CN104198913A - 参数型硬件木马检测方法 - Google Patents

Abstract

参数型硬件木马检测方法，其方法包括步骤：获取待检芯片各层的芯片图像和原始设计版图，分别对芯片图像以及原始设计版图进行网格划分，并保存划分后芯片图像的第一网格的第一位置信息、原始设计版图的第二网格的第二位置信息；根据第一位置信息、第二位置信息确定第一网格与第二网格的位置对应关系，分别将各第一网格与相应的第二网格进行相似性比较得到各第一网格的特征参数；根据特征参数对各第一网格进行聚类划分得到两个网格聚类，分别根据特征参数为两个网格聚类中的第一网格分配类别标识；通过第一位置信息确定的类别标识表示有木马的相邻第一网格的数量判定待检芯片中是否含有参数型硬件木马，可以降低系统开销，且可以提高检测的准确性。

Description

参数型硬件木马检测方法

技术领域

本发明涉及集成电路检测技术领域，，特别是涉及一种参数型硬件木马检测方法。

背景技术

近年来，由于受到半导体产业全球化及成本等方面的影响，目前越来越多的集成电路(IC)设计公司选择把集成电路的制造过程外包给专门的芯片代工厂(Foundry)来完成。这种模式虽然可以减小开销，但却极大地削弱了IC设计方对于制造过程的管控能力，使得集成电路在制造阶段可能遭受对手的恶意修改，这种恶意修改也被称为“硬件木马”。硬件木马一旦被触发后，可以影响芯片的功能、降低芯片的可靠性、向对手泄露芯片上正在处理的敏感信息，这给芯片的安全性带来了极大的安全隐患。

一般来说，根据其所执行的破坏性行为，可以把硬件木马分为“功能型”和“参数型”两类。功能型硬件木马指的是往芯片中加入的一些额外的恶意电路结构，它会导致原始芯片的版图发生变化；而参数型硬件木马并不改变原始芯片的版图，它通过减窄芯片上金属互连线的宽度等手段来削弱芯片的可靠性，使其寿命变短。对于功能型硬件木马，目前国内外研究人员均提出了一些检测方法，其中包括基于逻辑测试的硬件木马检测方法和基于旁路分析的硬件木马检测方法等，但对于参数型硬件木马，目前还没有很好的方法能实现检测。由于参数型硬件木马并不改变原始芯片的版图和功能，因此具有极高的隐蔽性，导致现有的测试技术都不能直接被用于其检测，这使得参数型硬件木马的检测十分困难。

美国凯斯西储大学的Shiyanovskii等人提出可采用一种基于预先报警机制的电路延迟监测的方法来实现参数型硬件木马的检测。该技术方案需要往原始集成电路中插入额外的测试电路(如环形振荡器等)，这些测试电路把芯片上一个晶体管或若干个器件的传播延迟与一个预先确定的参考值进行比较。随着晶体管的退化，该比较的参考值也进行动态地调整。当晶体管的传播延迟超出参考值时，测试电路会给出预警信号，表明参数型硬件木马已经影响到了原始芯片的寿命，从而提醒使用人员对该芯片进行更换。该方案在芯片的使用阶段，以一种在线实时监测的方式实现参数型硬件木马的检测。

然而，对于基于预先报警机制的电路延迟监测的方法来实现参数型硬件木马的检测方式，由于在芯片的使用阶段，有其他因素可能影响晶体管的延迟(比如供电电压的减小等)，因此当该方案插入的测试电路监测到传播延迟变大后，并不能完全确定该变化是由于硬件木马而引起的，从而导致误判的可能，需要往原始集成电路中插入一些额外的测试电路，因此会导致芯片面积的增大，此外，由于测试电路本身会发生退化，这会影响木马检测的准确性。

发明内容

本发明的目的在于提供一种参数型硬件木马检测方法，该方法在不造成集成电路的面积开销的同时提高检测的准确性。

本发明的目的通过如下技术方案实现：

一种参数型硬件木马检测方法，包括如下步骤：

获取待检芯片各层的芯片图像和原始设计版图，分别对所述芯片图像以及所述原始设计版图进行网格划分，并保存划分后所述芯片图像的各第一网格的第一位置信息、所述原始设计版图的各第二网格的第二位置信息；

