CN107545194A - 片上网络中应对硬件木马的检测及防御方法 - Google Patents
片上网络中应对硬件木马的检测及防御方法 Download PDFInfo
- Publication number
- CN107545194A CN107545194A CN201710647912.1A CN201710647912A CN107545194A CN 107545194 A CN107545194 A CN 107545194A CN 201710647912 A CN201710647912 A CN 201710647912A CN 107545194 A CN107545194 A CN 107545194A
- Authority
- CN
- China
- Prior art keywords
- node
- detection
- network
- chip
- hardware trojan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种片上网络中应对硬件木马的检测及防御方法,其中片上网络中应对硬件木马的检测方法包括:使用检测请求包对路径进行检测;使用检测请求包对硬件木马进行定位。片上网络中应对硬件木马的防御方法包括:使用最小路由算法绕过硬件木马;使用转向模型预防死锁。本发明能够降低片上网络中硬件木马造成的丢包问题。
Description
技术领域
本发明属于集成电路技术领域,特别地,涉及多核片上系统设计中的片上网络,具体地,涉及片上网络中应对硬件木马的检测及防御方法。
背景技术
在数据中心、移动计算之类的系统中,一个十分突出的挑战是信息安全。为了满足高计算能力的性能需求,这些系统使用多核芯片作为它们的构建模块。多核芯片依赖于片上网络(Network-on-Chip,NoC)作为其的底层的通信工具。
在现在的多核芯片中,安全性成为一个非常关键的挑战。硬件木马(hardwareTrojan,HT)对多核芯片构成严重的威胁,能导致芯片发生故障或泄露敏感的信息。硬件木马可以通过在芯片设计过程中嵌入一个恶意电路来注入到芯片之中。为了缩短上市时间和减少设计开销,现在的多核芯片集成了许多不同的第三方(third party intellectualproperty,3PIP)组件,而这些组件中可能包含有硬件木马。
深坑/黑洞拒绝服务攻击是针对片上网络的灾难性的攻击之一,这种攻击通过恶意节点试图使预期用户的片上网络资源是不可用的。在黑洞攻击中,硬件木马被注入到路由器中,使数据包不被转发到原始的目的地,相反地,他们被丢弃或转发到其他恶意节点。在深坑攻击中,在自适应路由下恶意节点通过假装拥有很多空闲缓冲区来吸引附近节点的数据包。
发明内容
本发明的目的是针对现有技术中的缺点和不足,提出一种片上网络中应对硬件木马的检测及防御方法。
本发明的目的可以通过采取如下技术方案达到:
一种片上网络中应对硬件木马的检测及防御方法,所述的方法包括检测步骤和防御步骤,其中,所述的检测步骤包括路径检测子步骤和节点定位子步骤,所述的路径检测子步骤具体如下:
全局管理者向可疑节点发送检测请求包;可疑节点收到检测请求包后回复全局管理者;已回复路径上的节点标记为无木马节点;
所述的节点定位子步骤具体如下:
如果全局节点未收到可疑节点的回复,逐个向到该可以节点的路径上的节点发送检测请求包;
若发现节点未回复,则标记为含木马节点;
其中,所述的防御步骤具体如下:
路由器使用非最小路由算法处理数据包使其绕过含木马节点,同时使用转向模型预防死锁;
非最小路由算法使用寄存器记录四个输出端口的对应节点是否含木马;
根据计算结果选择无木马节点对应的输出端口。
进一步地,所述的可疑节点的选取依赖于片上网络所使用的路由算法决定,选取为被篡改数据包在路由过程中经过的节点。
进一步地,每一次探测出恶意木马植入的节点位置,该位置都会被广播至每一个节点,每个节点相应的路由器通过接收的广播更新本节点的相邻恶意节点列表。
进一步地,所述的检测请求包由普通数据包使用循环冗余校验在数据包的每一帧尾部添加校验码形成。
本发明相对于现有技术具有如下的优点及效果:
在检测的可疑节点足够的情况下,该检测方法能够完全检测出所有的硬件木马;相对于其他的实时检测方法,该检测方法可以选择在片上网络空闲时执行,消耗较少的延迟;该防御方法使用简单的绕路算法,在保证路径安全的情况下同时只占用较少的能耗。
附图说明
图1是检测方法中的路径检测场景图;
图2是检测方法中的木马定位场景图;
图3是防御方法中绕过含木马节点的场景图;
图4是片上网络中应对硬件木马的检测及防御方法的流程步骤图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
针对植入到路由器篡改数据包的硬件木马,本实施例提出一种片上网络中应对硬件木马的检测及防御方法,其中,
