孫渴望 崔 琦 王思翔

基于木馬馬氏距離模版的硬件木馬檢測(cè)方法

孫渴望 崔 琦 王思翔

北京電子科技學(xué)院，北京 100070

隨著全球化分工的深化，電子設(shè)計(jì)與制造的相分離，硬件木馬已經(jīng)成為集成電路的一大新的威脅。硬件木馬的檢測(cè)也成為了當(dāng)今安全領(lǐng)域的一大研究熱點(diǎn)。近年來，各種硬件木馬檢測(cè)技術(shù)已經(jīng)有了快速的發(fā)展。目前主流的硬件木馬檢測(cè)方法是基于金片模版(golden circuit (GC))做旁路分析，檢測(cè)芯片是否含有木馬。此方法依賴金片的獲取，而金片的獲取又是十分困難的。本文參考軟件木馬檢測(cè)技術(shù)提出了一種基于硬件木馬模版的新型檢測(cè)方法。在深入研究硬件木馬旁路特征的基礎(chǔ)上，搭建了基于FPGA的加密算法實(shí)驗(yàn)平臺(tái)，引入了PCA(principal component analysis)技術(shù)對(duì)數(shù)據(jù)進(jìn)行降維處理，最后根據(jù)馬氏距離判定芯片中是否含有木馬。文章以被植入RS232串口硬件木馬的DES和AES算法為例，實(shí)施了具體實(shí)驗(yàn)。結(jié)果表明，本文提出的方法可適應(yīng)于檢測(cè)同一芯片的多種不同功能的木馬檢測(cè)。

硬件木馬;PCA;模板檢測(cè);馬氏距離

引言

硬件的安全對(duì)于任何系統(tǒng)來說都是一個(gè)必要的前提條件。并且在相當(dāng)長(zhǎng)的時(shí)間里，硬件的完整性這一問題從未被質(zhì)疑過。但隨著科技的進(jìn)步，社會(huì)分工的推進(jìn)，芯片的生產(chǎn)引入了越來越多的不可控因素，這就導(dǎo)致了硬件安全性成為系統(tǒng)安全性的根源問題。硬件木馬正是對(duì)硬件安全最主要的威脅。

硬件木馬往往尺寸極小，并且具有很強(qiáng)的偽裝性，因此對(duì)芯片硬件木馬檢測(cè)是一件極具挑戰(zhàn)性的工作。早在2007年Agrawal D，Baktir S，Karakoyyunlu D 等人就發(fā)表了名為 Trojan Detection Using IC Fingerprinting的論文，介紹了在利用IC指紋信息檢測(cè)硬件木馬的方法［1］。三年后Tehranipoor M，Koushanfar F發(fā)表了名為A survey of hardware Trojan taxonomy and detection的論文指出今天的集成電路無論在設(shè)計(jì)還是制造過程中都更容易受到硬件木馬的攻擊。該作者還提出了一種硬件木馬分類方法，并對(duì)已公布的硬件木馬檢測(cè)技術(shù)進(jìn)行了研究?？偨Y(jié)出如今比較流行的檢測(cè)方法有物理檢測(cè)、功能檢測(cè)、內(nèi)建自測(cè)試、旁路分析等［2］。2015年法國(guó)教授Julien Francq與德國(guó)科學(xué)家Florian Frisk發(fā)表了名為 Introduction to Hardware Trojan detection methods的論文，介紹了法國(guó)資助的項(xiàng)目“荷馬(HOMERE)”中硬件木馬檢測(cè)技術(shù)的最新進(jìn)展。文中指出基于芯片側(cè)信道分析的檢測(cè)方法仍是如今最主流的硬件木馬檢測(cè)方法［3］。

1 硬件木馬及其電源特征

1.1 硬件木馬

受惡意操控的硬件可稱之為硬件木馬。硬件木馬的一個(gè)重要特征是其具有潛在的破壞力，攻擊者常常通過植入后門來泄漏私密信息或者改變系統(tǒng)原有的功能，達(dá)到降低可信度甚至摧毀一個(gè)系統(tǒng)的目的［4］。和傳統(tǒng)的軟件攻擊手段相比，硬件木馬攻擊會(huì)更加的復(fù)雜，更加隱蔽，經(jīng)常需要更高的知識(shí)水平和能力，因此檢測(cè)的難度也大大增加［5］。圖1展示了硬件木馬的一般結(jié)構(gòu)組成及其功能特點(diǎn)。