根据所述第一位置信息、所述第二位置信息分别确定各所述第一网格与各所述第二网格的位置对应关系，根据所述位置对应关系分别将各所述第一网格与相应的第二网格进行相似性比较，得到各所述第一网格的特征参数；

根据所述特征参数对各所述第一网格进行聚类划分得到两个网格聚类，分别根据所述特征参数为两个网格聚类中的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马；

通过所述第一位置信息以及所述类别标识确定类别标识表示有木马的相邻第一网格的数量，根据所述数量判定所述待检芯片中是否含有参数型硬件木马。

一种参数型硬件木马检测系统，其包括：

网格划分模块，用于获取待检芯片各层的芯片图像和原始设计版图，分别对所述芯片图像以及所述原始设计版图进行网格划分，并保存划分后所述芯片图像的各第一网格的第一位置信息、所述原始设计版图的各第二网格的第二位置信息；

处理模块，用于根据所述第一位置信息、所述第二位置信息分别确定各所述第一网格与各所述第二网格的位置对应关系，根据所述位置对应关系分别将各所述第一网格与相应的第二网格进行相似性比较，得到各所述第一网格的特征参数；

聚类划分模块，用于根据所述特征参数对各所述第一网格进行聚类划分得到两个网格聚类，分别根据所述特征参数为两个网格聚类中的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马；

判定模块，用于通过所述第一位置信息以及所述类别标识确定类别标识表示有木马的相邻第一网格的数量，根据所述数量判定所述待检芯片中是否含有参数型硬件木马。

依据上述本发明的方案，其是获取待检芯片各层的芯片图像和原始设计版图，分别对该芯片图像以及原始设计版图进行网格划分，并保存划分后该芯片图像的各第一网格的第一位置信息、该原始设计版图的各第二网格的第二位置信息，基于该第一位置信息及第二位置信息分别确定各第一网格与各第二网格的位置对应关系，根据该位置对应关系分别将各第一网格与相应的第二网格进行相似性比较，得到各第一网格的特征参数；基于该特征参数对各所述第一网格进行聚类划分得到两个网格聚类，分别根据所述特征参数为两个网格聚类中的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马，通过所述第一位置信息以及所述类别标识确定类别标识表示有木马的相邻第一网格的数量，根据所述数量判定所述待检芯片中是否含有参数型硬件木马，由于不需要往原始集成电路中插入额外的测试电路，可以降低系统开销，且可以提高检测的准确性。

附图说明

图1为本发明的参数型硬件木马检测方法实施例的流程示意图；

图2为对芯片图像进行网格划分的示意图；

图3为一网格的原始设计版图及实际版图的对比图；

图4为图1中的步骤S103在其中一个实施例中的细化流程示意图；

图5为本发明的参数型硬件木马检测系统的一个实施例的流程示意图；

图6为本发明的参数型硬件木马检测系统的另一个实施例的流程示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

在下述说明中，首先针对参数型硬件木马检测方法的实施例进行说明，再对本发明的参数型硬件木马检测系统的各实施例进行说明。

参见图1所示，为本发明的参数型硬件木马检测方法实施例的流程示意图。如图1所示，本实施例中的参数型硬件木马检测方法包括如下步骤：

步骤S101：获取待检芯片各层的芯片图像和原始设计版图，分别对所述芯片图像以及所述原始设计版图进行网格划分，并保存划分后所述芯片图像的各第一网格的第一位置信息、所述原始设计版图的各第二网格的第二位置信息；

本实施例中的参数型硬件木马检测方法属于破坏性的检测方法，一般为了得到待检芯片各层的芯片图像，需要对待检芯片进行开封、去层等操作，在其中一个实施例中，所述芯片图像的获得方式可以是去除所述待检芯片的封装得到裸片，逐层对所述裸片进行去层处理，采集各层的图，以下对该过程进行详细阐述：

为了获取芯片每层的芯片图像，首先要把裸片从封装中取出，该过程也称为封装去除，以塑料封装为例，通常情况下可采用浓硫酸或浓硝酸等试剂进行封装去除；然后要进行去层处理，即利用化学反应或反应离子刻蚀的方法每次去除裸片的一层，每当暴露出裸片的一层后，都要利用扫描电子显微镜在一定放大倍数下进行该层的显微芯片图像采集，或者通过照相进行拍照，随后要进行同层芯片图像的无缝拼接，形成该解剖层次的整层芯片图像，同时还要把两个相邻层次的整层芯片图像进行邻层芯片图像对准，最终得到待检芯片各层芯片图像，可以将这些芯片图像存储到数据库中，则可以从该数据库中获取待检芯片各层的芯片图像；