检测步骤:发送数据包的源节点会在发出数据包之前使用循环冗余校验在数据包的每一帧尾部添加校验码。当数据包到达目标节点后,目标节点通过检查校验码来判断该数据包在路由过程中是否被篡改。一旦发现篡改,该目的节点将向片上网络中所有的“可疑节点”发出一个重发请求。“可疑节点”的选取依赖于片上网络所使用的具体路由算法,一般为被篡改数据包在路由过程中经过的节点。每一个“可疑节点”会发送一个目的地为向它发出重发请求的节点的数据包,同时重发的数据包格式与检测到被篡改的数据包格式相同。收到这些重发的数据包的节点将依次检测每个数据包是否被篡改,并根据具体使用的路由算法确定植入了木马的节点位置。
防御步骤:每一个片上网络的路由器会维护一个相邻恶意节点列表,这个表记录了这个路由器的北,西,南,东四个方向的下游路由器是否是植入了木马。每一次探测出恶意木马植入的节点位置,该位置都会被广播至每一个节点,每个节点相应的路由器通过这些广播更新自身的相邻恶意节点列表。当路由器计算一个数据包的输出端口时,它会检查该输出端口是否对应一个恶意节点,如果对应恶意节点,路由器将会为数据包重新选择输出端口。通过这个机制,新的数据包可以避免经过被植入木马的节点,继而防止数据包被篡改。
实施例二
本实施例在2D-mesh网络中为全局管理者增加检测请求包功能并为网络增加检测协议。本实施例修改网络路由算法为非最小路由算法。这里以3x3 2D-mesh网络为例来阐释本实施例。
本实施例的路径检测流程如图1所示,全局管理者G选择节点3和节点4作为可疑节点,然后向它们发送检测请求包;节点4收到请求包并回复全局管理者G;全局管理者G收到回复,标记节点3和节点6为无木马节点。
全局管理者G未收到可疑节点4的回复,对硬件木马进行精确定位,流程如图2所示,全局管理者G发现到可疑节点4的检测请求包丢失,则先向路径上的可疑节点8发送检测请求包(路径标记为①)。如果节点8没有回复,则标记节点8为恶意节点。否则,全局管理者G向路径上的下一个可疑节点7发送检测请求包,查看节点7是否回复(路径标记为②)。
本实施例的非最小路由防御流程如图3所示,由节点1发送到节点9的数据包在使用正常路由得情况下经过含木马节点3,使用非最小路由算法,在节点2中,路由器对初步结果节点3进行验证,读取木马寄存器发现节点3为含木马节点,舍弃初步结果重新计算新出口节点5,最后,数据包经过1-2-5-6-9的路径到达目的地节点9。该算法使用北最后转向模型,该例中禁止北-东转向,如禁止路径为4-1-2的情况。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (4)
1.一种片上网络中应对硬件木马的检测及防御方法,其特征在于,所述的方法包括检测步骤和防御步骤,其中,所述的检测步骤包括路径检测子步骤和节点定位子步骤,所述的路径检测子步骤具体如下:
全局管理者向可疑节点发送检测请求包;可疑节点收到检测请求包后回复全局管理者;已回复路径上的节点标记为无木马节点;
所述的节点定位子步骤具体如下:
如果全局节点未收到可疑节点的回复,逐个向到该可以节点的路径上的节点发送检测请求包;
若发现节点未回复,则标记为含木马节点;
其中,所述的防御步骤具体如下:
路由器使用非最小路由算法处理数据包使其绕过含木马节点,同时使用转向模型预防死锁;
非最小路由算法使用寄存器记录四个输出端口的对应节点是否含木马;
根据计算结果选择无木马节点对应的输出端口。
2.根据权利要求1所述的片上网络中应对硬件木马的检测及防御方法,其特征在于,所述的可疑节点的选取依赖于片上网络所使用的路由算法决定,选取为被篡改数据包在路由过程中经过的节点。
3.根据权利要求1所述的片上网络中应对硬件木马的检测及防御方法,其特征在于,每一次探测出恶意木马植入的节点位置,该位置都会被广播至每一个节点,每个节点相应的路由器通过接收的广播更新本节点的相邻恶意节点列表。
4.根据权利要求1所述的片上网络中应对硬件木马的检测及防御方法,其特征在于,所述的检测请求包由普通数据包使用循环冗余校验在数据包的每一帧尾部添加校验码形成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710647912.1A CN107545194B (zh) | 2017-08-01 | 2017-08-01 | 片上网络中应对硬件木马的检测及防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710647912.1A CN107545194B (zh) | 2017-08-01 | 2017-08-01 | 片上网络中应对硬件木马的检测及防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107545194A true CN107545194A (zh) | 2018-01-05 |
CN107545194B CN107545194B (zh) | 2019-07-16 |
Family