1.2 硬件木馬的電源特征模型

研究表明電源不可能做到真正意義上穩(wěn)壓，負(fù)載的變化必然會(huì)對(duì)電源電壓造成一定的影響。即負(fù)載端的諧波變化會(huì)導(dǎo)致電源電壓的變化。負(fù)載的特征參數(shù)的變化與所采用的芯片，執(zhí)行的算法，植入木馬的大小和運(yùn)行時(shí)刻t構(gòu)成函數(shù)關(guān)系。其中，硬件木馬的有無、大小都直接影響了穩(wěn)壓電源的電源特征。因此可以將硬件木馬檢測(cè)問題轉(zhuǎn)變?yōu)殡娫刺卣鳈z測(cè)問題。

2 基于電源特征的硬件木馬檢測(cè)

2.1 理論基礎(chǔ)

由于負(fù)載的變化必然引起電源特征的變化。對(duì)于一個(gè)密碼芯片I，當(dāng)I執(zhí)行加密算法C時(shí)，在t時(shí)刻，進(jìn)行一次電源信號(hào)測(cè)量，得到Ut可建模為式(1):

其中Uh表示木馬電壓特征，其只與芯片I，測(cè)量次數(shù)t，電壓均值E有關(guān);E表示電壓均值，這是對(duì)芯片執(zhí)行相同運(yùn)算C若干次采集到的多組電壓軌跡取的算術(shù)平均值。Ug表示無木馬的加密電路電源信號(hào)特征。Un表示噪聲信號(hào)，其中又包括工藝噪聲與白噪聲。因此不僅與芯片I和加密算法C有關(guān)，還與時(shí)間t和測(cè)量次數(shù)有關(guān)［6］。

含有木馬和不含木馬的芯片電源特征可描繪為式(2)，式(3):

由式(2)，(3)可見，對(duì)于同樣型號(hào)和工藝的芯片，含有木馬的芯片電路與不含木馬的芯片電路的電源特征存在著一定的差別，表現(xiàn)在Us(t; I;E;C;Uh)與Ug(t;I;E;C)的差別上。這細(xì)微的差別正是由于硬件木馬的加入所引起的。而硬件木馬的電源特征并非簡(jiǎn)單的線性疊加到芯片總的電源特征中去，往往是有著2階3階，甚至更高階的函數(shù)關(guān)系。因此運(yùn)用普通的差分方法難以將二者區(qū)分開來［7］。

因此，建立硬件木馬的電源特征模板，比較待測(cè)芯片電源特征與硬件木馬的電源特征模板的關(guān)系，以此區(qū)分芯片中是否被植入木馬是個(gè)行之有效的方法。

2.2 樣本數(shù)據(jù)的采集及預(yù)處理

對(duì)待測(cè)芯片I進(jìn)行m次電源信息采樣，每次采樣點(diǎn)數(shù)為n。記做U1，U2，…，U100，每采樣100次做一次均值運(yùn)算，具體操作方法如公式(5)。

2.3 特征模板

2.3.1 建立

本文在建立硬件木馬電源特征模板的實(shí)踐中，參考了軟件木馬檢測(cè)時(shí)建立木馬特征代碼的兩點(diǎn)原則，總結(jié)出硬件木馬檢測(cè)中木馬特征選取兩個(gè)需要注意的地方:

1.木馬特征選取要具有唯一性:抽取的木馬電源特征要盡可能特殊，不可與正常的電源特征相吻合;

2.木馬特征大小要適中:建立的木馬電源特征模板大小要適中，一方面要維持特征的唯一性，另一方面又不能有太大的空間和時(shí)間開銷。

目前應(yīng)用于硬件木馬檢測(cè)的經(jīng)典降維方法有主成分分析法(PCA，)，投影尋蹤法(PP，projection pursuit)等。其中，主成分分析法(PCA)可以很好的保留矩陣的特征信息，并將其顯化，實(shí)現(xiàn)起來耗時(shí)相對(duì)較短，本文選用主成分分析法作為降維的主要方法［8］。