在对所述芯片图像以及所述原始设计版图进行网格划分是，网格划分尺寸、划分方式，可以根据实际需要进行设置，但所述芯片图像以及所述原始设计版图的划分尺寸、划分方式一般应该相同，需要分别对每层的芯片图像进行网格划分，且需要分别对每层的原始设计版图进行网格划分，划分后同一层的网格互不重叠，参见图2所示，为对芯片图像进行网格划分的示意图；

为了区分所述芯片图像以及所述原始设计版图划分后的网格，将对所述芯片图像划分后的网格称之为第一网格，将对原始设计版图划分后的网格称之为第二网格；

步骤S102：根据所述第一位置信息、所述第二位置信息分别确定各所述第一网格与各所述第二网格的位置对应关系，根据所述位置对应关系分别将各所述第一网格与相应的第二网格进行相似性比较，得到各所述第一网格的特征参数；

对于划分好的每个第一网格，都需要进行特征提取，首先，根据所述第一位置信息、所述第二位置信息分别确定各所述第一网格与各所述第二网格的位置对应关系，在选定一个第一网格后，可以根据该第一网格的第一位置信息确定该第一网格所在的层以及所在层的位置坐标，再根据第二位置信息确定相应层层的相应位置坐标的第二网格，每一网格都可以按照这种方式确定与其对应的第二网格，即位置对应关系；

其次，根据所述位置对应关系分别将各所述第一网格与相应的第二网格进行相似性比较，得到各所述第一网格的特征参数，确定各所述第一网格的特征参数的方式可以多种多样的，以下详细阐释两种方式：

方式一：根据所述位置对应关系分别将各所述第一网格与相应的第二网格的面积重叠部分/像素重叠部分，确定各所述第一网格的特征参数；

如图3所示，为某一网格的原始设计版图及实际版图的对比图，图中的Y代表待检芯片的芯片图像，z代表待检芯片的原始设计版图，此外，由于芯片制造过程中存在工艺扰动，因此实际制造出来的图形不能与z完全一致，而是存在一定的图形缩放现象，而z_in和z_out分别代表z的缩放可容忍下限和上限，它们的值可通过工艺仿真获得，代表z的补集，即该网格中位于z外部的所有像素点；

具体地，可以通过如下的公式(1)～公式(3)确定各第一网格的特征参数：

$f_1=\frac{A(Y\∩Z_{\mathrm{in}})}{A\left(Z_{\mathrm{in}}\right)}---\left(1\right)$

$f_2=1-\frac{A(Y\∩\stackrel{\‾}{Z_{\mathrm{out}}})}{A\left(Y\right)}---\left(2\right)$

$f_3=1-\frac{A(Y\∩\stackrel{\‾}{Z_{\mathrm{out}}})}{A\left(\stackrel{\‾}{Z_{\mathrm{out}}}\right)}---\left(3\right)$

方式二：根据所述位置对应关系分别将各所述第一网格的重心与该相应的第二网格的重心，确定各所述第一网格的特征参数；

该方式主要是根据第一网格的重心与该相应的第二网格的重心的差别确定各所述第一网格的特征参数，具体地，可以通过如下的公式(4)、公式(5)确定各第一网格的特征参数：

$f_4=\frac{|\mathrm{CX}\left(Z\right)-\mathrm{CX}\left(Y\right)|}{a}---\left(4\right)$

$f_5=\frac{|\mathrm{CY}\left(Z\right)-\mathrm{CY}\left(Y\right)|}{b}---\left(5\right)$

其中，CX(z)、CX(Y)分别表示第二网格的重心、第一网格的重心的x轴的坐标，CY(z)、CY(Y)分别表示第二网格的重心、第一网格的重心的y轴的坐标，x轴、y轴为同一坐标系下的相互垂直的两个坐标轴，x轴沿第一网格的长度方向，y轴沿第一网格的高度方向，a表示第一网格的长度，b表示第一网格的高度；

