集成电路（integrated circuit，IC）具有体积小、性能好、可靠性高等优点，已被广泛应用于军事、经济等各个领域，发挥着不可或缺的作用. 由于IC的设计与制造分离，使得IC中很容易被植入硬件木马^[1]，导致IC的信息泄露或功能被破坏. 相对于集成电路而言，硬件木马规模很小，传统的逻辑测试和功能测试很难检测出电路中潜藏的硬件木马^[2]. 加强IC芯片中的硬件木马检测，保证IC芯片安全具有重要意义.

对芯片内硬件木马进行检测的方法主要包括破坏性检测^[3]、逻辑测试^[4]和旁路分析^[5]等. 目前使用最广泛的是旁路分析技术，该技术是利用IC芯片工作过程中产生的旁路特征参数（功耗^[6]、电磁^[7]、延迟^[8]、温度^[9]、光学^[10]等）来检测硬件木马. 除少部分研究以IC仿真的旁路特征参数^[11]和待测IC在不同时间窗的暂态电流^[12]作为参考以外，大多数研究是以“金片”（确定不含硬件木马的IC，可以先对芯片进行足够多的I/O测试并记录其工作时的相关信息，再通过剖片确认芯片中无硬件木马）的旁路特征参数作为参考，检测待测IC中是否含有硬件木马^[13]. 为了克服噪声的影响，有效提取硬件木马造成的差异信息，一些研究利用特征变换方法处理“金片”和待测IC的旁路信号以实现硬件木马检测. 例如，Agrawal等^[6]采用K-L变换处理仿真环境下的旁路信号，成功检测出占电路规模0.01%的硬件木马. 在物理实验环境下，张鹏等^[14]利用投影寻踪技术构建低维子空间，能够检测出占电路规模10%的硬件木马. 李雄伟等^[15]在旁路信号统计模型的基础上，先将旁路信号投影到更高维空间增加可分性，再投影到低维子空间，能够检测出占电路规模2%的硬件木马. 赵毅强等^[16]采用自组织竞争神经网络处理旁路信号，成功检测出占电路规模0.16%的硬件木马.

由于噪声（与采集设备、所处环境、芯片的测试输入以及测试时间等有关）的干扰以及相邻时刻能耗的强相关性，导致物理环境下采集到的旁路信号分布十分复杂. 采用高斯分布模型对旁路信号集进行刻画，可能会损失部分有效信息，使得利用K-L变换^[6]和核最大间距准则(MMC)^[15]等依赖高斯分布建模的方法对小规模硬件木马的检测效果不理想. 本文引入流形学习方法边界Fisher分析（marginal Fisher analysis，MFA），对方法中的近邻选择方式进行改进，可以在不对样本分布作任何假设的情况下，发现数据间的规律，提取“金片”和含硬件木马IC旁路信号的差异信息，实现硬件木马检测.

硬件木马检测的本质是二分类问题，基于功耗旁路信号的硬件木马检测是在同等条件下运行“金片”与待测IC并测量工作电流，通过比较电流的差异判断是否含有硬件木马. 令不含硬件木马的功耗轨迹记为 ${{{L}}_1} = \left\{ {{{x}}_1^1, \cdots ,{{x}}_{{N_1}}^1} \right\}$，含硬件木马的功耗轨迹记为 ${{{L}}_2} = \left\{ {{{x}}_1^2, \cdots,{{x}}_{{N_2}}^2} \right\}$，其中x_i^T为一段时间的离散功耗旁路信号（P（t₁），P（t₂））， $\cdots $，P（t_n））. 若将每条功耗旁路信号看作n维空间的一个样本点，则硬件木马的存在使得两类样本的位置发生相对偏移，硬件木马检测是提取两类样本中的差异信息.

当硬件木马规模相对较小时，两类样本相互重叠，两类样本的可分性变差. 为了有效提取差异信息，采用边界Fisher分析方法^[17]进行硬件木马检测:1）该方法通过样本的局部类内类间离散度矩阵构建投影空间，不需要假设样本作何分布，能够充分利用每个样本的鉴别信息尤其是位于类边缘的样本；2）该方法属于非线性变换，通过变换能够提高样本的可分性.

