CN110287735B - 基于芯片网表特征的木马感染电路识别方法 - Google Patents

Abstract

本发明实施例提供的一种基于芯片网表特征的木马感染电路识别方法，涉及硬件安全技术领域，该方法利用芯片网表的SCOAP度量值和k‑means++聚类网络，初步检测出可疑节点集，然后结合芯片网表的拓扑结构，进一步修正可疑节点集，其后，通过节点可达分析，能够还原同一木马触发模块的所有节点，并且完备地检测出宿主电路中所有被木马感染的电路。

Description

基于芯片网表特征的木马感染电路识别方法

技术领域

本发明涉及硬件安全技术领域，具体而言，涉及一种基于芯片网表特征的木马感染电路识别方法。

背景技术

集成芯片中的硬件木马指的是：芯片在设计、制造过程中被第三方恶意修改的模块或者附加电路。这种恶意电路会降低性能、泄露信息或者改变芯片功能，其引发的安全问题将造成财产损失、隐私泄露，甚至威胁国家信息安全，因此硬件木马检测与识别的研究非常有意义。

目前硬件木马的检测方法主要分为3类：逆向工程法、边信道信号分析法、逻辑测试法。

逆向工程法是一种具有破坏性的硬件木马检测方式。该方法需要将待检测的芯片拆开，再使用特定的仪器对芯片走线以及元件进行扫描，还原出物理芯片的电路图，最后将还原的电路图和原版图对比，二者之间的不同之处即为硬件木马。Bao等人使用逆向工程法，通过逆向后的单层成像图与可信任的成像图之间的差值来检测芯片中的硬件木马，该方法虽然有很好的检测效果，但缺点明显，如时间消耗过长、仪器成本很高、对芯片不可逆转的破坏等。所以该方法只能适用于对同一批次的大量芯片进行抽样检查的场景。

边信道信号分析法通过检测异常的边信道信息来检测硬件木马，这些信息包括功耗、延时、电压、电流、温度、电磁等。Alkabani等人通过检测IC静态电流的异常情况判断芯片是否被木马入侵，Jin等人通过使用路径延迟指纹检测硬件木马，Hassan Salmani等人通过分析芯片电流检测和孤立硬件木马，同时通过放大硬件木马活动时的功耗提高木马检测效率。由于硬件木马产生的异常信息较弱，所以边信道信号容易淹没在芯片工作时的各种噪声中，甚至被工艺误差所掩盖，所以很难提高边信道信号分析法的木马检测精度。

逻辑测试法通过向芯片输入随机测试矢量来激活掩藏在芯片中的木马。随着集成电路规模的增大，遍历芯片的所有测试矢量是非常困难的，所以该方法陷入了数据爆炸的瓶颈中，如何快速找到能有效检测出硬件木马的测试矢量成为关键。

发明内容

本发明实施例在于提供一种基于芯片网表特征的木马感染电路识别方法，其能够缓解上述问题。

为了缓解上述的问题；本发明实施例采取的技术方案如下：

本发明实施例提供的一种基于芯片网表特征的木马感染电路识别方法，该方法包括：

步骤A1：计算芯片网表中每个节点的SCOAP度量值，将其作为节点的特征向量；

步骤A2：将节点的特征向量输入k-means++聚类网络中，得到可疑节点集；

步骤A3：判断可疑节点集是否为空，如果是，则芯片为非木马芯片，识别过程结束，如果不是，则芯片为木马芯片，继续执行步骤A4；

步骤A4：提取芯片网表的拓扑结构；

步骤A5：修正可疑节点集；

步骤A6：还原硬件木马触发电路；

步骤A7：根据木马感染源识别木马感染电路，识别过程结束。

在本发明实施例中，该方法利用芯片网表的SCOAP度量值和k-means++聚类网络，初步检测出可疑节点集，然后结合芯片网表的拓扑结构，进一步修正可疑节点集，其后，通过节点可达分析，能够还原同一木马触发模块的所有节点，并且完备地检测出宿主电路中所有被木马感染的电路。

可选地，在步骤A1中，节点的特征向量的获取方法是：

获取芯片网表节点集N＝{n₁,n₂,…,n_M}，n表示芯片网表中的节点，其下标为节点序号，M表示芯片网表中节点的总数，各节点的SCOAP度量值包括0可控制性值CC0(n_i)、1可控制性值CC1(n_i)、可观测性值CO(n_i)，其中i∈[1,M]，将每个节点的SCOAP度量值作为该节点的特征向量：