可以同时通过上述方式一、方式二确定各所述第一网格的五个特征参数，可以根据上述五个特征参数构成一个特征向量f；

步骤S103：根据所述特征参数对各所述第一网格进行聚类划分得到两个网格聚类，分别根据所述特征参数为两个网格聚类中的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马；

在本步骤中，可以通过聚类算法对各第一网格进行聚类划分得到两个网格聚类，然后为其中一个网格聚类分配表示有木马的类别标识，为另一个网格聚类分配表示无木马的类别标识；

在其中一个实施例中，如图4所示，本步骤可以具体包括如下步骤：

步骤S201：将各所述第一网格随机的归为第一类、第二类，并分别计算所述第一类的重心、所述第二类的重心，进入步骤S202；

由于预先并不知道哪个网格中存在硬件木马，因此首先可以将全部网格随机地分为两类；

步骤S202：分别判断各所述第一网格与第一类的重心的距离是否小于与第二类的重心的距离，若是，则将第一网格归为第一网格聚类，若否，则将第一网格归为第二网格聚类，进入步骤S203；

其中，第一网格与第一类的重心的距离一般指第一网格的重心与第一类的重心的距离，第一网格与第二类的重心的距离一般指第一网格的重心与第二类的重心的距离，分别判断各所述第一网格与第一类的重心的距离是否小于与第二类的重心的距离，若是，则将第一网格归为第一网格聚类，若否，则将第一网格归为第二网格聚类，也就是说，与第一类的重心近的第一网格归为第一网格聚类，与第二类的重心近的第一网格归为第二网格聚类；

步骤S203：分别根据所述特征参数计算当前的第一网格聚类和第二网格聚类中的第一网格的特征参数的均值和误差平方和，进入步骤S204；

若N_i为第i网格聚类Γ_i中第一网格的数目，而每个第一网格的特征向量以f来表示(f包含上述的5个特征参数)，则第一网格聚类和第二网格聚类中的第一网格的特征参数的均值可以通过如下的公式(6)确定；

$m_i=\frac{1}{N_i}\underset{f\∈{\mathrm{\Γ}}_i}{\mathrm{\Σ}}f---\left(6\right)$

其中，m_i表示均值；

第一网格聚类和第二网格聚类中的第一网格的特征参数的误差平方和可以通过如下的公式(7)确定；

$J_e=\underset{i=1}{\overset{2}{\mathrm{\Σ}}}\underset{f\∈{\mathrm{\Γ}}_i}{\mathrm{\Σ}}{\left|\right|f-m_i\left|\right|}^2---\left(7\right)$

其中，J_e表示误差平方和；

步骤S204：判断是否已连续N次后的误差平方和不变，其中，N为预设的迭代阈值，若否，进入步骤S205，若是，进入步骤S206；

步骤S205：任意从第一网格聚类或第二网格聚类中取一个第一网格，计算当前取出的第一网格的隶属度，若该隶属度大于已计算的第一网格的隶属度的最小值，则将当前取出的第一网格从该第一网格当前所在的网格聚类移动到另一网格聚类，返回所述步骤S203；

第一网格的隶属度可以通过如下的公式(8)、公式(9)确定；

${\mathrm{\ρ}}_j=\frac{N_j}{N_j+1}{\left|\right|f-m_j\left|\right|}^2,j\≠i---\left(8\right)$

${\mathrm{\ρ}}_j=\frac{N_i}{N_i+1}{\left|\right|f-m_i\left|\right|}^2,j=i---\left(9\right)$

其中，ρ_j表示第一网格的隶属度，若当前计算出的隶属度大于已计算的第一网格的隶属度的最小值，则将当前取出的第一网格从该第一网格当前所在的网格聚类移动到另一网格聚类，即若当前取出的第一网格在第一网格聚类，则将该第一网格从第一网格聚类移动到第二网格聚类；

经过本步骤的聚类优化后，每个网格聚类的第一网格的特征参数的均值和误差平方和都可能发生变化，因此需要返回步骤S203重新进行计算；

步骤S206：分别根据所述特征参数为当前的第一网格聚类和当前的第二网格聚类的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马；