令样本集X=L₁∪L₂，N=N₁+N₂. 采用k-近邻法构建样本集X的本征图G^B和惩罚图G^P，权重W_ij^B和W_ij^P分别为

(1) $W_{ij}^{\rm{B}} = \left\{ {\begin{array}{*{20}{l}} 1,\;\;\;\;{j \in N_{{k^{\rm{B}}}}^{\rm{ - }}(i) \; {\text{且}} \; i \in N_{{k^{\rm{B}}}}^{\rm{ - }}(j)}; \\ {0,\;\;\;\;\text{其他}}. \end{array}} \right.$

(2) $W_{ij}^{\rm{P}} = \left\{ {\begin{array}{*{20}{l}} 1,\;\;\;\;{j \in N_{{k^{\rm{P}}}}^ + (i)\;{ \text{且}}\; i \in N_{{k^{\rm{P}}}}^ + (j)};\\ {0,\;\;\;\;\;\;\text{其他}}. \end{array}} \right.$

式中： $N_{{k^{\rm{B}}}}^{\rm{ - }}(i)$为与样本点x_i属于同一类的k^B个最近邻样本的下标集合， $N_{{k^{\rm{B}}}}^{\rm{ - }}(i)$为与样本点x_i属于不同类的k^P个最近邻样本的下标集合.

根据式（3），可以计算样本x_i∈X在低维空间的投影y_i以及最优投影矩阵 ${{\varPhi}} $：

(3) $\begin{split} \max \frac{{\sum\limits_{i,j = 1}^N {{{\left\| {{{{y}}_i} - {{{y}}_j}} \right\|}^2}W_{ij}^{\rm{P}}} }}{{\sum\limits_{i,j = 1}^N {{{\left\| {{{{y}}_i} - {{{y}}_j}} \right\|}^2}W_{ij}^{\rm{B}}} }} = & \frac{{\sum\limits_{i,j = 1}^N {{{\left\| {{{{\varPhi }}^{\rm{T}}}{{{x}}_i} - {{{\varPhi }}^{\rm{T}}}{{{x}}_j}} \right\|}^2}W_{ij}^{\rm{P}}} }}{{\sum\limits_{i,j = 1}^N {{{\left\| {{{{\varPhi }}^{\rm{T}}}{{{x}}_i} - {{{\varPhi }}^{\rm{T}}}{{{x}}_j}} \right\|}^2}W_{ij}^{\rm{B}}} }} = \\ & \!\!\!\!\!\!\!\! \!\!\!\!\!\!\!\! \frac{{{\rm{tr}}\;\left( {{{{\varPhi }}^{\rm{T}}}{{X}}{{{L}}^{\rm{P}}}{{{X}}^{\rm{T}}}{{\varPhi }}} \right)}}{{{\rm{tr}}\;\left( {{{{\varPhi }}^{\rm{T}}}{{X}}{{{L}}^{\rm{B}}}{{{X}}^{\rm{T}}}{{\varPhi }}} \right)}}. \end{split}$

式中：L^B和L^P分别为本征图G^B和惩罚图G^P的拉普拉斯矩阵， ${{{L}}^{\rm{B}}} = {{{D}}^{\rm{B}}} - {{{W}}^{\rm{B}}}$， ${{{L}}^{\rm{P}}} = {{{D}}^{\rm{P}}} - {{{W}}^{\rm{P}}}$；D^B和D^P均为对角矩阵， $D_{ii}^{\rm{B}} = \sum\nolimits_j {W_{ij}^{\rm{B}}}$， $D_{ii}^{\rm{P}} = \sum\nolimits_j {W_{ij}^{\rm{P}}} $.

对式（3）进行广义特征值求解，可得

(4) ${{X}}{{{L}}^{\rm{B}}}{{{X}}^{\rm{T}}}{{{\varphi }}_i} = {\lambda _i}{{X}}{{{L}}^{\rm{P}}}{{{X}}^{\rm{T}}}{{{\varphi }}_i};\;i = 1,{\rm{2,}} \cdots {\rm{,}}\;d.$

式中： ${{{\varphi}} _i}$为特征值最大的前d个广义特征向量（投影方向），y_j（i）为样本x_j在 ${{{\varphi}} _i}$上的投影. 通过比较L₁和L₂中样本的投影差异，检测是否含有硬件木马.

