邏輯是一個(gè)時(shí)序比較器，當(dāng)特定狀態(tài)滿(mǎn)足時(shí)，硬件木馬被激活。觸發(fā)邏輯的觸發(fā)器單元較多，本文利用扇入觸發(fā)器數(shù)FF_IN和扇出觸發(fā)器數(shù)FF_OUT來(lái)量化觸發(fā)器單元數(shù)量。圖6(b)為RS232-T1200的有向圖，本文以輸入和輸出方向距離單元4級(jí)邏輯門(mén)的觸發(fā)器單元數(shù)目FF_IN和FF_OUT作為判斷硬件木馬的結(jié)構(gòu)特征。

圖6 RS232-T1200中的硬件木馬電路及其有向圖模型

(3)輸入拓?fù)渖疃菵PI和輸出拓?fù)渖疃菵PO。信息泄露型硬件木馬常常復(fù)用電路的輸出端來(lái)泄露母本電路內(nèi)的關(guān)鍵信息，功能型硬件木馬通常監(jiān)測(cè)母本電路的輸入端來(lái)激活特定序列?；据斎牒突据敵龌蛘呔嚯x基本輸入輸出非常近的電路節(jié)點(diǎn)可能是硬件木馬節(jié)點(diǎn)。圖7(a)為硬件木馬RS232-T1300的結(jié)構(gòu)，硬件木馬的有效載荷輸出作為母本電路的輸出?？刂颇副倦娐返妮敵觯?dāng)硬件木馬被觸發(fā)后，硬件木馬的有效載荷控制母本電路的輸出，并用來(lái)泄露母本電路的私密信息。因此，本文選擇基本輸入和輸出的邏輯單元深度DPI和DPO作為判斷硬件木馬的結(jié)構(gòu)特征。

圖7 RS232-T1300中的硬件木馬電路及其有向圖模型

(4)多路選擇器數(shù)量MUX。為了避免在測(cè)試與驗(yàn)證階段被檢測(cè)輸出，攻擊者通常會(huì)選擇特定輸入邏輯序列或者內(nèi)部狀態(tài)值作為硬件木馬的觸發(fā)條件。因此，多路選擇器在硬件木馬觸發(fā)邏輯中廣泛應(yīng)用，主要用來(lái)判斷當(dāng)前狀態(tài)是否滿(mǎn)足其觸發(fā)條件，觸發(fā)條件越苛刻，多路選擇器數(shù)量就越多。圖8(a)為硬件木馬s15850-T 100的結(jié)構(gòu)，當(dāng)輸入序列滿(mǎn)足預(yù)設(shè)值時(shí)，硬件木馬才激活，并選擇內(nèi)部信號(hào)n1936進(jìn)行輸出，從而達(dá)到泄露節(jié)點(diǎn)n1936狀態(tài)的目的。本文選擇單元n前后4級(jí)包含的多路選擇器的數(shù)量作為判斷硬件木馬的結(jié)構(gòu)特征。

圖8 s15850-T100中的硬件木馬電路及其有向圖模型

(5)反相器數(shù)量INV。對(duì)于降低性能型的硬件木馬來(lái)說(shuō)，通常選擇環(huán)形振蕩器作為硬件木馬的載荷部分。當(dāng)輸入滿(mǎn)足硬件木馬的觸發(fā)條件時(shí)，植入在關(guān)鍵路徑上的有效載荷被激活，導(dǎo)致電路出現(xiàn)時(shí)序違例情況。因此，路徑上的反相器鏈可作為硬件木馬的結(jié)構(gòu)特征。圖9(a)為s35932-T 300電路中硬件木馬結(jié)構(gòu)的載荷部分，共由20級(jí)反向器、3級(jí)數(shù)選器以及1個(gè)與門(mén)組成，圖9(b)為有向圖模型。本文將單元n前后4級(jí)所包含的反相器數(shù)量作為判斷硬件木馬的結(jié)構(gòu)特征。