(CC0(n_i),CC1(n_i),CO(n_i)),n_i∈N (1)

可选地，k-means++聚类网络中，将节点的特征向量输入k-means++聚类网络中的步骤包括：

步骤B1：节点预筛选

将N＝{n₁,n₂,…,n_M}中的节点分为两类，该两类节点分别构成芯片网表节点集N₁和芯片网表节点集N₂，其中N₁由可观测并且是可控制的节点组成，N₂由不可观测或者不可控制的节点组成，然后直接将N₂中的节点加入到可疑节点集S中，只将N₁作为k-means++聚类网络的输入样本；

步骤B2：获取输入特征向量

将N₁中每个节点的0可控制性值CC0(n_i)和1可控制性值CC1(n_i)合并为一个特征元素CC(n_i)，计算公式如下：

将CC(n_i)作为节点n_i的可控制性度量值，CO(n_i)作为节点n_i的可观测性度量值，得到k-means++聚类网络的输入特征向量集D：

D＝{(CC(n_i),CO(n_i)),n_i∈N₁} (3)

节点n_i和特征向量d_i(d_i∈D)是一一对应的关系；

步骤B3：初始化簇中心，其包括以下步骤：

步骤C1：从D中随机选择第一个簇中心μ₁(μ₁∈D)；

步骤C2：计算每个特征向量d_i(d_i∈D)与当前已有的簇中心之间的最短欧式距离，用Ds(n_i),n_i∈N₁表示，并计算每个特征向量的分值p_i：

在[0,1]区间内为每个特征向量划分长度为p_i区段，并随机生成一个0～1之间的数a，查看a落在哪个区段内，对应的特征向量就是下一个簇中心；

步骤C3：重复步骤C2直到选择出3个簇中心{μ₁,μ₂,μ₃}；

步骤B4：聚类

每次将D中的所有特征向量输入到k-means++聚类网络中，计算每个特征向量d_i(d_i∈D)与各簇中心μ_j(1≤j≤3)的欧式距离：

d_ij＝||d_i-μ_j||₂ (5)

根据距离最近的簇中心确定d_i的簇标记λ_i：

λ_i＝argmin_j∈{1,2,3}d_ij (6)

将d_i划入相应的簇：

重复遍历，直到所有节点簇划分情况都不改变，则聚类完毕，得到三个节点簇{C₁,C₂,C₃}。

可选地，判断可疑节点集是否为空的方法是：

首先，设定木马簇划分阈值t，通过公式(8)得到：

t＝mean(D)+std(D) (8)

其中，mean(D)表示特征向量集D的均值，std(D)表示特征值向量集D的标准差。

然后，计算三个节点簇{C₁,C₂,C₃}两两之间的簇间距离，即两个簇中相邻最近的两个节点之间的欧式距离，通过比较该簇间距离与木马簇划分阈值t的大小，判断可疑节点集是否为空，具体方法如下：

首先找到距离原点最近的簇C_r(r∈[1,3])，然后通过公式(9)决定是否将其它两个节点簇(C_j表示)判定为木马簇：

其中，||C_j-C_r||表示C_r与C_j之间的簇间距离；

最后，将木马节点簇中的所有节点添加进可疑节点集S中，判断S是否为空。

在本发明实施例中，若可疑节点集S＝Φ，则能够判断该芯片为非木马芯片；若可疑节点集S≠Φ，则能够判断该芯片为木马芯片，即完成了芯片的安全性判定。

可选地，提取芯片网表的拓扑结构的方法是：

针对木马芯片，通过结合芯片网表的拓扑结构和可疑节点集S来识别它的木马感染电路；

首先，读取芯片网表文件，将芯片网表中的每个节点抽象为有向图的点，提取每个逻辑单元的输入和输出节点，若n_i为输入节点，n_j为输出节点，则得到一条有向边e_ij：

e_ij＝<n_i,n_j> (10)

如此，芯片网表遍历完毕之后，得到一个有向图，有向图中的节点对应芯片网表节点集N，有向图的边用于记录节点之间的连接关系，通过索引节点n_i(i∈[1,M])可获得该节点的输出集O_i和输入集I_i。