MFA的投影过程可以看作是样本给其近邻样本施加一个作用力，使得该样本的同类近邻样本在低维空间中更靠近该样本，异类近邻样本远离该样本. 这种变换方式对于重叠的两类样本而言，存在一定的局限性，如图1所示，若黑色样本q仅为白色样本1（或2）的异类近邻样本，则变换时异类近邻样本离得远，q将沿e₃（或e₂）方向运动. 若q同时为样本1和样本2的异类近邻样本，则在投影过程中，样本1和样本2均希望q离得远，样本q将沿方向e₁运动（2个力的合力），从而使异类样本分离. 当样本可分性较差时，存在白色样本3使得q位于样本3的近邻区域，样本3将使q沿e₄方向运动，不利于两类区分. 同理，若q为白色样本且同为样本1、样本2和样本3的同类近邻样本，则3个样本之间会相互干扰，不利于两类区分.

简而言之，对于重叠区域的样本而言，每个样本都有可能作为其他样本的近邻样本而受到来自各个方向的影响，导致分类效果下降. 针对该问题，对MFA方法进行改进，通过选择近邻点，使得样本在拉近该样本的同类近邻点和拉远异类近邻点时，近邻点均沿两类样本偏移的方向移动，以减少变换时样本间的相互干扰，提高分类效果. 具体做法是设置规则式：

(5) ${{J}} = \left( {{{{x}}_j} - {{{x}}_i}} \right)\left( {{{{m}}_{l\left( {{{{x}}_i}} \right)}} - {{{m}}_{{l'}\left( {{{{x}}_i}} \right)}}} \right).$

式中：l（x_i）为样本x_i的类别标号，l'（x_i）为与样本x_i异类的类别标号， ${{{m}}_{l\left( {{{{x}}_i}} \right)}}$和 ${{{m}}_{{l'}\left( {{{{x}}_i}} \right)}}$分别为与x_i同类和异类的类均值，通过计算J的值对样本进行筛选. 若J >0，则标记样本 x_j为样本x_i的近邻候选样本，然后在筛选出来的近邻候选样本中选择距离样本x_i最近的k个样本.

规则式的直观解释如图2所示. 图中，颜色不相同的节点表示不同类别的样本点，以两类类中心的连线op表示两类样本的偏移方向. 若寻找任一样本x_i的近邻样本，则从该样本点作与偏移方向垂直的垂线，垂线两侧靠近异类样本集一侧的样本点即为使J>0的候选样本点，例如图2中样本x的近邻候选样本为除样本1和样本2以外的所有样本. 在拉近同类近邻样本和拉远异类近邻样本时，每个样本的受力均可以分解为沿偏移方向的力和沿垂线方向的力. 其中沿偏移方向的力如图2的箭头所示，该方向的力使得两类样本相互远离，且样本为其他样本的近邻样本的次数越多，该方向上的力越大. 显然，改进后减弱了样本间的相互干扰，能够提高样本的可分性.

对离散旁路信号进行变换的本质是利用特征提取方法寻找一组正交投影方向（特征向量），计算旁路信号在每个投影方向上的投影. 只要某个方向上的投影存在差异，则判定含有硬件木马，因此可以通过对比最优投影方向 ${{\varphi}} $上的样本投影情况，判断检测效果. 由于MFA方法的函数约束式为Rayleigh熵形式，其在投影方向 ${{\varphi}} $上的判别能力^[18]可以记为

(6) $\rho \left( {{\varphi }} \right) = \frac{{\sum\limits_{i,j = 1}^N {{{\left\| {{{{\varphi }}^{\rm{T}}}{{{x}}_i} - {{{\varphi }}^{\rm{T}}}{{{x}}_j}} \right\|}^2}W_{ij}^{\rm{P}}} }}{{\sum\limits_{i,j = 1}^N {{{\left\| {{{{\varphi }}^{\rm{T}}}{{{x}}_i} - {{{\varphi }}^{\rm{T}}}{{{x}}_j}} \right\|}^2}W_{ij}^{\rm{B}}} }}.$