圖9 s35932-T300中的硬件木馬電路及其有向圖模型

基于上述討論，本文共總結(jié)了7種和硬件木馬密切相關(guān)的結(jié)構(gòu)特征，具體描述如表1所示。

4 硬件木馬特征提取與識(shí)別算法

本文利用門(mén)級(jí)網(wǎng)表抽象化建模算法將網(wǎng)表映射為有向圖，基于表1的描述來(lái)計(jì)算各個(gè)頂點(diǎn)的硬件木馬特征值得分，形成7維特征向量。硬件木馬邏輯與母本電路邏輯的特征值存在差異，將硬件木馬的檢測(cè)問(wèn)題轉(zhuǎn)化為二分類(lèi)問(wèn)題，利用支持向量機(jī)來(lái)建立最優(yōu)的分類(lèi)平面并識(shí)別硬件木馬特征，保證木馬識(shí)別風(fēng)險(xiǎn)最小化和準(zhǔn)確率最高。然而在分類(lèi)器訓(xùn)練過(guò)程中，硬件木馬的特征集數(shù)量遠(yuǎn)遠(yuǎn)小于母本電路，這種不平衡的特征集分布很容易導(dǎo)致建立的最優(yōu)超平面并不準(zhǔn)確，導(dǎo)致分類(lèi)結(jié)果出現(xiàn)較高的誤識(shí)別率。因此，本文提出了基于SMOTEENN的硬件木馬特征擴(kuò)展算法來(lái)擴(kuò)充木馬特征集。

表1 硬件木馬結(jié)構(gòu)特征描述

4.1 基于廣度優(yōu)先搜索的硬件木馬特征得分量化算法

將待測(cè)電路網(wǎng)表轉(zhuǎn)換為有向圖模型后，依據(jù)硬件木馬特征描述符對(duì)有向圖頂點(diǎn)進(jìn)行特征提取，計(jì)算出有向圖所有頂點(diǎn)的硬件木馬特征得分，具體過(guò)程如表2所示。G為門(mén)級(jí)網(wǎng)表的有向圖，n為G中頂點(diǎn)個(gè)數(shù)，m為遍歷層數(shù)。對(duì)于第i個(gè) 頂點(diǎn)vi，利用初始化函數(shù)intialize來(lái)初始化隊(duì)列Q，入隊(duì)列函數(shù)enquene將該頂點(diǎn)放入到隊(duì)列Q中。當(dāng)Q為非空集合且滿(mǎn)足遍歷層數(shù)條件(f

表2 基于廣度優(yōu)先搜索的硬件木馬特征擴(kuò)展算法

4.2 基于SMOTEENN的硬件木馬特征擴(kuò)展算法

目前國(guó)內(nèi)外文獻(xiàn)僅公開(kāi)了幾十種類(lèi)型的硬件木馬，可建立的硬件木馬特征樣本非常有限。然而母本電路的規(guī)模龐大，特征樣本數(shù)量較多，導(dǎo)致各類(lèi)的訓(xùn)練集樣本分布不夠平衡。數(shù)據(jù)集的不平衡性可能會(huì)造成多數(shù)樣本所屬類(lèi)的過(guò)度擬合，進(jìn)而影響分類(lèi)器的性能。在硬件木馬檢測(cè)中，任何可疑節(jié)點(diǎn)都不應(yīng)該忽略，因此需要研究硬件木馬特征擴(kuò)展算法，對(duì)木馬數(shù)據(jù)集進(jìn)行過(guò)采樣來(lái)擴(kuò)充硬件木馬特征集不足的短板，避免木馬樣本學(xué)習(xí)的不足。