可选地，修正可疑节点集方法是：

结合可疑节点集S和有向图结构，在芯片网表节点集N＝{n₁,n₂,…,n_M}中，查找所有满足公式(11)的节点n_i：

若在n_i的输入集I_i中，

满足公式(12)，x表示集合I_i中节点的序列号：

n_x∈S (12)

则判定n_i为木马节点，然后将n_i加入可疑节点集S中，对节点集N中全部节点进行上述修正可疑节点集的操作后，得到所有被k-means++聚类网络漏检的木马节点。

可选地，还原硬件木马触发电路的具体操作方法是：

根据更新后的可疑节点集S，还原每个节点对应的逻辑单元，并通过节点直达和节点可达原理，找到每个木马触发模块的所有组成节点；

在有向图中，从可疑节点集S中任意节点n_i(n_i∈S)开始，通过节点可达策略，每得到一个节点就将该节点加入节点集S_c，直到S中没有其它符合条件的节点时为止；

然后在S中重新选择未被访问的节点，重复操作，直到S中的所有节点都被划分到了子节点集中；

最后得到S的子集{S₁,S₂,…,S_T}，它们满足条件：

其中，T表示还原所得的木马触发模块个数，下标c表示模块序列号；

可选地，若节点n_x在节点n_i的输入集I_i或者输出集O_i中，则n_x节点是n_i节点直接可达的；若存在集合{n₁,n₂,…,n_z}，其中z表示集合中节点总数，下标表示节点序列号，假设节点n_i直达n_i+1，对任意i＝1,2,…,z成立，则节点n_z是可达n₁的。

可选地，识别木马感染电路的方法是：

在有向图中查找满足公式(14)的节点n_i：

其中，O表示节点集S_c所有节点的输出节点集，得到所有满足条件的节点组成的节点集{n₁,n₂,…,n_b}，该节点集就是木马触发模块S_c的感染源，b表示感染源节点总数，下标表示节点序号，然后通过有向图的层级遍历的方式遍历有向图，得到S_c的感染电路集合G_c；

当识别完所有的木马触发模块后，得到宿主电路中被感染的电路合集{G₁,G₂,…,G_T}，(Q_c,G_c),c＝1,2,…,T即每个硬件木马模块的感染电路。

可选地，层级遍历的方法是：

以节点集{n₁,n₂,…,n_b}作为遍历的起始节点，包括以下步骤：

步骤D1：选择感染源集合中的任意未被访问过的节点，入队，并将这个节点所对应的逻辑单元加入感染电路集合G_c中；

步骤D2：当队列不为空的时候循环执行，出队，找到出队节点n_i在有向图中的输出节点集O_i，将O_i中没有被访问过的节点入队，并将该节点对应的逻辑单元加入到感染电路集合G_c中；

步骤D3：当队列为空跳出循环，查看感染源集合中是否还有未被访问的节点，如果有，跳转至步骤D1，否则，层级遍历结束。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举本发明实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明所述木马感染电路识别的流程图。

图2是本发明所述木马节点k-means++聚类的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参照图1，本发明提供的一种基于芯片网表特征的木马感染电路识别方法，该方法包括：

步骤A1：计算芯片网表中每个节点的SCOAP度量值，将其作为节点的特征向量。

可选地，按以下方法计算节点的SCOAP度量值：

获取芯片网表节点集N＝{n₁,n₂,…,n_M}，n表示芯片网表中的节点，其下标为节点序号，M表示芯片网表中节点的总数，各节点的SCOAP度量值则包括0可控制性值CC0(n_i)、1可控制性值CC1(n_i)、可观测性值CO(n_i)，其中i∈[1,M]；

之后便可将每个节点的SCOAP度量值作为该节点的特征向量：

(CC0(n_i),CC1(n_i),CO(n_i)),n_i∈N (1)

步骤A2：将节点的特征向量输入k-means++聚类网络中，得到可疑节点集；

在步骤A2中，k-means++聚类网络分析如下：

结合图2所示，将网表节点集N＝{n₁,n₂,…,n_M}的所有特征向量输入到k-means++聚类网络中进行节点的聚类划分，具体流程如下：

步骤B1：节点预筛选

可选地，针对节点的特征向量中是否存在无穷大值，将N＝{n₁,n₂,…,n_M}中的节点分为两类，该两类节点分别构成芯片网表节点集N₁和芯片网表节点集N₂，其中N₁由可观测并且是可控制的节点组成，N₂由不可观测或者不可控制的节点组成，然后直接将N₂中的节点加入到可疑节点集S中，只将N₁作为k-means++聚类网络的输入样本。