經(jīng)過預(yù)處理得到的m×n維硬件木馬原始樣本電源信息矩陣可定義為Bm×n，對(duì)其進(jìn)行主成分分析處理步驟如下:

Step1:計(jì)算樣本均值:

Step2:計(jì)算中心化矩陣P

Step3:計(jì)算矩陣的協(xié)方差矩陣C

Step4:計(jì)算協(xié)方差矩陣C的特征值和對(duì)應(yīng)的特征向量;

Step5:將特征值從大到小排列，并由式(9)選取前k個(gè)特征值，使其累積貢獻(xiàn)率達(dá)到85%

Step6:用這k個(gè)特征值構(gòu)成特征向量子空間K，根據(jù)Bgm=PK完成空間的特征投影。

完成以上步驟得到的Bgm就是P在K上的映射矩陣。至此，硬件木馬電源特征模板已建立完成。通過PCA算法的處理后，達(dá)到了降低數(shù)據(jù)之間相關(guān)性，降低矩陣維數(shù)，顯化硬件木馬特征信息的目的。

2.3.2 模板大小的選擇

根據(jù)建立木馬模板兩個(gè)注意點(diǎn)之二，木馬模板的選擇大小要適中。為了高效準(zhǔn)確的檢測(cè)出硬件木馬，必須選定合適大小的木馬模板。定義含有木馬的芯片信息矩陣距離模板的馬氏距離為Dt可描述為一個(gè)隨機(jī)獨(dú)立變量的正態(tài)分布均值為μ方差為σ，不含木馬的芯片信息矩陣距離模板的馬氏距離為Dg可描述為均值為α方差為δ的正態(tài)分布。根據(jù)正態(tài)分布概率密度函數(shù)［9］有:

運(yùn)用選定的模板檢測(cè)硬件木馬的成功率越高則說明木馬模板越優(yōu)異。為了描述檢測(cè)成功率，本文提出樣本區(qū)分度的概念，即二者概率分布不重疊部分概率占總概率的比重，若Ft(x)與Fg(x)相交與k點(diǎn)可建模如公式(12)，其中n為測(cè)試樣本數(shù)量［10］。兩個(gè)樣本概率分布重合的越少則說明兩者分布越離散，兩樣本分布的越離散則越有利于對(duì)硬件木馬的檢測(cè)。

在選取n=100，對(duì)不同大小的模板進(jìn)行實(shí)驗(yàn)后，得到模板大小與樣本區(qū)分度的關(guān)系圖，如圖2所示。

相應(yīng)的檢測(cè)中的耗時(shí)問題也是我們所關(guān)心的另一方面，以檢測(cè)200組數(shù)據(jù)為例繪制出不同尺寸模板在檢測(cè)中的耗時(shí)情況，如圖3所示。模板尺寸與樣本區(qū)分度及運(yùn)算耗時(shí)關(guān)系表，如表1所示。

表1 模板尺寸與樣本區(qū)分度及運(yùn)算耗時(shí)關(guān)系表

從表1中可以看出，模板尺寸越小運(yùn)算消耗的時(shí)間也越少，同時(shí)區(qū)分度也越低。模版尺寸越大則區(qū)分度越大，同時(shí)運(yùn)算消耗的實(shí)踐也越長(zhǎng)。綜合考慮區(qū)分度和時(shí)間消耗后，選取2400*800尺寸的模板最佳。

2.4 檢測(cè)模型

馬氏距離(Mahalanobis distance)由印度數(shù)學(xué)家哈拉諾比斯(P．C．Mahalanobis)提出，用以表示數(shù)據(jù)的協(xié)方差距離。相比較歐氏距離，馬氏距離有著以下三個(gè)優(yōu)點(diǎn)［11］:

(1)馬氏距離不受量綱的影響，

(2)由標(biāo)準(zhǔn)化數(shù)據(jù)和中心化數(shù)據(jù)(即原始數(shù)據(jù)與均值之差)計(jì)算出的二點(diǎn)之間的馬氏距離相同，