SMOTEENN為過(guò)采樣與欠采樣相結(jié)合的采樣技術(shù)，生成少數(shù)類(lèi)樣本后再利用數(shù)據(jù)清洗技術(shù)刪除重疊樣本，形成更利于正確分類(lèi)的平衡數(shù)據(jù)集[11]。該算法是人工少數(shù)類(lèi)過(guò)采樣法(Synthetic Minority Oversampling TEchnique,SMOTE)和最近鄰(Edited Nearest Neighbor,ENN)算法的結(jié)合，先利用SMOTE過(guò)采樣技術(shù)生成新的少數(shù)類(lèi)樣本，獲得新的數(shù)據(jù)集，對(duì)新數(shù)據(jù)集中的每一個(gè)樣本使用K近鄰法預(yù)測(cè)，若預(yù)測(cè)結(jié)果和實(shí)際類(lèi)別標(biāo)簽不同則剔除該樣本，最后形成平衡的數(shù)據(jù)集，將平衡后的數(shù)據(jù)集應(yīng)用于分類(lèi)器的訓(xùn)練，從而建立更加完善的分類(lèi)模型。因此本文采用SMOTEENN算法對(duì)數(shù)據(jù)集進(jìn)行預(yù)處理，以擴(kuò)充硬件木馬特征集。

4.3 基于SVM的硬件木馬特征識(shí)別算法

支持向量機(jī)是一種基于統(tǒng)計(jì)學(xué)習(xí)理論的有監(jiān)督機(jī)器學(xué)習(xí)算法，可以依據(jù)數(shù)據(jù)的特點(diǎn)建立自適應(yīng)的分類(lèi)超平面，相比其他算法來(lái)說(shuō)，準(zhǔn)確率更高[12,13]。因此，本文選擇SVM算法建立分類(lèi)模型，將硬件木馬的檢測(cè)問(wèn)題轉(zhuǎn)換為機(jī)器學(xué)習(xí)中的二分類(lèi)問(wèn)題，通過(guò)學(xué)習(xí)已知硬件木馬和母本電路的特征向量，建立最優(yōu)的硬件木馬分類(lèi)器，可以有效識(shí)別出硬件木馬的特征。

SVM算法分為訓(xùn)練和測(cè)試兩個(gè)過(guò)程。在訓(xùn)練過(guò)程，通過(guò)對(duì)已知硬件木馬特征庫(kù)的學(xué)習(xí)來(lái)建立分類(lèi)模型。首先，根據(jù)硬件木馬特征庫(kù)構(gòu)造特征向量集V={x1,x2,···,x k,x k+1,···,x n}，其中木馬特征向量集A={x1,x2,···,x k}， 母本電路特征向量集B={x k+1,x k+2,···,x n}。支持向量機(jī)把分類(lèi)問(wèn)題轉(zhuǎn)化為尋找最大間隔超平面，這個(gè)最優(yōu)分類(lèi)超平面可表示為

其中，所有木馬特征向量滿(mǎn)足

母本電路特征向量滿(mǎn)足

φ稱(chēng)為非線(xiàn)性不可分核函數(shù)，當(dāng)正負(fù)樣本線(xiàn)性不可分時(shí)，該函數(shù)可將輸入特征向量x映射到高維空間，重新轉(zhuǎn)變?yōu)榫€(xiàn)性可分的問(wèn)題；ω是這個(gè)超平面的法向量，b是它的偏置截距。尋找最大間隔超平面的過(guò)程即是求解式(2)和式(3)的過(guò)程，調(diào)整ω和b的值，以最大化樣本點(diǎn)到?jīng)Q策面距離。

同時(shí)，考慮到為了滿(mǎn)足個(gè)別“離群點(diǎn)”的正確分類(lèi)而對(duì)間隔距離造成的影響，本文引入了松弛變量ξ和懲罰因子C，最終轉(zhuǎn)換為對(duì)以下最優(yōu)化問(wèn)題的求解

其中，yi為特征向量xi對(duì)應(yīng)的樣本標(biāo)簽。

在測(cè)試過(guò)程中，利用訓(xùn)練得到的最優(yōu)分類(lèi)超平面來(lái)驗(yàn)證待測(cè)樣本x i的類(lèi)號(hào)f(x i)，決策函數(shù)如式(5)所示。若f(x i)為 1，則認(rèn)為待測(cè)樣本xi為硬件木馬節(jié)點(diǎn)，否則為母本電路節(jié)點(diǎn)。

