[发明专利]基于HMM的硬件木马检测方法

权利要求书

1.一种基于HMM的硬件木马检测方法，其特征为该方法通过电流探头采集芯片工作时产生的电流，并将其存储在示波器中，最后采集到的数据传送到PC机进行数据处理；

包括如下步骤：

步骤1，设计载体电路和面积较小的硬件木马电路，将多个硬件木马电路载入到载体电路中，为每个硬件木马都设置触发信号；

步骤2，将载体电路与硬件木马电路接入到FPGA芯片中，搭建检测平台，同时设置示波器的工作模式，工作模式设置为平均模式，平均次数设为512，此采样深度为1M，电流探头绕线圈数为1圈，采样率为100M次/秒；

所述的检测平台包括FPGA板、直流电源、信号探头、示波器和PC机；连接关系为：直流电源、FPGA板、信号探头、示波器和PC机依次相连；

步骤3，在不激活硬件木马的条件下，利用示波器检测和存储FPGA芯片运行过程中产生的电流信息，根据需要检测的硬件木马的面积的大小来激活载体电路中不同个数的木马，再次利用示波器检测和存储FPGA芯片运行过程中产生的电流信息；

步骤4，使用单次采样的方法保存数据，通过采集母本电路数据八组，每组九个，硬件木马电路数据三组，每组九个，保存数据，并将数据导入PC中；

步骤5，提取母本数据特征参数，采用训练问题中的Baum-Welch算法对母本数据的特征参数进行训练得到母本数据模型；

(1)初始模型λ₀＝(A，B，π)，参数设置如下：

a.状态空间，设置状态空间为q＝{1}，1表示母本电路，状态数N＝1；

b.初始分布π＝{1}，表示在一般的情况下初始时刻的数据是母本电路数据；

c.因为只有母本电路，所以不可见状态转移矩阵A＝1；

d.可见符号的概率分布B＝{b_j(k)}，它表示在母本电路状态下，不同电流出现的概率，本次采用K均值聚类算法；

(2)初始模型λ₀经过Baum-Welch重估计算后得到新的模型λ；

(3)比较P(O|λ₀)和P(O|λ)：如果P(O|λ₀)＞P(O|λ)，表明达到收敛点，结束参数调整过程，否则用λ代替λ₀，继续进行参数调整直到模型收敛；

步骤6，提取待测数据的特征参数，采用评估方法中的前向算法将母本数据和待测数据的特征参数均与上述模型进行匹配，得到母本数据和待测数据在此正常模型下发生的概率，具体步骤为第一步初始化α₁(i)＝π_ib_i(O₁)；其中1≤i≤N；第二步递归其中1≤t≤T-1,1≤j≤N；第三步终结其中，P(O|λ)反映了观察序列与模型匹配的程度，P(O|λ)越大，表明观测数据与正常数据匹配性越高，所对应的数据是母本数据的概率就越大，P(O|λ)越小，表明观测数据与正常数据匹配性越低，所对应的观测数据是木马数据的概率就越大；

比较阈值K和概率P(O|λ)，如果P(O|λ)＞K，则为正常的数据，否则是木马数据，如果被测电路测试了n次，被判为木马电路的次数大于n/2，那么认为此电路为含有木马的电路，否则为正常电路；

经过以上步骤，对采集到的母本电路数据和待测电路数据分别进行处理，完成基于HMM的硬件木马的检测。