对式（6）进行改写，可得

(7) $\rho \left( {{\varphi }} \right) = \frac{{{{{\varphi }}^{\rm{T}}}\sum\limits_{i,j = 1}^N {\left( {{{{x}}_i} - {{{x}}_j}} \right){{\left( {{{{x}}_i} - {{{x}}_j}} \right)}^{\rm{T}}}W_{ij}^{\rm{P}}{{\varphi }}} }}{{{{{\varphi }}^{\rm{T}}}\sum\limits_{i,j = 1}^N {{{\left( {{{{x}}_i} - {{{x}}_j}} \right)}}\left( {{{{x}}_i} - {x_j}} \right)^{\rm{T}}W_{ij}^{\rm{B}}{{\varphi }}} }}.$

类似于Fisher判别分析的表达式 ${{{{{\varphi }}^{\rm{T}}}\left( {{{{S}}_{\rm{b}}}} \right){{\varphi }}}}/$ $\left({{{{{\varphi }}^{\rm{T}}}\left( {{{{S}}_{\rm{w}}}} \right){{\varphi }}}}\right) $，类间离散度矩阵S_b的迹越大，表示投影后两类样本的类中心离得远；类内离散度矩阵S_w的迹越小，表示投影后样本与同类类中心离得近. 分子的迹越大，分母的迹越小， $\rho $越大，所求投影方向 ${{\varphi}} $的分类性能越好. 对于给定的样本集X，分子中的 ${\rm{tr}}\left( {\sum\nolimits_{i,j = 1}^N {\left( {{{{x}}_i} - {{{x}}_j}} \right){{\left( {{{{x}}_i} - {{{x}}_j}} \right)}^{\rm{T}}}W_{ij}^{\rm{P}}} } \right)$越大，分母中的 ${\rm{tr}}\left( {\sum\nolimits_{i,j = 1}^N {\left( {{{{x}}_i} - {{{x}}_j}} \right){{\left( {{{{x}}_i} - {{{x}}_j}} \right)}^{\rm{T}}}W_{ij}^{\rm{B}}} } \right)$越小，则利用MFA方法计算出来的投影方向 ${{\varphi}} $的分类性能越好，其中 $\left( {{{{x}}_i} - {{{x}}_j}} \right){\left( {{{{x}}_i} - {{{x}}_j}} \right)^{\rm{T}}}$表示样本间的离散度矩阵. 由于 ${\rm{tr}}\left( {\left( {{{{x}}_i} - {{{x}}_j}} \right){{\left( {{{{x}}_i} - {{{x}}_j}} \right)}^{\rm{T}}}} \right) = {\left\| {{{{x}}_i} - {{{x}}_j}} \right\|^2}$，则 $\rho $等价于若干样本间距离和的比值，即 $\rho ={{\sum\nolimits_{i = 1}^N {l_i^{\rm{P}}} }}/{{\sum\nolimits_{i = 1}^N {l_i^{\rm{B}}} }}$，其中 ${l_i}$为样本x_i与其近邻样本的距离和. 改进后，样本与其近邻样本的距离和的变化情况与垂线的位置有关. 如图2所示，以白色样本为例，令垂线沿o->p的方向运动，可知，在大多数情况下，样本与其同类近邻样本的距离和大于等于改进前，而位于靠近异类样本一侧且距离垂线最远的（k−1）个白色样本（例如图中的样本3位置）的近邻样本数会少于近邻参数k，导致距离和减少. 对于异类近邻样本而言，仅当垂线过两类的重叠区域时，样本与其近邻样本的距离和是增大的，其他位置时的距离和不变. 改进后的判别能力为

$ {\rho _{{\rm{In}}}}{\rm{ = }}\frac{{\sum\limits_{i = 1}^N {l_i^{\rm{P}}} {\rm{ + }}\Delta {l^{\rm{P}}}}}{{\sum\limits_{i = 1}^N {l_i^{\rm{B}}} {\rm{ + }}\Delta {l^{\rm{B}}}}}. $

式中： $\Delta l$为距离和的相对增量. 显然 $\Delta {l^{\rm{P}}} \geqslant {\rm{0}}$， $\Delta {l^{\rm{B}}}$与k^B有关，当k确定后，算法性能仅与 $\Delta {l^{\rm{P}}}$有关. 当硬件木马的规模较小时，两类样本的可分性差，两类样本的重叠区域大， $\Delta {l^{\rm{P}}}$增大，此时， $\sum\nolimits_{i = 1}^N {l_i^{\rm{B}}} \Delta {l^{\rm{P}}} > $ $\sum\nolimits_{i = 1}^N {l_i^{\rm{P}}} \Delta {l^{\rm{B}}}$， ${\rho _{{\rm{In}}}} > \rho $，改进后的方法性能优于改进前.