5 實(shí)驗(yàn)結(jié)果與分析

為了驗(yàn)證本文方法的有效性，本文選擇Trust-Hub庫(kù)中的15種硬件木馬開(kāi)展實(shí)驗(yàn)。對(duì)該15個(gè)測(cè)試電路進(jìn)行統(tǒng)計(jì)分析，得到其電路規(guī)模以及木馬結(jié)構(gòu)和功能信息如表3所示。本文所選測(cè)試電路的規(guī)模涵蓋了幾百到幾千門(mén)，而木馬電路僅包含幾到幾十門(mén)，數(shù)據(jù)不平衡性非常嚴(yán)重，難以完全識(shí)別出所有的硬件木馬特征，因此需要研究硬件木馬特征擴(kuò)展算法來(lái)優(yōu)化分類(lèi)器模型。

表3 木馬電路的具體描述

本文的主要實(shí)現(xiàn)流程如圖10所示。首先對(duì)門(mén)級(jí)網(wǎng)表進(jìn)行分析，將電路圖抽象為有向圖模型并以十字鏈表存儲(chǔ)有向圖。其次，依據(jù)有向圖模型，提取電路的結(jié)構(gòu)特征，構(gòu)造表征木馬信號(hào)的7維特征得分值矩陣。再次，利用SMOTEENN算法平衡數(shù)據(jù)集，用平衡后的數(shù)據(jù)集訓(xùn)練SVM分類(lèi)器，建立最優(yōu)的分類(lèi)模型。最后，利用訓(xùn)練好的分類(lèi)器來(lái)驗(yàn)證待測(cè)電路是否存在硬件木馬信號(hào)列表。

圖10 基于SVM的硬件木馬識(shí)別流程

為了評(píng)估本文所提出的硬件木馬檢測(cè)方法的有效性，本文選取真正類(lèi)率(True Positive Rate,TPR)、真負(fù)類(lèi)率(True Negative Rate,TNR)和分類(lèi)準(zhǔn)確率(ACCuracy,ACC)這3個(gè)常用指標(biāo)，具體表示如式(6)、式(7)和式(8)所示[14]。其中，TP指被正確識(shí)別的木馬單元數(shù)量，TN指被正確識(shí)別的正常單元數(shù)量，F(xiàn)P指正常單元被錯(cuò)誤識(shí)別為木馬單元的數(shù)量，F(xiàn)N指木馬單元被錯(cuò)誤識(shí)別為正常單元的數(shù)量。TPR表示正類(lèi)樣本的分類(lèi)準(zhǔn)確率，即硬件木馬的檢測(cè)率，TPR越高，木馬檢測(cè)效果越好；同理，TNR表示負(fù)類(lèi)樣本的分類(lèi)準(zhǔn)確率，即正常單元的檢測(cè)率，如果TNR過(guò)低，說(shuō)明誤把大量正常單元?dú)w類(lèi)為木馬單元，導(dǎo)致誤判率高；ACC表示所有樣本的分類(lèi)準(zhǔn)確率，ACC越高，整體的分類(lèi)效果越好[15]

在訓(xùn)練SVM分類(lèi)器的過(guò)程中，本文使用的核函數(shù)是高斯核函數(shù)，該函數(shù)自帶一個(gè)參數(shù)γ,γ和懲罰因子C是需要重點(diǎn)優(yōu)化的參數(shù)，這兩個(gè)參數(shù)直接關(guān)系到分類(lèi)器的性能。遴選SVM參數(shù)是一個(gè)具有較大工作量的環(huán)節(jié)，本文按照60%/40%的比例隨機(jī)劃分為訓(xùn)練集和測(cè)試集，用訓(xùn)練出的模型對(duì)所有電路進(jìn)行測(cè)試，以TPR為目標(biāo)函數(shù)進(jìn)行參數(shù)的調(diào)節(jié)。本文分別選取12個(gè)C值和10個(gè)γ值共120個(gè)C ?γ組合共進(jìn)行120次訓(xùn)練，1800次測(cè)試，將部分結(jié)果展示如圖11所示。

圖11展示了多個(gè)電路在C和γ一方取值固定，一方變化時(shí)的實(shí)驗(yàn)結(jié)果變化規(guī)律，由圖11(a)可以看出，當(dāng)γ取值固定時(shí)，從整體上來(lái)看，C的值越大，分類(lèi)結(jié)果越好；同時(shí)由圖11(b)可以看出，當(dāng)C取值固定時(shí)，γ的值越小，分類(lèi)結(jié)果越好。為了驗(yàn)證該規(guī)律的正確性，將s15850電路的實(shí)驗(yàn)數(shù)據(jù)展示如圖12，可以得到同樣的結(jié)果：當(dāng)γ取一固定值時(shí)，橫向觀察各圖，可以看出，C的值越大，分類(lèi)結(jié)果越好；同時(shí)當(dāng)C取一固定值時(shí)，縱向觀察各圖，可以看出，γ的值越小，分類(lèi)結(jié)果越好。其中C是懲罰因子，C越高，說(shuō)明在訓(xùn)練時(shí)越不能容忍出現(xiàn)誤差，容易導(dǎo)致過(guò)擬合；γ是選擇高斯核函數(shù)作為核函數(shù)后，該函數(shù)自帶的一個(gè)參數(shù)，隱含地決定了數(shù)據(jù)映射到新的特征空間后的分布，γ值越小，支持向量越多，容易造成平滑效應(yīng)，影響測(cè)試集的準(zhǔn)確率。為了使SVM分類(lèi)模型在得到較好的分類(lèi)結(jié)果的同時(shí)具有更強(qiáng)的普適性，本文最終選取C=16,γ=0.0625作為本實(shí)驗(yàn)中SVM的訓(xùn)練參數(shù)。

圖11 不同參數(shù)下SVM分類(lèi)器的實(shí)驗(yàn)數(shù)據(jù)

圖12 s15850電路在不同參數(shù)下的實(shí)驗(yàn)結(jié)果

在完成硬件木馬特征擴(kuò)展和分類(lèi)模型參數(shù)的選取后，將本文方法應(yīng)用于測(cè)試電路進(jìn)行實(shí)驗(yàn)驗(yàn)證，該實(shí)驗(yàn)在個(gè)人筆記本電腦(Intel(R)Core(TM)i5-8265U CPU@1.60 GHz,8 GB RAM)上進(jìn)行。由于硬件木馬特征庫(kù)的建立和分類(lèi)器的訓(xùn)練均在前期準(zhǔn)備工作中完成，且后續(xù)檢測(cè)未知電路時(shí)不需重復(fù)執(zhí)行該項(xiàng)工作，因此該段時(shí)間開(kāi)銷(xiāo)不計(jì)入總的時(shí)間開(kāi)銷(xiāo)，檢測(cè)效率由待測(cè)電路的特征提取時(shí)間和分類(lèi)器的分類(lèi)時(shí)間共同決定。本實(shí)驗(yàn)中對(duì)15個(gè)測(cè)試電路進(jìn)行檢測(cè)，特征提取共用時(shí)42.6 min，分類(lèi)器分類(lèi)僅耗時(shí)4.5 s，即平均每2.845 min即可完成對(duì)一個(gè)木馬電路的檢測(cè)。最終的實(shí)驗(yàn)結(jié)果及與文獻(xiàn)[16,17]的結(jié)果比較如表4所示。

表4 本文方法實(shí)驗(yàn)結(jié)果及與現(xiàn)有方法的比較(%)