步骤B2：获取输入特征向量

将N₁中每个节点的0可控制性值CC0(n_i)和1可控制性值CC1(n_i)合并为一个特征元素CC(n_i)，计算公式如下：

将CC(n_i)作为节点n_i的可控制性度量值，CO(n_i)作为节点n_i的可观测性度量值，得到k-means++聚类网络的输入特征向量集D：

D＝{(CC(n_i),CO(n_i)),n_i∈N₁} (3)

节点n_i和特征向量d_i(d_i∈D)是一一对应的关系。

步骤B3：初始化簇中心，其包括以下步骤：

步骤C1：从D中随机选择第一个簇中心μ₁(μ₁∈D)；

步骤C2：计算每个特征向量d_i(d_i∈D)与当前已有的簇中心之间的最短欧式距离，用Ds(n_i),n_i∈N₁表示，并计算每个特征向量的分值p_i：

在[0,1]区间内为每个特征向量划分长度为p_i区段，并随机生成一个0～1之间的数a，查看a落在哪个区段内，对应的特征向量就是下一个簇中心；

步骤C3：重复步骤C2直到选择出3个簇中心{μ₁,μ₂,μ₃}。

步骤B4：聚类

每次将D中的所有特征向量输入到k-means++聚类网络中，计算每个特征向量d_i(d_i∈D)与各簇中心μ_j(1≤j≤3)的欧式距离：

d_ij＝||d_i-μ_j||₂ (5)

根据距离最近的簇中心确定d_i的簇标记λ_i：

λ_i＝argmin_j∈{1,2,3}d_ij (6)

将d_i划入相应的簇：

重复遍历，直到所有节点簇划分情况都不改变，则聚类完毕，得到三个节点簇{C₁,C₂,C₃}。

步骤A3：判断可疑节点集是否为空，如果是，则芯片为非木马芯片，识别过程结束，如果不是，则芯片为木马芯片，继续执行步骤A4；

可选地，设定木马簇划分阈值t，通过公式(8)得到：

t＝mean(D)+std(D) (8)

其中，mean(D)表示特征向量集D的均值，std(D)表示特征值向量集D的标准差

然后，计算三个节点簇{C₁,C₂,C₃}两两之间的簇间距离，即两个簇中相邻最近的两个节点之间的欧式距离，通过比较该簇间距离与木马簇划分阈值t的大小，判断可疑节点集是否为空，具体方法如下：

首先找到距离原点最近的簇C_r(r∈[1,3])，然后通过公式(9)决定是否将其它两个节点簇(C_j表示)判定为木马簇：

其中，||C_j-C_r||表示C_r与C_j之间的簇间距离；

然后将木马节点簇中的所有节点添加进可疑节点集S中。然后判断S是否为空，若S＝Φ，则判断该芯片为普通芯片；若S≠Φ，则判断该芯片为木马芯片。

步骤A4：提取芯片网表的拓扑结构

可选地，针对木马芯片，通过结合芯片网表的拓扑结构和可疑节点集S来识别它的木马感染电路；首先，读取网表文件，将网表中的每个节点抽象为有向图的“点”，提取每个逻辑单元的输入输出节点，若n_i为输入节点，n_j为输出节点，就可以得到一条有向边e_ij：

e_ij＝<n_i,n_j> (10)

如此，芯片网表遍历完毕之后，得到一个有向图。有向图中的节点对应芯片网表节点集N＝{n₁,n₂,…,n_M}，M为网表中节点的总数，有向图的边用于记录节点之间的连接关系。通过索引节点n_i(i∈[1,M])可获得该节点的输出集O_i和输入集I_i。

步骤A5：修正可疑节点集

可选地，查找所有满足公式(11)的节点n_i：

若在n_i的输入集I_i中，

满足公式(12)，x表示集合I_i中节点的序列号：

n_x∈S (12)