给出基于改进MFA的硬件木马检测方案.

1）旁路信号的采集. 在同一测试向量下采集“金片”和待测IC的功耗旁路信号，得到旁路信号集X=L₁∪L₂. 其中，L₁={b（i, j）|i=1, 2, $\cdots $, N/2; j=1, 2, $\cdots $, M}和L₂={t（i, j）|i=1, 2, $\cdots $, N/2; j=1, 2, $\cdots $, M}分别为“金片”和待测IC的功耗旁路信号集，N为旁路信号个数，M为每条旁路信号的采样长度.

2）计算权重矩阵. 设定近邻参数k^B和k^P，根据式（5）选择候选样本点，利用式（1）、（2）分别计算本征图和惩罚图的权重矩阵W^B和W^P.

3）计算拉普拉斯矩阵. 根据2）中的权重矩阵，分别计算相应的拉普拉斯矩阵L^B和L^P.

4）计算特征向量集. 根据式（3）及3）中的拉普拉斯矩阵，计算特征向量集 ${{\varPhi}} $以及L₁和L₂在投影方向上的投影 ${{L}}_1' $和 ${{L}}_2' $.

5）通过比对信号集 ${{L}}_1' $和 ${{L}}_2' $的差异，判断是否含有木马. 若不能判断待测IC中含有硬件木马，则重复2），直至检测出硬件木马或遍历所有的参数取值为止（此时认为待测芯片中没有硬件木马）.

采用配有XC5VLX30 FPGA芯片的SASEBO旁路攻击标准评估板进行检测实验，PC端使用LabVIEW编写的虚拟仪器控制平台控制整个采集过程，示波器Tektronix DPO4104用于采集现场可编程门阵列(FPGA)工作时的功耗旁路信号，USB数据线用于数据传输. 实验时，在FPGA中分别运行含硬件木马和不含硬件木马的高级加密标准（Advanced Encryption Standard, AES）电路，逻辑规模为4 453个六输入LUT和1 270个寄存器. 实验中植入的硬件木马为组合型，在特定明文条件下会被激活并引发单比特故障. 对于同规模的其他类型硬件木马，本文方法同样适用. 采集时，使用固定明文进行采样（硬件木马未激活），采样频率设为2.50 ×10⁹采样点/s，采样时长为0.4 μs，每1 000个采样点作为一条旁路信号，在相同的实验环境下分别采得“金片”和含木马芯片的功耗旁路信号各1 000条，作为后期处理的样本集. 为了削弱噪声的影响，每条旁路信号均为16次采样求平均的结果.

为了验证方法的有效性，采用K-L变换^[6]、核MMC^[15]、MFA和改进的MFA进行对比实验. 由于可以通过最优投影方向上的投影差异进行硬件木马检测，以每个投影方向上“金片”样本投影的μ±3σ（σ为标准差）为检测边界，以简单投票法^[19]为判别标准，即统计待测IC在每个投影方向上落在μ±3σ范围内的样本数与范围外的样本数，以落于边界外样本数最大的特征向量为最优投影方向. 若该特征向量上位于边界范围外的样本数多于范围内的样本数，则判定含有硬件木马. 实验对1 000条待测IC的旁路信号进行分析，因此检测阈值设定为500. 若超出检测边界的样本数多于500，则判定含有硬件木马. 实验中关于近邻数k的选择，目前尚无有效的理论指导，一般根据经验从2~20进行选取^[16]，本文MFA方法的参数设为k^B=k^P=15.