由于特征参数表征了第一网格与相应的第二网格的偏离程度，则偏离程度大的第一网格可以被认为有木马，因此，可以分别根据所述特征参数为当前的第一网格聚类和当前的第二网格聚类的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马，另一个网格聚类中的第一网格分配的类别标识表示无木马；

需要说明的是，进行聚类划分不限于此实施例中给出的方式，例如，还可以通过其它非监督模式识别中的算法对网格进行分类，比如基于模型的方法、模糊聚类方法、分级聚类方法、自组织映射神经网络方法等；

步骤S104：通过所述第一位置信息以及所述类别标识确定类别标识表示有木马的相邻第一网格的数量，根据所述数量判定所述待检芯片中是否含有参数型硬件木马；

通过比较待检芯片中相邻第一网格的类别标号，可以最终对该待检芯片是否包含参数型硬件木马进行判定，当待测芯片中一些稀疏的第一网格被分配的类别标识表示有木马，该待检芯片并不会被判定为包含木马，一般，只有在至少有M个相邻的第一网格的类别标识表示有木马时，该待检芯片才会被判定为含有参数型硬件木马；为此，在其中一个实施例中，可以判断所述数量是否大于预设的有木马阈值，若是，则判定所述待检芯片中含有数型硬件木马，其中，所述相邻包括位于不同层内的相邻以及位于同一层内的相邻，有木马阈值即前述的M，具体数值可以根据芯片的面积、以及网格划分尺寸确定；

同时，还可以在判定为待检芯片中含有参数型硬件木马时，根据第一位置信息确定木马位置，例如，木马在哪一层的哪些网格。

据此，依据上述本实施例中的方案，其是获取待检芯片各层的芯片图像和原始设计版图，分别对该芯片图像以及原始设计版图进行网格划分，并保存划分后该芯片图像的各第一网格的第一位置信息、该原始设计版图的各第二网格的第二位置信息，基于该第一位置信息及第二位置信息分别确定各第一网格与各第二网格的位置对应关系，根据该位置对应关系分别将各第一网格与相应的第二网格进行相似性比较，得到各第一网格的特征参数；基于该特征参数对各所述第一网格进行聚类划分得到两个网格聚类，分别根据所述特征参数为两个网格聚类中的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马，通过所述第一位置信息以及所述类别标识确定类别标识表示有木马的相邻第一网格的数量，根据所述数量判定所述待检芯片中是否含有参数型硬件木马，由于不需要在设计阶段往原始集成电路中插入额外的测试电路，因此不会造成面积的开销，同时也避免了由于测试电路本身发生的退化而影响木马检测的准确性，也根据本发明的方案可以确定参数型硬件木马位于待检芯片的哪一层的哪些网格中即可以判断出参数型硬件木马在待检芯片中的位置，从而辅助检测人员对硬件木马进行定位。

根据上述本发明的参数型硬件木马检测方法，本发明还提供一种参数型硬件木马检测系统，以下就本发明的参数型硬件木马检测系统的实施例进行详细说明。图5中示出了本发明的参数型硬件木马检测系统的实施例的结构示意图。为了便于说明，在图5中只示出了与本发明相关的部分。

如图5所示，本实施例中的参数型硬件木马检测系统，包括网格划分模块301、处理模块302、聚类划分模块303、判定模块304，其中：

网格划分模块301，用于获取待检芯片各层的芯片图像和原始设计版图，分别对所述芯片图像以及所述原始设计版图进行网格划分，并保存划分后所述芯片图像的各第一网格的第一位置信息、所述原始设计版图的各第二网格的第二位置信息；

处理模块302，用于根据所述第一位置信息、所述第二位置信息分别确定各所述第一网格与各所述第二网格的位置对应关系，根据所述位置对应关系分别将各所述第一网格与相应的第二网格进行相似性比较，得到各所述第一网格的特征参数；

聚类划分模块303，用于根据所述特征参数对各所述第一网格进行聚类划分得到两个网格聚类，分别根据所述特征参数为两个网格聚类中的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马；

判定模块304，用于通过所述第一位置信息以及所述类别标识确定类别标识表示有木马的相邻第一网格的数量，根据所述数量判定所述待检芯片中是否含有参数型硬件木马。

在其中一个实施例中，所述芯片图像的获得方式为：去除所述待检芯片的封装得到裸片，逐层对所述裸片进行去层处理，采集各层的芯片图像。

在其中一个实施例中，处理模块302可以根据所述位置对应关系分别将各所述第一网格与相应的第二网格的面积重叠部分/像素重叠部分，确定各所述第一网格的特征参数，或者/和处理模块302可以根据所述位置对应关系分别将各所述第一网格的重心与该相应的第二网格的重心，确定各所述第一网格的特征参数。

