技术特征:
1.一种用于指令分类和软件入侵检测的方法,所述方法包括:经由侧通道信号分析来监视微控制器单元(mcu)的处理器的程序指令执行,所述监视包括捕获mcu的物理属性的信号轨迹,所述信号轨迹泄漏与mcu的程序指令执行相关的信息,所述信号轨迹指示物理属性随时间的值;从信号轨迹提取时域特征、频域特征和梅尔频率倒谱系数(mfcc)特征;基于时域特征、频域特征和mfcc特征,利用用于指令检测的模型来标识执行签名;将执行签名与一个或多个参考指令签名进行比较;和响应于执行签名未能与所述一个或多个参考指令签名匹配,执行补救动作。2.根据权利要求1所述的方法,其中mcu的物理属性包括电压、功率、声音、电磁辐射、振动、光或热中的一个或多个。3.根据权利要求1所述的方法,其中所述信号轨迹是从mcu的一个或多个引脚、从供应mcu的电压、从mcu的接地连接、或者从供应mcu的中间电压调节器捕获的功率轨迹。4.根据权利要求3所述的方法,其中所述一个或多个引脚包括mcu的供应电压引脚。5.根据权利要求3所述的方法,其中所述一个或多个引脚包括mcu的i/o引脚,以用作发起和/或终止捕获所述信号轨迹的外部触发器。6.根据权利要求1所述的方法,其中信号轨迹的捕获的发起和/或终止由mcu的一个或多个硬件或软件中断触发。7.根据权利要求1所述的方法,进一步包括:执行参考程序;在参考程序的执行期间,从mcu捕获参考程序信号轨迹;从参考程序信号轨迹提取参考程序执行特征,包括时域特征、频域特征和mfcc特征;至少部分地基于参考程序执行特征,利用用于指令检测的模型来为参考程序生成参考程序指令签名;和将参考程序指令签名添加到所述一个或多个参考指令签名。8.根据权利要求1所述的方法,其中所述补救动作包括重置mcu的缓冲器、重启mcu的处理器、利用从只读存储器检索到的mcu的软件的副本来重新刷新所述软件、从网络禁用mcu、禁用mcu的中断或停止mcu的执行中的一个或多个。9.根据权利要求1所述的方法,进一步包括:在mcu上执行一个或多个测试程序,所述测试程序执行mcu的预定义指令;在测试程序的执行期间接收mcu的一个或多个物理属性的设备测量,所述物理属性包括在测试程序的执行期间从mcu捕获的测试程序信号轨迹;从测试程序信号轨迹提取测试程序时域特征、测试程序频域特征和测试程序mfcc特征;和训练用于指令检测的模型,以利用设备测量、测试程序时域特征、测试程序频域特征和测试程序mfcc特征来标识预定义指令的执行。10.一种用于指令分类和软件入侵检测的系统,所述系统包括:测量设备,被配置为经由侧通道信号分析来监视mcu的处理器的程序指令执行,以捕获mcu的物理属性的信号轨迹,所述信号轨迹泄漏与mcu的程序指令执行相关的信息,所述信号轨迹指示物理属性随时间的值,mcu的物理属性包括电压、功率、声音、电磁辐射、振动、光
或热中的一个或多个;和与测量设备通信的分析设备,其被编程为从测量设备接收从mcu捕获的信号轨迹;从信号轨迹提取时域特征、频域特征和mfcc特征;基于时域特征、频域特征和mfcc特征,利用用于指令检测的模型来标识执行签名;将执行签名与一个或多个参考指令签名进行比较;以及响应于执行签名未能与所述一个或多个参考指令签名匹配,执行补救动作。11.根据权利要求10所述的系统,其中所述分析设备是硬件安全模块。12.根据权利要求10所述的系统,其中所述分析设备是远离所述测量设备的独立硬件设备。13.根据权利要求10所述的系统,其中所述分析设备进一步被编程为:从测量设备接收在参考程序执行期间从mcu捕获的参考程序信号轨迹;从参考程序信号轨迹提取参考程序执行特征,包括时域特征、频域特征和mfcc特征;至少部分地基于参考程序执行特征,利用用于指令检测的模型来为参考程序生成参考程序指令签名;和将参考程序指令签名添加到所述一个或多个参考指令签名。14.