则判定n_i为木马节点，然后将n_i加入可疑节点集S中，对节点集N中全部节点进行上述修正可疑节点集的操作后，得到所有被k-means++聚类网络漏检的木马节点。

步骤A6：还原硬件木马触发电路

可选地，根据更新后的可疑节点集S，还原每个节点对应的逻辑单元，并通过节点直达和节点可达原理，找到每个木马触发模块的所有组成节点；

节点直达：若节点n_x在节点n_i的输入集I_i或者输出集O_i中，则n_x节点是n_i节点直接可达的。

节点可达：若存在集合{n₁,n₂,…,n_z}，其中z表示集合中节点总数，下标表示节点序列号，假设节点n_i直达n_i+1，对任意i＝1,2,…,z成立，则节点n_z是可达n₁的。

在有向图中，从可疑节点集S中任意节点n_i(n_i∈S)开始，通过节点可达策略，每得到一个节点就将该节点加入节点集S_c，直到S中没有其它符合条件的节点时为止；

然后在S中重新选择未被访问的节点，重复操作，直到S中的所有节点都被划分到了子节点集中；

最后得到S的子集{S₁,S₂,…,S_T}，它们满足条件：

其中，T表示还原所得的木马触发模块个数，下标c表示模块序列号；

集合N中每一个节点n_i都对应一个逻辑单元q_i，使用{S₁,S₂,…,S_T}表示木马触发模块的节点集合，{Q₁,Q₂,…,Q_T}表示木马触发模块的逻辑单元集合。下标相同的S_c和Q_c一一对应。

步骤A7：根据木马感染源识别木马感染电路，识别过程结束。

在步骤A7中，需要分别对每个木马触发模块进行分析，下面以M_i,i＝1,2,…,T为例。

可选地，在有向图中查找满足公式(14)的节点n_i：

其中，O表示节点集S_c所有节点的输出节点集，得到所有满足条件的节点组成的节点集{n₁,n₂,…,n_b}，该节点集就是木马触发模块S_c的感染源，然后通过有向图的层级遍历的方式遍历有向图。

层级遍历的操作可以简单地概括如下(需要使用一个队列)，以节点集{n₁,n₂,…,n_b}作为遍历的起始节点，包括以下步骤：

步骤D1：选择感染源集合中的任意未被访问过的节点，入队，并将这个节点所对应的逻辑单元加入感染电路集合G_c中；

步骤D2：当队列不为空的时候循环执行，出队，找到出队节点n_i在有向图中的输出节点集O_i，将O_i中没有被访问过的节点入队，并将该节点对应的逻辑单元加入到感染电路集合G_c中；

步骤D3：当队列为空跳出循环，查看感染源集合中是否还有未被访问的节点，如果有，跳转至步骤D1，否则，层级遍历结束。

对所有的木马触发模块{S₁,S₂,…,S_T}做上面的识别操作，得到宿主电路中被感染的电路合集{G₁,G₂,…,G_T}，(Q_c,G_c),c＝1,2,…,T即每个硬件木马的感染电路。

下面以案例实验对本发明进行说明，本实验采用的是Trust-hub网站上的门级网表芯片测试用例，首先分别获取网表节点的SCOAP组合度量值，将其作为特征向量输入到k-means++(k＝3)聚类网络中。本实验使用的测试基准用例木马信息如表1所示。

表1 beachmark信息

分别对每个芯片网表进行独立实验。将芯片网表中所有节点的特征向量输入到改进型的聚类网络中，重复聚类操作20次，将可疑节点集S中的节点与木马触发电路原始数据相比较，最后得到聚类网络对木马节点的平均检测率。其后，随机选择一个可疑节点集，结合网表芯片的拓扑结构，进行木马感染电路的还原操作。实验检测结果如表2所示。

表2实验检测结果

注：

N为重复实验次数N＝20；木马感染电路识别率表示∑_{c＝1,2,…,T}(M_c+G_c)对木马芯片本身的硬件木马组成单元的还原程度。

在本发明实施例中，该方法利用芯片网表的SCOAP度量值和k-means++聚类网络，初步检测出可疑节点集，然后结合芯片网表的拓扑结构，进一步修正可疑节点集，其后，通过节点可达分析，能够还原同一木马触发模块的所有节点，并且完备地检测出宿主电路中所有被木马感染的电路，与现有技术相比，其消耗时间更短、仪器成本低，不会对芯片造成不可逆转的破坏，并能够保证极高的木马检测精度。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于芯片网表特征的木马感染电路识别方法，其特征在于，该方法包括：