在其中一个实施例中，如图6所示，聚类划分模块303可以包括：

初始划分单元401，用于将各所述第一网格随机的归为第一类、第二类，并分别计算所述第一类的重心、所述第二类的重心，分别判断各所述第一网格与第一类的重心的距离是否小于与第二类的重心的距离，若是，则将第一网格归为第一网格聚类，若否，则将第一网格归为第二网格聚类；

计算单元402，用于分别根据所述特征参数计算当前的第一网格聚类和第二网格聚类中的第一网格的特征参数的均值和误差平方和；

判断单元403，用于判断是否已连续N次后的误差平方和不变，其中，N为预设的迭代阈值；

聚类划分单元404，用于在判断单元403的判定结果为否时，任意从第一网格聚类或第二网格聚类中取一个第一网格，计算当前取出的第一网格的隶属度，若该隶属度大于已计算的第一网格的隶属度的最小值，则将当前取出的第一网格从该第一网格当前所在的网格聚类移动到另一网格聚类，向计算单元402发送计算指令；

分配单元405，用于在判断单元403的判定结果为是时，分别根据所述特征参数为当前的第一网格聚类和当前的第二网格聚类分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马。

在其中一个实施例中，判定模块304判断所述数量是否大于预设的有木马阈值，若是，则判定所述待检芯片中含有数型硬件木马，其中，所述相邻包括位于不同层内的相邻以及位于同一层内的相邻。

本发明的参数型硬件木马检测系统与本发明的参数型硬件木马检测方法一一对应，在上述参数型硬件木马检测方法的实施例阐述的技术特征及其有益效果均适用于参数型硬件木马检测系统的实施例中，特此声明。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种参数型硬件木马检测方法，其特征在于，包括如下步骤：

获取待检芯片各层的芯片图像和原始设计版图，分别对所述芯片图像以及所述原始设计版图进行网格划分，并保存划分后所述芯片图像的各第一网格的第一位置信息、所述原始设计版图的各第二网格的第二位置信息；

根据所述第一位置信息、所述第二位置信息分别确定各所述第一网格与各所述第二网格的位置对应关系，根据所述位置对应关系分别将各所述第一网格与相应的第二网格进行相似性比较，得到各所述第一网格的特征参数；

根据所述特征参数对各所述第一网格进行聚类划分得到两个网格聚类，分别根据所述特征参数为两个网格聚类中的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马；

通过所述第一位置信息以及所述类别标识确定类别标识表示有木马的相邻第一网格的数量，根据所述数量判定所述待检芯片中是否含有参数型硬件木马。

2.根据权利要求1所述的参数型硬件木马检测方法，其特征在于，所述芯片图像通过如下方式获得：

去除所述待检芯片的封装得到裸片，逐层对所述裸片进行去层处理，采集各层的芯片图像。

3.根据权利要求1所述的参数型硬件木马检测方法，其特征在于，所述根据所述位置对应关系分别将各所述第一网格与相应的第二网格进行相似性比较，得到各所述第一网格的特征参数包括步骤：

根据所述位置对应关系分别将各所述第一网格与相应的第二网格的面积重叠部分/像素重叠部分，确定各所述第一网格的特征参数；

或者/和

根据所述位置对应关系分别将各所述第一网格的重心与该相应的第二网格的重心，确定各所述第一网格的特征参数。

4.根据权利要求1所述的参数型硬件木马检测方法，其特征在于，所述根据所述特征参数对各所述第一网格进行聚类划分得到两个网格聚类，分别根据所述特征参数为两个网格聚类中的第一网格分配类别标识包括步骤：