ID=60971305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710647912.1A Active CN107545194B (zh) | 2017-08-01 | 2017-08-01 | 片上网络中应对硬件木马的检测及防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107545194B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110287734A (zh) * | 2019-07-01 | 2019-09-27 | Oppo广东移动通信有限公司 | 安全通信节点的设置方法、装置、终端及存储介质 |
CN111143847A (zh) * | 2019-12-30 | 2020-05-12 | 华南理工大学 | 一种基于概率的轻量的数据包篡改木马检测方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102289614A (zh) * | 2010-06-18 | 2011-12-21 | 三星Sds株式会社 | 反恶意软件系统及其操作方法 |
CN102546406A (zh) * | 2011-12-28 | 2012-07-04 | 龙芯中科技术有限公司 | 片上网络路由集中控制系统和装置及自适应路由控制方法 |
CN102662144A (zh) * | 2012-03-30 | 2012-09-12 | 北京大学 | 一种基于活性测度的硬件木马检测方法 |
CN102831349A (zh) * | 2012-08-23 | 2012-12-19 | 武汉大学 | 一种硬件木马检测的特征值处理方法 |
CN104239616A (zh) * | 2014-09-02 | 2014-12-24 | 工业和信息化部电子第五研究所 | 集成电路的设计方法及硬件木马检测方法 |
CN104615950A (zh) * | 2015-03-02 | 2015-05-13 | 中国电子科技集团公司第五十八研究所 | 能检测极小硬件木马的电路设计方法及检测方法 |
CN105138919A (zh) * | 2015-09-21 | 2015-12-09 | 中国电子科技集团公司第五十八研究所 | 一种基于条件随机场模型的指令型硬件木马检测方法 |
CN105247532A (zh) * | 2013-03-18 | 2016-01-13 | 纽约市哥伦比亚大学理事会 | 使用硬件特征的无监督的基于异常的恶意软件检测 |
CN106407810A (zh) * | 2016-09-27 | 2017-02-15 | 中国电子科技集团公司第五十八研究所 | 一种基于递归下降算法的rtl级硬件木马检测方法 |
-
2017
- 2017-08-01 CN CN201710647912.1A patent/CN107545194B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102289614A (zh) * | 2010-06-18 | 2011-12-21 | 三星Sds株式会社 | 反恶意软件系统及其操作方法 |
CN102546406A (zh) * | 2011-12-28 | 2012-07-04 | 龙芯中科技术有限公司 | 片上网络路由集中控制系统和装置及自适应路由控制方法 |
CN102662144A (zh) * | 2012-03-30 | 2012-09-12 | 北京大学 | 一种基于活性测度的硬件木马检测方法 |
CN102831349A (zh) * | 2012-08-23 | 2012-12-19 | 武汉大学 | 一种硬件木马检测的特征值处理方法 |
CN105247532A (zh) * | 2013-03-18 | 2016-01-13 | 纽约市哥伦比亚大学理事会 | 使用硬件特征的无监督的基于异常的恶意软件检测 |
CN104239616A (zh) * | 2014-09-02 | 2014-12-24 | 工业和信息化部电子第五研究所 | 集成电路的设计方法及硬件木马检测方法 |
CN104615950A (zh) * | 2015-03-02 | 2015-05-13 | 中国电子科技集团公司第五十八研究所 | 能检测极小硬件木马的电路设计方法及检测方法 |
CN105138919A (zh) * | 2015-09-21 | 2015-12-09 | 中国电子科技集团公司第五十八研究所 | 一种基于条件随机场模型的指令型硬件木马检测方法 |
CN106407810A (zh) * | 2016-09-27 | 2017-02-15 | 中国电子科技集团公司第五十八研究所 | 一种基于递归下降算法的rtl级硬件木马检测方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110287734A (zh) * | 2019-07-01 | 2019-09-27 | Oppo广东移动通信有限公司 | 安全通信节点的设置方法、装置、终端及存储介质 |
