1. 引言

当前集成电路芯片已经渗透到现代科技的各个领域，对科技发展起着越来越大的推动作用，与此同时针对芯片的攻击行为也越来越普遍，芯片的设计与制造过程相分离这一趋势导致芯片在外包制造过程中存在风险，部分不可信制造商可能更改芯片的原始设计嵌入所谓的“硬件木马”电路，并在特定的触发激活条件下实现破坏性功能或泄漏芯片内部秘密信息，由于针对芯片硬件设计的木马攻击能够影响大量的器件并且检测困难，因此“硬件木马”被认为是对所有安全模型的一个重大威胁。新一代人工智能驱动新型工业化以新一代人工智能的突破性创新为逻辑起点，突出生产组织在衔接技术创新和产业创新过程中的重要作用。在此背景下，人工智能技术的突破为硬件安全检测提供了新思路，其强大的特征学习与异常识别能力，能够有效解决传统方法的局限性。本研究的核心目标是构建人工智能驱动的检测体系，以提升硬件木马识别的准确性与泛化能力，推动集成电路安全防护技术的迭代升级。

2. 硬件木马植入问题分析

2.1. 硬件木马的潜在威胁与植入方式

硬件木马作为恶意电路模块通过篡改芯片功能或窃取敏感信息，对集成电路安全性构成严重威胁，其植入途径贯穿芯片全生命周期在设计阶段攻击者可利用设计工具漏洞或第三方IP核嵌入恶意逻辑，在制造阶段代工厂的不可控性为物理层木马植入提供机会，在供应链环节封装测试后的芯片可能被恶意替换或二次加工植入木马[1]。典型木马类型包括触发器型与功能破坏型前者通过特定条件激活隐蔽攻击行为，后者直接干扰电路正常功能，隐蔽性是其核心特征，木马设计常采用低触发概率、物理布局伪装以及动态行为随机化技术，例如通过电磁辐射或温度波动触发攻击，以规避传统检测手段。

2.2. 传统检测技术的局限性

传统检测方法依赖功能测试与侧信道分析，但其局限性在新型攻击场景下愈发显著，功能测试通过输入激励验证电路输出，但木马在非触发状态下可完全隐藏，导致测试覆盖率严重不足。侧信道分析基于功耗、电磁或时序特征差异识别异常然而现代芯片设计的高集成度与工艺偏差会引入噪声，造成信噪比降低，误报率显著升高，此外传统方法需预设木马特征库，难以应对采用动态行为混淆技术的木马变体[2]。物理检测技术如光学显微镜或聚焦离子束成像虽能直接观测电路结构，但面对先进制程芯片的纳米级特征与多层金属布线，检测成本与效率难以满足实际需求。更关键的是传统技术缺乏对电路动态运行状态的全局建模能力，无法捕捉木马激活前后的行为关联性导致对协同攻击的防御能力薄弱。

2.3. AI驱动型检测的技术优势

人工智能技术通过多层次特征学习与动态行为建模为硬件木马检测提供突破性解决方案，基于深度学习的特征提取可自动挖掘电路功能与物理特性间的隐含关联，例如卷积神经网络(CNN)能够从版图图像中识别异常布局模式，图神经网络(GNN)可建模电路节点间的拓扑关系，发现违背设计规则的可疑连接[3]。在动态行为分析中时序模型通过捕捉电路运行时的功耗、信号跳变等时序特征，构建正常行为基线，利用异常检测算法定位偏离基线的潜在木马活动，对未知木马检测迁移学习与无监督学习技术可将已有知识迁移至新型攻击场景，例如通过自编码器重构电路特征空间，以残差分析识别未标注木马样本。相比传统方法AI驱动型检测具备三大核心优势，一是通过端到端学习消除人工特征设计的偏差提升检测泛化能力，二是利用多模态数据融合实现跨层次威胁感知；三是结合在线学习机制实时更新模型，应对持续演化的攻击技术。

3. AI驱动型检测设计

3.1. 检测框架与模型选择

提出基于行为特征分析的检测架构如图1所示，其核心是通过多模态数据融合与动态行为建模实现硬件木马识别。框架包含以下模块数据输入层集成电路仿真数据(逻辑状态、功耗、时序波形)与物理层参数(版图布局、金属层特征)，特征提取层利用CNN处理版图图像，GNN建模电路拓扑关系，LSTM捕捉时序特征，行为建模层融合多模态特征，构建正常电路行为基线，异常检测层基于重构误差或分类置信度输出木马定位结果[4]。模型选择依据任务特性卷积神经网络(CNN)适用于版图图像中异常布局模式的检测，通过卷积核提取局部空间特征，图神经网络(GNN)建模电路网表中节点(逻辑门)与边(连接线)的关系，识别违背设计规则的子图结构，长短期记忆网络(LSTM)处理时序信号(如动态功耗曲线)，捕捉木马触发前后的行为突变。