将各所述第一网格随机的归为第一类、第二类，并分别计算所述第一类的重心、所述第二类的重心；

分别判断各所述第一网格与第一类的重心的距离是否小于与第二类的重心的距离，若是，则将第一网格归为第一网格聚类，若否，则将第一网格归为第二网格聚类；

分别根据所述特征参数计算当前的第一网格聚类和第二网格聚类中的第一网格的特征参数的均值和误差平方和；

判断是否已连续N次后的误差平方和不变，其中，N为预设的迭代阈值；

若否，则任意从第一网格聚类或第二网格聚类中取一个第一网格，计算当前取出的第一网格的隶属度，若该隶属度大于已计算的第一网格的隶属度的最小值，则将当前取出的第一网格从该第一网格当前所在的网格聚类移动到另一网格聚类，返回所述分别根据所述特征参数计算当前的第一网格聚类和第二网格聚类中的第一网格的特征参数的均值和误差平方和的步骤；

若是，则分别根据所述特征参数为当前的第一网格聚类和当前的第二网格聚类的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马。

5.根据权利要求1所述的参数型硬件木马检测方法，其特征在于，所述根据所述数量判定所述待检芯片中是否含有参数型硬件木马包括步骤：

判断所述数量是否大于预设的有木马阈值，若是，则判定所述待检芯片中含有数型硬件木马，其中，所述相邻包括位于不同层内的相邻以及位于同一层内的相邻。

6.一种参数型硬件木马检测系统，其特征在于，包括如下步骤：

网格划分模块，用于获取待检芯片各层的芯片图像和原始设计版图，分别对所述芯片图像以及所述原始设计版图进行网格划分，并保存划分后所述芯片图像的各第一网格的第一位置信息、所述原始设计版图的各第二网格的第二位置信息；

处理模块，用于根据所述第一位置信息、所述第二位置信息分别确定各所述第一网格与各所述第二网格的位置对应关系，根据所述位置对应关系分别将各所述第一网格与相应的第二网格进行相似性比较，得到各所述第一网格的特征参数；

聚类划分模块，用于根据所述特征参数对各所述第一网格进行聚类划分得到两个网格聚类，分别根据所述特征参数为两个网格聚类中的第一网格分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马；

判定模块，用于通过所述第一位置信息以及所述类别标识确定类别标识表示有木马的相邻第一网格的数量，根据所述数量判定所述待检芯片中是否含有参数型硬件木马。

7.根据权利要求6所述的参数型硬件木马检测系统，其特征在于，所述芯片图像的获得方式为：去除所述待检芯片的封装得到裸片，逐层对所述裸片进行去层处理，采集各层的芯片图像。

8.根据权利要求6所述的参数型硬件木马检测系统，其特征在于：

所述处理模块根据所述位置对应关系分别将各所述第一网格与相应的第二网格的面积重叠部分/像素重叠部分，确定各所述第一网格的特征参数；

或者/和

所述处理模块根据所述位置对应关系分别将各所述第一网格的重心与该相应的第二网格的重心，确定各所述第一网格的特征参数。

9.根据权利要求6所述的参数型硬件木马检测系统，其特征在于，所述聚类划分模块包括：

初始划分单元，用于将各所述第一网格随机的归为第一类、第二类，并分别计算所述第一类的重心、所述第二类的重心，分别判断各所述第一网格与第一类的重心的距离是否小于与第二类的重心的距离，若是，则将第一网格归为第一网格聚类，若否，则将第一网格归为第二网格聚类；

计算单元，用于分别根据所述特征参数计算当前的第一网格聚类和第二网格聚类中的第一网格的特征参数的均值和误差平方和；

判断单元，用于判断是否已连续N次后的误差平方和不变，其中，N为预设的迭代阈值；

聚类划分单元，用于在所述判断单元的判定结果为否时，任意从第一网格聚类或第二网格聚类中取一个第一网格，计算当前取出的第一网格的隶属度，若该隶属度大于已计算的第一网格的隶属度的最小值，则将当前取出的第一网格从该第一网格当前所在的网格聚类移动到另一网格聚类；

分配单元，用于在所述判断单元的判定结果为是时，分别根据所述特征参数为当前的第一网格聚类和当前的第二网格聚类分配类别标识，其中，一个网格聚类中的第一网格分配的类别标识表示有木马。

10.根据权利要求6所述的参数型硬件木马检测系统，其特征在于：

所述判定模块判断所述数量是否大于预设的有木马阈值，若是，则判定所述待检芯片中含有数型硬件木马，其中，所述相邻包括位于不同层内的相邻以及位于同一层内的相邻。