(3)馬氏距離還可以排除變量之間的相關(guān)性的干擾。

由于馬氏距離的眾多優(yōu)點(diǎn)，在硬件木馬的檢測(cè)上馬氏距離也得到了廣泛的應(yīng)用。

分別選取含有木馬的加密算法電路和不含木馬的加密算法電路采集到的電源信息矩陣作為訓(xùn)練矩陣Rn，Rn和木馬電源特征矩陣Bgm之間的馬氏距離定義為:

檢測(cè)時(shí)將含有木馬和不含木馬的芯片電源特征矩陣和模板進(jìn)行馬氏距離的計(jì)算，再與預(yù)先設(shè)定的閾值做比較，以此來判斷芯片是否被植入木馬。

3實(shí)驗(yàn)

3.1 木馬電路設(shè)計(jì)

實(shí)驗(yàn)選擇的帶串口通信協(xié)議RS232的加密電路作為木馬植入的對(duì)象。RS232被廣泛應(yīng)用于各種單片機(jī)通信中，有著較大的攻擊價(jià)值。將木馬植入到RS232通信協(xié)議中，并在單片機(jī)工作時(shí)長(zhǎng)期處于潛伏狀態(tài)。一旦檢測(cè)到敏感信息，便將信息竊取緩存起來，再次潛伏等待激勵(lì)信號(hào)的到來并將敏感信息發(fā)送出去。木馬本身占用資源6個(gè)邏輯門(logic elements)，相比較電路整體占用資源比例很小。并且大多數(shù)情況下，木馬處于潛伏狀態(tài)，因此，消耗功率極小，對(duì)電源影響也比較小。

3.2 實(shí)驗(yàn)平臺(tái)

本文以cycloneⅣ系列開發(fā)板為核心，泰克DPO7104C示波器為基礎(chǔ)，搭建了完整實(shí)驗(yàn)平臺(tái)。

通過JTAG下載目標(biāo)程序到開發(fā)板。示波器通道1與開發(fā)板電源正極相連接，通道2連接芯片的第100個(gè)引腳，用來接收預(yù)置在加密算法中的觸發(fā)信號(hào)。示波器通過路由與PC連接，輸出采集的數(shù)據(jù)到PC并存儲(chǔ)。

4 實(shí)驗(yàn)結(jié)果及分析

完成平臺(tái)搭建后，本文分別以DES和AES加密算法為攻擊目標(biāo)實(shí)施了具體實(shí)驗(yàn)，步驟如下:

第一步:把事先編寫好的含RS232串口通信木馬的加密算法下載到FPGA開發(fā)板中。

第二步:使用數(shù)字存儲(chǔ)式示波器泰克DPO7104C采集芯片運(yùn)行時(shí)的電源特征數(shù)據(jù)。

第三步:使用PCA算法對(duì)采集到的電源特征信息進(jìn)行預(yù)處理。

第四步:計(jì)算樣本到模版的馬氏距離。

根據(jù)計(jì)算結(jié)果，繪制不含木馬和含有木馬芯片的電源特征矩陣到木馬模板的馬氏距離Dn對(duì)比圖，得到圖5，7，9，虛線代表含有木馬的電路其電源特征距離模板的馬氏距離。為了方便分析待測(cè)樣本到模板馬氏距離的差別，用matlab求出樣本到模板的馬氏距離的概率分布函數(shù)，繪制概率分布圖如圖6，8，10所示。

隨著芯片功能從DES到AES再到DES，AES組合的變化，木馬在電路中所占用的資源比從0.81%下降到0.30%。以樣本數(shù)量選取100組為例，檢測(cè)成功率也由98.55%下降到91.69%。而當(dāng)樣本數(shù)量從100增加到200時(shí)，檢測(cè)成功率有了顯著提升。實(shí)驗(yàn)結(jié)果分析如表2所示。

