一种基于条件随机场模型的指令型硬件木马检测方法
【技术领域】
[0001] 本发明涉及一种基于条件随机场模型的指令型硬件木马检测方法。
【背景技术】
[0002] 近年来发生的"斯诺登棱镜门"和"伊朗震网"等事件表明集成电路内的硬件木马 可以作为一种武器来进行信息战,网络战,甚至物理摧毁军事装备与关键设施,严重威胁着 国家安全。针对利比亚、叙利亚战争中多起披露的军用雷达失灵事件,各方普遍怀疑CPU内 部存在能够对CPU进行远程控制的后门漏洞。因此采取有效措施来对集成电路内的硬件木 马进行有效识别,保证集成电路的安全可信。
[0003] 国内外对硬件木马检测的研究都是针对纯硬件的木马检测方法,目前主要有破坏 性检测,系统运行检测,逻辑测试和旁路分析四种。其中研究最多的就是基于旁路分析的 硬件木马检测技术。旁路分析是利用芯片工作时的旁路信息(如电磁辐射,电流或者电路 延时等信息)来对木马进行检测。其原理是因为电路中植入的硬件木马会对芯片的一些旁 路信号,如电流,频率或路径延时产生影响,因此通过观察芯片的旁路信号并与原始芯片的 旁路信息作比较,进而检测出芯片中是否有硬件木马的存在。对电路进行基于旁路分析的 硬件木马检测的最大优点是可以使硬件木马不被触发的情形下被检测出来,但是其也有显 著的缺点,即当待测电路的规模很大,电路内部被植入的硬件木马的规模很小,一些旁路信 息,比如电流和路径延时,其变化幅度极小。考虑到测量过程中引入的噪声,以及芯片制造 过程中由于工艺漂移带来的噪声,这种极小的旁路信号变化将无法被实际测量出来或者即 使被测量出来也难以确定时由于硬件木马引起的,还是由于测量噪声,工艺漂移噪声引起 的。
[0004] 但对于CPU、SOC等电路内部是否存在隐藏指令这一类固定型的硬件木马的研究 基本处于空白状态,并且由于这类隐藏指令型硬件木马需要由软件控制来触发,因为传统 的如基于旁路分析检测的技术,无法适用于这类硬件木马的检测,因此需要有全新的检测 方法来专门应对CPU、SOC等电路内部指令型硬件木马的检测。
【发明内容】
[0005] 针对上述技术问题,本发明所要解决的技术问题是提供一种基于条件随机场模型 的指令型硬件木马检测方法,能够针对CPU、SoC等电路内部的指令型硬件木马实现快速检 测,有效提高了工作效率。
[0006] 本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种基于条件随 机场模型的指令型硬件木马检测方法,根据已知类别指令集,采用条件随机场模型,针对未 知类别指令集进行检测,判断未知类别指令集中的指令是否为木马指令;其中,已知类别指 令集包括已知的木马指令和已知的非木马指令;所述检测方法包括如下步骤:
[0007] 步骤001.构建用于指令标注的标注集,标注集包含至少两个特征标签,其中一个 特征标签为木马指令标签,其对应的特征值表示指令为木马指令或非木马指令;
[0008] 步骤002.分别针对已知类别指令集和未知类别指令集进行分段,并根据标注集 分别进行指令标注,获得对应于已知类别指令集的训练指令集,以及对应于未知类别指令 集的测试指令集;
[0009] 步骤003.设置与训练指令集相对应的条件随机场模板,并结合条件随机场方法, 针对训练指令集进行训练,获得用于检测指令是否为木马的木马指令检测模型;
[0010] 步骤004.采用条件随机场方法,结合木马指令检测模型,针对测试指令集进行检 测,判断其中的指令是否为木马指令,即判断未知类别指令集中的指令是否为木马指令。 [0011] 作为本发明的一种优选技术方案:所述步骤〇〇2包括如下步骤:
[0012] 步骤00201.分别针对已知类别指令集和未知类别指令集进行分段,获得分别对 应于已知类别指令集的各个段指令,以及分别对应于未知类别指令集的各个段指令,其中, 段指令的长度为预设个数指令位长度的整数倍;