步骤A1：计算芯片网表中每个节点的SCOAP度量值，将其作为节点的特征向量；

步骤A2：将节点的特征向量输入k-means++聚类网络中，得到可疑节点集；

步骤A3：判断可疑节点集是否为空，如果是，则芯片为非木马芯片，识别过程结束，如果不是，则芯片为木马芯片，继续执行步骤A4；

步骤A4：提取芯片网表的拓扑结构；

步骤A5：修正可疑节点集；

步骤A6：还原硬件木马触发电路；

步骤A7：根据木马感染源识别木马感染电路，识别过程结束；

可疑节点集为节点簇{C₁,C₂,C₃}，步骤A3中判断可疑节点集是否为空的方法是：

设定木马簇划分阈值t，通过公式(1)得到：

t＝mean(D)+std(D) (1)

其中，mean(D)表示特征向量集D的均值，std(D)表示特征值向量集D的标准差；

然后计算三个节点簇{C₁,C₂,C₃}两两之间的簇间距离，即两个簇中相邻最近的两个节点之间的欧式距离，通过比较该簇间距离与木马簇划分阈值t的大小，判断可疑节点集是否为空，具体方法如下：

首先找到距离原点最近的簇C_r(r∈[1,3])，然后通过公式(2)决定是否将其它两个节点簇C_j判定为木马簇：

其中，||C_j-C_r||表示C_r与C_j之间的簇间距离；

然后将木马节点簇中的所有节点添加进可疑节点集S中，判断S是否为空；

步骤A4的具体操作方法是：

针对木马芯片，通过结合芯片网表的拓扑结构和可疑节点集S来识别它的木马感染电路；

首先，读取芯片网表文件，将芯片网表中的每个节点抽象为有向图的点，提取每个逻辑单元的输入和输出节点，若n_i为输入节点，n_j为输出节点，则得到一条有向边e_ij：

e_ij＝<n_i,n_j> (3)

如此，芯片网表遍历完毕之后，得到一个有向图，有向图中的节点对应芯片网表节点集N，有向图的边用于记录节点之间的连接关系，通过索引节点n_i(i∈[1,M])获得该节点的输出集O_i和输入集I_i；

步骤A5的具体操作方法是：

结合可疑节点集S和有向图结构，在芯片网表节点集N＝{n₁,n₂,…,n_M}中，查找所有满足公式(4)的节点n_i：

若在n_i的输入集I_i中，

满足公式(5)，x表示集合I_i中节点的序列号：

n_x∈S (5)

则判定n_i为木马节点，然后将n_i加入可疑节点集S中，对节点集N中全部节点进行上述修正可疑节点集的操作后，得到所有被k-means++聚类网络漏检的木马节点；

步骤A6的具体操作方法是：

根据修正后的可疑节点集S，还原每个节点对应的逻辑单元，并通过节点直达和节点可达原理，找到每个木马触发模块的所有组成节点；

在有向图中，从可疑节点集S中任意节点n_i(n_i∈S)开始，通过节点可达策略，每得到一个节点就将该节点加入节点集S_c，直到S中没有其它符合条件的节点时为止；

然后在S中重新选择未被访问的节点，重复操作，直到S中的所有节点都被划分到了子节点集中；

最后得到S的子集{S₁,S₂,…,S_T}，它们满足条件：

其中，T表示还原所得的木马触发模块个数，下标c表示模块序列号；

集合N中每一个节点n_i都对应一个逻辑单元q_i，使用{S₁,S₂,…,S_T}表示木马触发模块的节点集合，{Q₁,Q₂,…,Q_T}表示木马触发模块的逻辑单元集合，下标相同的S_c和Q_c一一对应。

2.根据权利要求1所述基于芯片网表特征的木马感染电路识别方法，其特征在于，在步骤A1中，节点的特征向量的获取方法是：

获取芯片网表节点集N＝{n₁,n₂,…,n_M}，n表示芯片网表中的节点，其下标为节点序号，M表示芯片网表中节点的总数，各节点的SCOAP度量值包括0可控制性值CC0(n_i)、1可控制性值CC1(n_i)、可观测性值CO(n_i)，其中i∈[1,M]，将每个节点的SCOAP度量值作为该节点的特征向量：