表2 木馬被植入到不同加密算法中實(shí)驗(yàn)結(jié)果表

5 結(jié)論

本文提出了一種硬件木馬電源特征模版的建立方法，并利用PCA技術(shù)對(duì)數(shù)據(jù)進(jìn)行了降維處理，最后運(yùn)用待測(cè)樣本到模板的馬氏距離來判定樣本是否含有木馬。實(shí)驗(yàn)表明，運(yùn)用此方法可有效檢測(cè)出同一工藝下芯片上運(yùn)行不同加密算法如DES，AES或DES和AES的組合算法時(shí)是否被植入木馬。并且隨著樣本數(shù)量的增加檢測(cè)成功率顯著提升。本文提出的基于硬件木馬電源特征的硬件木馬檢測(cè)方法，不需要知道每一個(gè)被測(cè)芯片的標(biāo)準(zhǔn)模版信息，大大降低了檢測(cè)的工作量，提高了硬件木馬檢測(cè)的適應(yīng)性。

［1］F．Durvaux，S．Kerckhof，F(xiàn)．Regazzoni，and F．－X．Standaert，“A survey of recentresults in fpga security and intellectual property protection，”2014．

［2］R．Rad，J．Plusquellic，and M．Tehranipoor，“Sensitivity analysis to hardware trojans using power supply transient signals，”in Hardware-Oriented Security and Trust (HOST)． IEEE InternationalWorkshop on，2008．

［3］Alkabani Y， Koushanfar F． Efficient approximations for IC Trojan detection［C］// International Conference on Computer-Aided Design(ICCAD)，2009．

［4］GWONYL，KUNGHT，VLAHD．DISTROY:detecting integrated circuit trojans with compressive measurements［A］．The 6th USENIX Workshop on Hot Topics in Security (HotSec’11)［C］．San Francisco，USA，2011．

［5］Bakshi B R．Multiscale PCA with application to multivariate statistical process monitoring［J］．Aiche Journal，1998，44(7):1596－1610．

［6］Hoeffding W．A ClassofStatisticswith Asymptotically Normal Distribution［J］．Annals of Mathematical Statistics，1948，19 (3):293－325．

［7］Duffin R J，Duris C S．A convolution product fordiscrete function theory［J］． Duke Mathematical Journal，1964，31(2):199－220．

［8］Ververidis D， Kotropoulos C． Gaussian Mixture Modeling by Exploiting the Mahalanobis Distance［J］．IEEE Transactions on Signal Processing，2008，56(7):2797－2811．

Hardware Trojan Detection Method Based on Power Characteristics Template

Sun Kewang，Cui Qi，Wang Sixiang
Beijing Electronic Science and Technology Institute，Beijing 100070，China

In recent years，hardware Trojans has become a research hotspot in the security field and a variety of detection methods have been proposed as a result．However，most of them are still traditionally detecting a chip of specific function with a standard template．This method has a certain effect，but because of the weak adaptability，if the target chip is used for another function，the attacker will have to get a new corresponding standard template．This paper proposed a new method of hardware Trojan detection method based on power characteristics template．Through a deep research of the power feature based hardware Trojan detection theory，this paper further build an encryption algorithm experiment platform with a FPGA board．By using principal component analysis(PCA)technology，we firstly reduced the dimensions of the data，and then based on the Mahalanobis distance weather the hardware Trojan is contained in the chip could be detected．In this paper，we take the RS232 serial port hardware Trojan implanted in DES and AES algorithm as example to carry out the specific experiments．Results show that the proposed method can be adapted to a variety of different functional circuits of the same chip，and the success rate is high，the computation complexity is small．

Hardware Trojans;power characteristics;template detection;Mahalanobis distance

TP309.5

A

1672－464X(2016)2－58－07

(責(zé)任編輯:鞠 磊)

北京市自然科學(xué)基金(基金項(xiàng)目號(hào)4163076);北京電子科技學(xué)院基金(基金項(xiàng)目號(hào)328201505)

＊＊作者簡(jiǎn)介:孫渴望(1990－)，男(漢族)，碩士研究生，主要研究方向?yàn)樾畔踩?崔琦(1991－)，男(漢族)，碩士研究生，主要研究方向?yàn)樾畔踩?王思翔(1990－)，女(漢族)，碩士研究生，主要研究方向?yàn)樾畔踩?/p>