[0013] 步骤00202.将已知类别指令集所对应的各个段指令,按已知类别指令集中的指 令顺序排成一列,一个段指令对应于一行;然后,根据所述标注集,分别针对该各个段指令, 在段指令所在行上,添加与段指令相对应特征标签所对应的特征值,实现针对各个段指令 的指令标注,构成对应于已知类别指令集的训练指令集;
[0014] 同时,将未知类别指令集所对应的各个段指令,按未知类别指令集中的指令顺序 排成一列,一个段指令对应于一行;然后,根据所述标注集,分别针对该各个段指令,在段指 令所在行上,添加与段指令相对应特征标签所对应的特征值,实现针对各个段指令的指令 标注,构成对应于未知类别指令集的测试指令集。
[0015] 作为本发明的一种优选技术方案:所述步骤003中,所述条件随机场模板中包 括与所述训练指令集中行结构相对应的各行,条件随机场模板中的各行上分别设置宏% X [row, col],分别确定了训练指令集中与之相对应的段指令,及其指令标注的特征值,其 中,row表示训练指令集中与其所在条件随机场模板中的行相对应、距离当前位置的相对 行,col表示row对应行上的绝对列。
[0016] 作为本发明的一种优选技术方案:所述步骤004中,采用条件随机场方法,结合木 马指令检测模型,针对测试指令集进行检测,获得对应于测试指令集的测试指令检验集,其 中,测试指令检验集相较于测试指令集多出一列,该列为对段指令检测得到的木马指令标 签的特征值,对应于测试指令集中各行的段指令,用于判断所在行的段指令是否为木马指 令。
[0017] 作为本发明的一种优选技术方案:所述步骤00201中,所述段指令的长度为4个指 令位长度的整数倍。
[0018] 本发明所述一种基于条件随机场模型的硬件指令木马检测方法采用以上技术方 案与现有技术相比,具有以下技术效果:本发明设计的基于条件随机场模型的硬件指令木 马检测方法,针对CPU、SoC等电路内部指令型硬件木马,通过构建指令特征标签和标注已 有的木马指令和非木马指令,寻找木马指令的特征函数来预测指令是否为木马指令,相对 于传统在芯片上检测硬件木马的方法,大大缩短了试验时间,能够快速有效的检测出硬件 指令木马,保证了工作效率。
【附图说明】
[0019] 图1是本发明设计基于条件随机场模型的硬件指令木马检测方法的流程框架图。
【具体实施方式】
[0020] 下面结合说明书附图针对本发明的【具体实施方式】作进一步详细的说明。
[0021] 现在的CPU体系中,指令是重要的组成部分,用户对CPU的各种操作,都是通过指 令来完成的。由于当前在嵌入式领域使用较为广泛的CPU如PowerPC,ARM等授权型CPU内 核,其指令集都是由国外公司开发,对于是否存在不在指令列表中的隐藏指令,无从得知, 也缺乏相应的检测手段来识别其内部是否存在有隐藏指令触发的某种后门功能。一旦其存 在隐藏指令,并且为攻击者所知,则攻击者就可以利用这些隐藏指令来取得芯片的控制权 从而完成对电路或者系统的攻击。由于CPU硬件木马可以通过改变CPU内部电路结构或增 加 CPU内部电路的方式来植入,其触发除了依赖芯片内部状态以外,主要依赖外部的输入 信号,所以从指令入手研究CPU硬件木马具有一定的可行性和现实意义。
[0022] 基于上述情形,本发明提供了一种基于条件随机场模型(Conditional Random Field,CRF)的硬件指令木马检测方法,通过木马指令和非木马指令组成的已知类别指令 集,预测未知类别指令集中指令是否为木马指令。如图1所示,本发明所设计一种基于条件 随机场模型的硬件指令木马检测方法在实际应用过程当中,根据已知类别指令集,采用条 件随机场模型,针对未知类别指令集进行检测,判断未知类别指令集中的指令是否为木马 指令;其中,已知类别指令集包括已知的木马指令和已知的非木马指令;所述检测方法包 括如下步骤:
[0023] 步骤001