CN111143847A (zh) * | 2019-12-30 | 2020-05-12 | 华南理工大学 | 一种基于概率的轻量的数据包篡改木马检测方法 |
CN111143847B (zh) * | 2019-12-30 | 2023-04-21 | 华南理工大学 | 一种基于概率的轻量的数据包篡改木马检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107545194B (zh) | 2019-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7555774B2 (en) | Inline intrusion detection using a single physical port | |
WO2003015374A1 (en) | Controlled information flow between communities via a firewall | |
CN104283882B (zh) | 一种路由器的智能安全防护方法 | |
US10587514B1 (en) | Filtering control plane decision requests for forwarding network packets | |
CN108243143A (zh) | 一种基于web代理的网闸穿透方法及系统 | |
WO2005114947A1 (en) | Firewall system | |
CN109831390A (zh) | 报文转发控制方法及装置 | |
US20020075877A1 (en) | Community separation control in a multi-community node | |
CN100592711C (zh) | 用于包交换控制的集成电路和方法 | |
CN107545194B (zh) | 片上网络中应对硬件木马的检测及防御方法 | |
US7248582B2 (en) | Method and system for labeling data in a communications system | |
CN107370743B (zh) | 针对众核芯片上篡改数据包的恶意木马的检测及防御方法 | |
CN105591967B (zh) | 一种数据传输方法和装置 | |
Clayton | Anonymity and traceability in cyberspace | |
US20090296727A1 (en) | Method and Apparatus to Count MAC Moves at Line Rate | |
US7562389B1 (en) | Method and system for network security | |
US7778250B2 (en) | Method and apparatus for securing a layer II bridging switch/switch for subscriber aggregation | |
US20020078215A1 (en) | Community access control in a multi-community node | |
US10298606B2 (en) | Apparatus, system, and method for accelerating security inspections using inline pattern matching | |
CN110247924A (zh) | 基于物理传输的双向传输及控制系统和数据传输方法 | |
CN1822565A (zh) | 具有mac表溢出保护的网络 | |
Kannan et al. | A resource perspective to wireless sensor network security | |
Niari et al. | Verification of OSPF vulnerabilities by colored petri net | |
US8037520B2 (en) | Communications systems firewall | |
Kavisankar et al. | A pioneer scheme in the detection and defense of DrDoS attack involving spoofed flooding packets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |