针对IP软核的多维分层式硬件木马评估方法

本发明涉及芯片安全检测，具体涉及一种针对ip软核的多维分层式硬件木马评估方法。

背景技术：

1、近年来，从应用软件到操作系统，再到芯片，黑客在电子系统方面的渗透日趋广泛，对安全的威胁也正呈指数级增长；除了应用层和操作系统中的病毒与恶意软件之外，大量隐藏在底层芯片设计中的硬件木马，尤其是全球分工细化的今天，大量非可控第三方ip软核的使用才会给用户带来真正灾难性的安全问题，云计算和物联网的普及更是急速放大了这种影响，因此，对ip软核硬件木马的检测技术成为一个新的研究热点。现有硬件木马的检测方法主要集中在以下两个方面：一是集中在rtl级代码综合形成网表之前，侧重于代码审查，相关研究有代码覆盖率自检分析、翻转率自检分析方法等，但此类方案对测试激励要求较高，且无法检测加密后ip软核内部信号翻转情况，存在无法普适的问题；另一种主要集中在流片后芯片侧信道硬件木马检测的扩展应用，大多通过测量功耗、时延等侧信道信息进行识别，但这些方法都需要基准数据，相关人工智能的检测方法也需要大量测试数据训练，实际条件下基准数据的噪声干扰很大，测试精度和可信度有待进一步研究提升。

2、目前关于ip软核中硬件木马识别的研究大多针对某一具体类型，如加密类/泄露类等，或者某一常用功能体，如加法器/rsa算法等，识别过程中只考虑一种表现特征，且无法对加密ip软核进行检测，在大规模第三方ip软核中，代码混淆等新技术可以改变木马代码的表达方式，如拆分监视计数器、改变状态机编码方式等，进一步增加了木马代码的识别难度，且在rtl级层面无法实现加密ip软核的硬件木马检测，还没有形成一套完备且可靠的针对加密/非加密ip软核中硬件木马检测方法，给当前芯片安全自主可控带来隐患。

技术实现思路

1、本发明提出了一种针对ip软核的多维分层式硬件木马评估方法，以解决在rtl级层面无法实现加密ip软核的硬件木马检测，还没有形成一套完备且可靠的针对加密/非加密ip软核中硬件木马检测方法的技术问题。

2、为解决上述技术问题，本发明提供了一种针对ip软核的多维分层式硬件木马评估方法，包括以下步骤：

3、步骤s1：提取硬件木马的数据，并进行特征提取，以构建木马多维特征库；

4、步骤s2：对待检测ip软核进行功能完整性分析，以识别可能存在木马的第一模块；对于未能发现异常的模块，当所述待检测ip软核为加密状态时，在fpga中进行验证，并通过fpga逆向提取的方法获得等效的rtl级代码；

5、步骤s3：以所述rtl级代码各个模块为节点，并以各个模块之间的调用关系为权值，建立信息流图；对所述信息流图进行特征提取并与所述木马多维特征库进行比对，得到可能存在木马的第二模块；对所述信息流图进行分析，所述信息流图中调用小于设定阈值的模块、孤立节点的模块和孤立节点相邻的模块为可能存在木马的第三模块；

6、步骤s4：对所述第一模块、第二模块和第三模块进行分析，计算代码覆盖率、信号翻转率、信号与时钟延迟异常、功耗异常和版图分块异常，并进行综合评估以定位所述待检测ip软核中存在木马的模块。

7、优选地，步骤s1中进行特征提取的方法包括以下步骤：

8、步骤s11：提取所有训练样本的行为特征bc＝{bc1,bc2，...,bci}，统计各行为特征bci在硬件木马程序t中出现的频率及在合法程序n中出现的频率

9、步骤s12：计算各行为特征的总出现频率均值e(bci)：

10、

11、步骤s13：计算各行为特征的类间频率均方差：

12、

13、步骤s14：按照均方差大小排序，选取前15个组成模糊特征集，即木马多维特征库。

14、优选地，步骤s4中所述代码覆盖率包括声明覆盖率、路径覆盖率、状态机覆盖率、触发覆盖率和表达式覆盖率。

15、优选地，所述代码覆盖率的计算方法包括：通过测试程序ise组找到不执行的程序段；根据反向网表的分析结果与对程序段的采集情况添加测试程序组，以增加代码覆盖率；进行仿真测试后得到代码覆盖率f(n)。

16、优选地，步骤s4中所述信号翻转率的计算方法包括：对所述rtl级代码进行综合后得到电路的门级网表，对所述门级网表施加随机激励得到信号翻转率z(n)。

17、优选地，步骤s4中所述信号与时钟延迟异常的计算方法包括：在所述待检测ip软核的寄存器与寄存器之间加入影子寄存器，所述影子寄存器的工作时钟clk2，与所述待检测ip软核的工作时钟clk1频率相同，clk2与clk1相比有一个负的相移，比较每一个时钟周期内寄存器与影子寄存器的值，得到信号与时钟延迟异常s(n)。

18、优选地，步骤s4中通过主成分分析pca计算所述功耗，包括以下步骤：

19、步骤s401：基于参照软核构建原始功耗数据矩阵：

20、

21、式中，n表示样本数量，p表示每个样本的采样点数量；

22、步骤s402：对原始功耗数据矩阵x的p个向量x1，…，xp进行线性组合，表示为：

23、

24、式中，app表示线性系数；

25、简写为：

26、fi＝a1ixi+a2ix2+…+apixp i＝1,…,p

27、

28、式中，a＝(a1,a2,…,ap)′，x＝(x1,x2,…,xp)′；

29、步骤s403：使a'x方差最大化，进行特征提取；

30、步骤s404：基于所述特征提取的结果，将所述待检测ip软核与参照软核在维度空间上的分布进行对比，得到功耗异常g(n)。

31、优选地，步骤s4中所述版图分块异常的计算方法包括：将所述待检测ip软核的fpga的电路版图与不含硬件木马的fpga电路版图特征库中的数据进行比较分析，得到版图分块b(n)。

32、优选地，步骤s4中进行综合评估的方法包括以下步骤：

33、步骤s411：计算参照软核的代码覆盖率fc(n)、信号翻转率zc(n)、信号与时钟延迟异常sc(n)、功耗异常gc(n)和版图分块异常bc(n)，并通过以下公式计算参照异常值ec：

34、ec＝fc(n)*w1+zc(n)*w2+sc(n)*w3+gc(n)*w4+bc(n)*w5

35、式中，wi表示权重；

36、步骤s412：通过步骤s411中的公式计算所述待检测ip软核的异常值et；

37、步骤s413：计算异常值et与参照异常值ec的偏差值u，当u设定阈值时，则认定对应模块存在木马。

38、优选地，步骤s413中，所述偏差值u的计算公式为：

39、

40、本发明的有益效果至少包括：本发明通过木马多维特征库、rtl级代码和信息流图的构建，并进行分析，对异常代码模块进行初步的定位，减少后期检测量，增加了工作效率，降低了检测成本，同时将加密的软核转化为rtl级代码，也可以对其进行正常的评估，整体方案上存在评估维度全、定位精度高和适用面广等优点，整体评估流程和计算难度更为全面，结果可信度更高。