根据权利要求10所述的系统,其中所述信号轨迹是从mcu的一个或多个引脚、从供应mcu的电压、从mcu的接地连接、或者从供应mcu的中间电压调节器捕获的功率轨迹,其中所述一个或多个引脚包括mcu的供应电压引脚或mcu的i/o引脚中的一个或多个,以用作发起和/或终止捕获信号轨迹的外部触发器。15.根据权利要求10所述的系统,其中信号轨迹的捕获的发起和/或终止由mcu的一个或多个硬件或软件中断触发。16.根据权利要求10所述的系统,其中所述补救动作包括重置mcu的缓冲器、重启mcu的处理器、利用从只读存储器检索到的mcu的软件的副本来重新刷新所述软件、从网络禁用mcu、禁用mcu的中断或停止mcu的执行中的一个或多个。17.根据权利要求10所述的系统,其中所述分析设备进一步被编程为:在mcu上执行一个或多个测试程序期间,接收mcu的一个或多个物理属性的设备测量,测试程序执行mcu的预定义指令,所述一个或多个物理属性包括在测试程序执行期间从mcu捕获的测试程序信号轨迹;从测试程序信号轨迹提取测试程序时域特征、测试程序频域特征和测试程序mfcc特征;和训练用于指令检测的模型,以利用设备测量、测试程序时域特征、测试程序频域特征和测试程序mfcc特征来标识预定义指令的执行。18.根据权利要求10所述的系统,其中所述测量设备是示波器。19.一种非暂时性计算机可读介质,包括用于指令分类和软件入侵检测的指令,所述指令当被分析设备执行时,使得所述分析设备执行操作,所述操作包括:从测量设备接收mcu的物理属性的信号轨迹,所述信号轨迹泄漏与mcu的程序指令执行相关的信息,所述信号轨迹指示物理属性随时间的值,mcu的物理属性包括电压、功率、声音、电磁辐射、振动、光或热中的一个或多个;
从信号轨迹提取时域特征、频域特征和mfcc特征;基于时域特征、频域特征和mfcc特征,利用用于指令检测的模型来标识执行签名;将执行签名与一个或多个参考指令签名进行比较;和响应于执行签名未能与所述一个或多个参考指令签名匹配,执行补救动作,其中所述补救动作包括重置mcu的缓冲器、重启mcu、利用从只读存储器检索到的mcu的软件的副本来重新刷新所述软件、从网络禁用mcu、禁用mcu的中断或停止mcu的执行中的一个或多个。20.根据权利要求19所述的介质,其中指令进一步使得分析设备执行操作,所述操作包括:从测量设备接收在参考程序执行期间从mcu捕获的参考程序信号轨迹;从参考程序信号轨迹提取参考程序执行特征,包括时域特征、频域特征和mfcc特征;至少部分地基于参考程序执行特征,利用用于指令检测的模型来为参考程序生成参考程序指令签名;将参考程序指令签名添加到所述一个或多个参考指令签名;在mcu上执行一个或多个测试程序期间,接收mcu的一个或多个物理属性的设备测量,测试程序执行mcu的预定义指令,所述一个或多个物理属性包括在测试程序执行期间从mcu捕获的测试程序信号轨迹;从测试程序信号轨迹提取测试程序时域特征、测试程序频域特征和测试程序mfcc特征;和训练用于指令检测的模型,以利用设备测量、测试程序时域特征、测试程序频域特征和测试程序mfcc特征来标识预定义指令的执行。
技术总结
提供了微控制器程序指令执行指纹识别和入侵检测。执行指令分类和软件入侵检测。微控制器单元(MCU)的处理器的程序指令执行经由侧通道信号分析来监视,该监视包括捕获MCU的物理属性的信号轨迹,该信号轨迹泄漏与MCU的程序指令执行相关的信息,该信号轨迹指示物理属性随时间的值。从信号轨迹提取时域特征、频域特征和梅尔频率倒谱系数(MFCC)特征。模型被用于指令检测,以基于时域特征、频域特征和MFCC特征来标识执行签名。将执行签名与一个或多个参考指令签名进行比较。响应于执行签名未能与所述一个或多个参考指令签名匹配,执行补救动作。作。作。
技术研发人员:M
受保护的技术使用者:罗伯特
技术研发日:2021.03.17
技术公布日:2021/10/11