可以看出，本文方法在半數(shù)以上電路中取得了90%以上的硬件木馬檢出率，達(dá)到了很好的檢測(cè)效果。文獻(xiàn)[16,17]所提出的硬件木馬檢測(cè)方法在現(xiàn)有的基于特征識(shí)別的硬件木馬檢測(cè)方法中處于領(lǐng)先水平，本文與之相比仍具有一定的優(yōu)勢(shì)。文獻(xiàn)[16]在文獻(xiàn)[5]的基礎(chǔ)上進(jìn)行了硬件木馬特征的擴(kuò)充，形成了目前為止較為完善的硬件木馬特征集，但是卻存在冗余特征過(guò)多的問(wèn)題，平均木馬檢出率只達(dá)到68.32%。與文獻(xiàn)[16]相比，本文在小幅犧牲TNR的前提下，將平均硬件木馬檢出率提升了13.80%。文獻(xiàn)[17]同樣利用SVM算法構(gòu)造分類(lèi)模型，本文TNR和ACC的表現(xiàn)均優(yōu)于文獻(xiàn)[17]所提方法，雖然文獻(xiàn)[17]中方法的TPR高于本文，但其構(gòu)造的分類(lèi)模型在對(duì)不同電路分類(lèi)時(shí)，采用的參數(shù)C和γ是不同的，這樣做雖然可以提高實(shí)驗(yàn)結(jié)果，但對(duì)不同電路均須尋找最優(yōu)參數(shù)，時(shí)間開(kāi)銷(xiāo)較大，并且會(huì)導(dǎo)致在檢測(cè)未知電路時(shí)，沒(méi)有一組固定的參數(shù)來(lái)進(jìn)行分類(lèi)模型的訓(xùn)練，從而難以應(yīng)用到實(shí)際的硬件木馬檢測(cè)問(wèn)題中。此外，文獻(xiàn)[16,17]均未提及檢測(cè)用時(shí)，本文方法執(zhí)行一次分類(lèi)任務(wù)只需2.845 min，是一種十分高效的硬件木馬檢測(cè)方法。綜上所述，本文方法在現(xiàn)有方法基礎(chǔ)上進(jìn)一步提升了硬件木馬檢出率，檢測(cè)效率高且具有良好的實(shí)際應(yīng)用價(jià)值，是一種綜合性能更好的硬件木馬檢測(cè)方法。

6 結(jié)束語(yǔ)

本文提出一種基于有向圖結(jié)構(gòu)的電路簡(jiǎn)化分析模型，并在此基礎(chǔ)上提出了基于結(jié)構(gòu)特征的硬件木馬檢測(cè)方法。通過(guò)將電路圖抽象為有向圖，簡(jiǎn)化電路結(jié)構(gòu)分析過(guò)程，提取與硬件木馬緊密相關(guān)的7維結(jié)構(gòu)特征，利用SVM分類(lèi)器建立分類(lèi)模型實(shí)現(xiàn)硬件木馬檢測(cè)。由實(shí)驗(yàn)結(jié)果可知，本文方法在半數(shù)以上電路的TPR達(dá)到了90%以上，所有測(cè)試電路的平均TNR和ACC分別為97.25%和97.02%，實(shí)現(xiàn)了超高的準(zhǔn)確率，且檢測(cè)一個(gè)木馬電路平均僅需2.845 min，具有極高的檢測(cè)效率。與文獻(xiàn)[16]的方法相比，平均硬件木馬檢出率提高了13.80%，與文獻(xiàn)[17]的方法相比更具有實(shí)際應(yīng)用價(jià)值，是一個(gè)綜合性能更好的硬件木馬檢測(cè)方法。今后將繼續(xù)分析電路結(jié)構(gòu)，挖掘更多與硬件木馬相關(guān)的結(jié)構(gòu)特征，在現(xiàn)有基礎(chǔ)上繼續(xù)擴(kuò)充硬件木馬特征庫(kù)，進(jìn)一步提高硬件木馬檢測(cè)方法的通用性。