如图3所示为采用K-L变换^[6]、核MMC ^[15]、MFA和改进的MFA对占电路规模约为0.11%的硬件木马（木马1，规模为5个LUT）的检测结果. 图中，E_v为按照特征值大小排序的特征向量，P_v为每个特征向量上的投影值，深色部分为“金片”的投影分布，浅色部分为含木马IC的投影分布，2条黑色虚线为检测边界. 直观来看，MFA和改进的MFA在第一个特征向量上有良好的区分效果，大多数浅色样本超出检测边界，经统计可知，超出3σ范围的样本投影数分别为944和998，能够检测出硬件木马；核MMC（第1个特征向量）和K-L变换（第2个特征向量）仅有少部分浅色样本超出边界，经统计可知，超出3σ范围的样本投影数分别为297和165，均不能判断是否含有木马.

随着硬件木马规模的减小，2类样本的重叠区域增大，最优投影方向上的投影差异越来越小. 当硬件木马（木马2，规模为1个LUT）的规模降为0.02%时，检测结果如图4所示. 此时，核MMC和K-L变换在最优投影方向上超出检测边界的样本数分别为33（第1个特征向量）和30（第2个特征向量），均不能判断出硬件木马；MFA和改进的MFA在第1个特征向量上测得检测边界外的样本数分别为358和776，仅改进的MFA能够检测出硬件木马.

对比图3、4可知，基于MFA的硬件木马检测具有比K-L变换和核MMC更好的检测效果. 此外，从图3、4可以看出，在第1个投影方向上，改进MFA方法的同类样本投影范围（2个检测边界之间的宽度）均小于MFA方法，即改进的MFA使投影空间中同类样本的范围更小. 改进的MFA方法在第1个特征向量上超出检测边界的浅色样本数均多于MFA方法.图3中，改进MFA方法的浅色样本几乎都超出检测边界，MFA方法的浅色样本仍有一小部分位于边界范围中；图4中，MFA方法生成的投影中有一多半浅色样本位于检测边界内，而改进的MFA方法仅有一小部分落在检测边界内，即改进的MFA方法使两类样本的投影离得更远. 综上所述，改进的MFA方法在第1个投影向量上的分类性能优于MFA，与前文的分析一致，提高了硬件木马检测效果.

为了进一步对4种方法进行对比，设计5种上述功能的不同规模的硬件木马（通过减少硬件木马触发电路规模的方式），分别进行10次实验，统计每种硬件木马在最优投影方向上超出3σ边界的平均样本数，结果如图5所示. 图中，S_HT表示硬件木马相对电路的规模，N_p为超出3σ边界的样本数. 从图5可以看出，改进的MFA方法具有更好的检测效果，优于其他3种方法.

为了验证该方法在工艺偏差影响下的检测效果，采用11个XC3S400芯片（1个“金片”，5个无硬件木马的待测芯片，5个含硬件木马的待测芯片）进行硬件木马检测. 实验时，该芯片中运行规模为5 512个LUT和847个寄存器的AES电路，植入的上述功能的硬件木马（3LUT）占原始电路规模的0.05%. 旁路信号的采集方式与前文相同，为了降低工艺噪声的影响，采用文献[12]的方式对旁路信号进行预处理，即电路进行加密时的功耗旁路信号与未加密时刻的功耗旁路信号进行自差分，对差分后的信号进行检测分析.

如图6所示为采用改进MFA方法对10个待测芯片的检测结果. 图中，N_c为实验序号（每次实验检测一个无硬件木马芯片和一个含硬件木马芯片），N_p为最优投影方向上位于检测边界外的样本数，虚线为检测边界，位于检测边界上方的点说明该芯片中含有硬件木马. 其中第1组检测实验的具体检测结果如图7所示. 由图6可知，利用该方法能够100%检测出占电路规模0.05%的硬件木马，不会产生误检.

基于改进边界Fisher分析近邻选择的硬件木马检测方法能够在不对数据分布作任何假设的前提下，有效提取“金片”和含硬件木马芯片之间旁路信号的特征差异，具有更高的检测精度，为硬件木马检测提供一条新思路. 工艺噪声的存在降低了硬件木马的检测精度，为了进一步提高检测效果，可以根据硬件木马可能植入电路中的位置，研究相应的硬件木马激活策略，完全/部分激活硬件木马，以提高检测效果. 此外，可以采用启发式算法寻找最优近邻参数k，提高MFA方法的性能，实现硬件木马的快速检测.