(CC0(n_i),CC1(n_i),CO(n_i)),n_i∈N (7)。

3.根据权利要求2所述基于芯片网表特征的木马感染电路识别方法，其特征在于，在k-means++聚类网络中，将节点的特征向量输入到k-means++聚类网络的步骤包括：

步骤B1：节点预筛选

将N＝{n₁,n₂,…,n_M}中的节点分为两类，该两类节点分别构成芯片网表节点集N₁和芯片网表节点集N₂，其中N₁由可观测并且是可控制的节点组成，N₂由不可观测或者不可控制的节点组成，然后直接将N₂中的节点加入到可疑节点集S中，只将N₁作为k-means++聚类网络的输入样本；

步骤B2：获取输入特征向量

将N₁中每个节点的0可控制性值CC0(n_i)和1可控制性值CC1(n_i)合并为一个特征元素CC(n_i)，计算公式如下：

将CC(n_i)作为节点n_i的可控制性度量值，CO(n_i)作为节点n_i的可观测性度量值，得到k-means++聚类网络的输入特征向量集D：

D＝{(CC(n_i),CO(n_i)),n_i∈N₁} (9)

节点n_i和特征向量d_i(d_i∈D)是一一对应的关系；

步骤B3：初始化簇中心，其包括以下步骤：

步骤C1：从D中随机选择第一个簇中心μ₁(μ₁∈D)；

步骤C2：计算每个特征向量d_i(d_i∈D)与当前已有的簇中心之间的最短欧式距离，用Ds(n_i),n_i∈N₁表示，并计算每个特征向量的分值p_i：

在[0,1]区间内为每个特征向量划分长度为p_i区段，并随机生成一个0～1之间的数a，查看a落在哪个区段内，对应的特征向量就是下一个簇中心；

步骤C3：重复步骤C2直到选择出3个簇中心{μ₁,μ₂,μ₃}；

步骤B4：聚类

每次将D中的所有特征向量输入到k-means++聚类网络中，计算每个特征向量d_i(d_i∈D)与各簇中心μ_j(1≤j≤3)的欧式距离：

d_ij＝||d_i-μ_j||₂ (11)

根据距离最近的簇中心确定d_i的簇标记λ_i：

λ_i＝argmin_j∈{1,2,3}d_ij (12)

将d_i划入相应的簇：

重复遍历，直到所有节点簇划分情况都不改变，则聚类完毕，得到三个节点簇{C₁,C₂,C₃}。

4.根据权利要求1所述基于芯片网表特征的木马感染电路识别方法，其特征在于，

若节点n_x在节点n_i的输入集I_i或者输出集O_i中，则n_x节点是n_i节点直接可达的；

若存在集合{n₁,n₂,…,n_z}，其中z表示集合中节点总数，下标表示节点序列号，假设节点n_i直达n_i+1，对任意i＝1,2,…,z成立，则节点n_z是可达n₁的。

5.根据权利要求1所述基于芯片网表特征的木马感染电路识别方法，其特征在于，步骤A7的具体操作方法是：

在有向图中查找满足公式(14)的节点n_i：

其中，O表示节点集S_c所有节点的输出节点集，得到所有满足条件的节点组成的节点集{n₁,n₂,…,n_b}，该节点集就是木马触发模块S_c的感染源，b表示感染源节点总数，下标表示节点序号，然后通过有向图的层级遍历的方式遍历有向图，得到S_c的感染电路集合G_c；

当遍历完所有的木马触发模块{S₁,S₂,…,S_T}后，得到宿主电路中被感染的电路合集{G₁,G₂,…,G_T}，(Q_c,G_c),c＝1,2,…,T即每个硬件木马模块的感染电路。

6.根据权利要求5所述基于芯片网表特征的木马感染电路识别方法，其特征在于，层级遍历的操作方法是：

以节点集{n₁,n₂,…,n_b}作为遍历的起始节点，包括以下步骤：

步骤D1：选择感染源集合中的任意未被访问过的节点，入队，并将这个节点所对应的逻辑单元加入感染电路集合G_c中；

步骤D2：当队列不为空的时候循环执行，出队，找到出队节点n_i在有向图中的输出节点集O_i，将O_i中没有被访问过的节点入队，并将该节点对应的逻辑单元加入到感染电路集合G_c中；

步骤D3：当队列为空跳出循环，查看感染源集合中是否还有未被访问的节点，如果有，跳转至步骤D1，否则，层级遍历结束。

Images