>[0067] U14: % x[-l, 1]/% x[0, 1]
[0068] U15: % x[0, 1]/% x[l, 1]
[0069] U16: % x[l, 1]/% x[2, 1]
[0070] U20: % x[-l, 2]
[0071] U21: % x[0, 2]
[0072] U22: % x[l, 2]
[0073] U23: % x[2, 2]
[0074] U24: % x[-l, 2]/% x[0, 2]
[0075] U25: % x[0, 2]/% x[l, 2]
[0076] U26: % x[l, 2]/% x[2, 2]
[0077] U30: % x[-l, 1]/% x[0, 1]/% x[l, 1]
[0078] U31: % x[0, 1]/% x[l, 1]/% x[2, 1]
[0079] U32: % x[-l, 2]/% x[0, 21]/% x[l, 2]
[0080] U33: % x[0, 2]/% x[l, 2]/% x[2, 2]
[0081] 当这里与训练指令集相对应的条件随机场模板的第一个标识为U时,为unigram feature的模板,当给出一个模板时,条件随机场模型方法(CRF)会自动生成一个特征函数 集合,模型训练的参数就是各个特征函数的权重,如U02: % χ[1,0]会自动生成一个特征函 数集合(funcL …funcN):
[0082] fund = if (output = S and feature = 〃U02:00〃) return I else return 0
[0083] func2 = if(output = M and feature = "U02:00")return I else return 0
[0084] func3 = if (output = E and feature = 〃U02:00〃)return I else return 0
[0085] func4 = if (output = Null and feature = 〃U02:00〃) return I else return 0
[0086] …
[0087] funcX = if (output = S and feature = 〃U02:0c〃)return I else return 0
[0088] funcY = if (output = Null and feature = 〃U02:0c〃) return I else return 0
[0089] …
[0090] -个模板生成的特征函数的个数总数为L*N,其中L是输出的类别数,N是根据给 定的模板扩展出的unique string的数目。
[0091] 接着结合条件随机场方法(CRF),针对训练指令集进行训练,获得用于检测指令是 否为木马的木马指令检测模型。
[0092] 最后按照步骤004所述的操作方法,采用条件随机场方法,结合木马指令检测模 型,针对测试指令集进行检测,获得对应于测试指令集的测试指令检验集,其中,测试指令 检验集相较于测试指令集多出一列,该列为针对段指令检测得到的木马指令标签的特征 值,对应于测试指令集中各行的段指令,用于判断所在行的段指令是否为木马指令,进而根 据该列木马指令标签的特征值判断其所对应的段指令是否为木马指令,即判断未知类别指 令集中的指令是否为木马指令。
[0093] 上面结合说明书附图针对本发明的实施方式作了详细说明,但是本发明并不限于 上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨 的前提下做出各种变化。
【主权项】
1. 一种基于条件随机场模型的指令型硬件木马检测方法,其特征在于,根据已知类别 指令集,采用条件随机场模型,针对未知类别指令集进行检测,判断未知类别指令集中的指 令是否为木马指令;其中,已知类别指令集包括已知的木马指令和已知的非木马指令;所 述检测方法包括如下步骤: 步骤001.构建用于指令标注的标注集,标注集包含至少两个特征标签,其中一个特 征标签为木马指令标签,其对应的特征值表示指令为木马指令或非木马指令; 步骤002.分别针对已知类别指令集和未知类别指令集进行分段,并根据标注集分别 进行指令标注,获得对应于已知类别指令集的训练指令集,以及对应于未知类别指令集的 测试指令集; 步骤003.设置与训练指令集相对应的条件随机场模板,并结合条件随机场方法,针对 训练指令集进行训练,获得用于检测指令是否为木马的木马指令检测模型; 步骤004.采用条件随机场方法,结合木马指令检测模型,针对测试指令集进行检测, 判断其中的指令是否为木马指令,即判断未知类别指令集中的指令是否为木马指令。2. 根据权利要求1所述一种基于条件随机场模型的指令型硬件木马检测方法,其特征 在于,所述步骤002包括如下步骤: 步骤00201.分别针对已知类别指令集和未知类别指令集进行分段,获得分别对应于 已知类别指令集的各个段指令,以及分别对应于未知类别指令集的各个段指令,其中,段指 令的长度为预设个数指令位长度的整数倍; 步骤00202.将已知类别指令集所对应的各个段指令,按已知类别指令集中的指令顺 序排成一列,一个段指令对应于一行;然后,根据所述标注集,分别针对该各个段指令,在段 指令所在行上,添加与段指令相对应特征标签所对应的特征值,实现针对各个段指令的指 令标注,构成对应于已知类别指令集的训练指令集; 同时,将未知类别指令集所对应的各个段指令,按未知类别指令集中的指令顺序排成 一列,一个段指令对应于一行;然后,根据所述标注集,分别针对该各个段指令,在段指令所 在行上,添加与段指令相对应特征标签所对应的特征值,实现针对各个段指令的指令标注, 构成对应于未知类别指令集的测试指令集。3. 根据权利要求2所述一种基于条件随机场模型的指令型硬件木马检测方法,其特征 在于:所述步骤003中,所述条件随机场模板中包括与所述训练指令集中行结构相对应的 各行,条件随机场模板中的各行上分别设置宏%x[row,col],分别确定了训练指令集中与之 相对应的段指令,及其指令标注的特征值,其中,row表示训练指令集中与其所在条件随机 场模板中的行相对应、距离当前位置的相对行,col表示row对应行上的绝对列。4. 根据权利要求3所述一种基于条件随机场模型的指令型硬件木马检测方法,其特征 在于:所述步骤004中,采用条件随机场方法,结合木马指令检测模型,针对测试指令集进 行检测,获得对应于测试指令集的测试指令检验集,其中,测试指令检验集相较于测试指令 集多出一列,该列为对段指令检测得到的木马指令标签的特征值,对应于测试指令集中各 行的段指令,用于判断所在行的段指令是否为木马指令。5. 根据权利要求2所述一种基于条件随机场模型的硬件指令木马检测方法,其特征在 于:所述步骤00201中,所述段指令的长度为4个指令位长度的整数倍。
【专利摘要】本发明涉及一种基于条件随机场模型的指令型硬件木马检测方法,针对CPU、SoC等电路内部指令型硬件木马,通过构建指令特征标签和标注已有的木马指令和非木马指令,寻找木马指令的特征函数来预测指令是否为木马指令,相对于传统的在芯片上检测硬件木马的方法,大大缩短了试验时间,能够快速有效的检测出硬件指令木马,保证了工作效率。
【IPC分类】G06F21/56
【公开号】CN105138919
【申请号】CN201510605436
【发明人】王丽娟, 张 荣, 周昱, 杨露
【申请人】中国电子科技集团公司第五十八研究所
【公开日】2015年12月9日
【申请日】2015年9月21日