Figure 1. Detection architecture

图1. 检测架构

3.2. 数据集构建与特征提取

数据集构建仿真环境使用Synopsys VCS或Cadence Xcelium生成正常电路与植入木马电路的仿真数据，覆盖典型攻击场景(触发器型、功能破坏型)，木马注入在RTL级或门级网表中插入木马模块，设置不同触发条件，数据采集记录电路运行时的多维度参数，逻辑状态通过仿真波形提取信号跳变序列，功耗特征利用SPICE仿真获取动态电流曲线，时序参数测量关键路径延迟与时钟偏移[5]。特征提取公式多模态特征融合：

$F={\displaystyle \sum _{i=1}^n{w}_i}\cdot f_i$

$w_i=\frac{\exp \left({\alpha }_i\right)}{{\displaystyle \sum _{j=1}^n\exp }\left({\alpha }_j\right)}$

其中：

$w_i=\frac{\exp \left({\alpha }_i\right)}{{\displaystyle \sum _{j=1}^n\exp }\left({\alpha }_j\right)}$

式中f_i第i类特征向量如版图、功耗、时序，w_i通过注意力机制计算的权重，α_i可学习参数，反映特征重要性。时序信号归一化：

${\tilde{x}}_t=\frac{x_t-{\mu }_{\text{win}}}{{\sigma }_{\text{win}}}$

${\mu }_{\text{win}}=\frac{1}{T}{\displaystyle \sum _{t=1}^T{x}_t}$

${\sigma }_{\text{win}}=\sqrt{\frac{1}{T}{\displaystyle \sum _{t=1}^T{\left(x_t-{\mu }_{\text{win}}\right)}^2}}$

其中，x_t原始时序信号如t时刻的功耗值，${\tilde{x}}_t$ 滑动窗口内的归一化值，T窗口长度。实现逻辑版图特征提取将电路GDSII文件转换为灰度图像，CNN通过卷积层(如ResNet-50)提取空间特征，拓扑关系建模GNN将电路网表表示为图结构，通过消息传递机制聚合邻域节点信息，时序对齐对多源异步数据如逻辑状态与功耗进行时间戳同步，确保特征一致性。本研究构建的硬件木马数据集包含三大类共12种子类型木马，数据规模达到28,000个电路实例，其中训练集、验证集与测试集按7:2:1比例划分，数据集特征包括木马类型触发器型(频率触发、时序组合触发)、功能破坏型(电压毛刺注入、时钟偏移攻击)、数据泄露型(侧信道编码传输、电磁辐射泄漏)；触发条件采用概率触发机制(0.01%~10%激活概率)、多条件复合触发需同时满足3个以上逻辑条件；物理特征布局伪装率≥70%的金属层干扰结构，动态功耗波动控制在基准电路±5%范围内；数据增强通过工艺偏差模拟(±10%线宽变化)和噪声注入(20 dB高斯白噪声)扩充数据多样性。

3.3. 动态行为分析与异常识别

数据采集与预处理动态行为捕获在FPGA或仿真平台运行目标电路，采集激活木马前后的行为数据，噪声过滤采用小波变换去除高频噪声，保留与木马相关的低频特征。异常检测公式基于LSTM的重构误差：

${ℒ}_{\text{rec}}=\frac{1}{N}{\displaystyle \sum _{t=1}^N{\Vert x_t-{\widehat{x}}_t\Vert }^2}$

其中，$x_t$ 为t时刻的时序特征向量，${\widehat{x}}_t$ 为LSTM预测值，k历史窗口长度，N总时间步数。异常评分函数：

$S_{\text{anomaly}}=1-\exp \left(-\lambda \cdot {ℒ}_{\text{rec}}\right)$

其中λ为灵敏度系数，S_anomaly ∈ [0, 1]，值越大表示异常概率越高。实现逻辑正常行为建模在训练阶段使用无木马数据集训练LSTM或自编码器，最小化重构误差，在线检测实时输入测试数据，计算重构误差并与阈值比较，触发异常告警，木马定位通过梯度类激活映射(Grad-CAM)定位导致异常的电路模块如特定逻辑门或连线。时序建模LSTM单元状态更新公式：

$h_t,c_t=\text{LSTM}\left(x_t,h_{t-1},c_{t-1}\right)$

其中，h_t为t时刻隐藏状态，c_t记忆细胞状态，x_t输入特征向量。多模态融合将CNN、GNN与LSTM的输出特征拼接，通过全连接层映射到统一空间。

4. 效果评估

实验基于Xilinx Zynq UltraScale + MPSoC平台采用TSMC 7 nm工艺仿真环境，构建包含2000个正常电路与800个木马电路的测试集覆盖已知木马类型包括触发器型(50%)、功能破坏型(30%)、数据泄露型(20%)，未知木马类型基于对抗生成网络(GAN)合成的20种新型木马变体，复杂攻击场景低触发概率木马(触发概率 < 0.1%)、多节点协同攻击(≥3个木马模块联动)。评估指标包括准确率(Accuracy)、召回率(Recall)、F1值(F1-Score)、误报率(FPR)及检测耗时(Inference Time)。实验对比传统方法(功能测试、侧信道分析)与AI驱动模型(CNN、GNN、LSTM及多模态融合模型)。

检测准确率与误报率如表1不同模型在已知木马场景下的性能对比所示，

Table 1. Performance comparison of different models in known trojan scenarios

表1. 不同模型在已知木马场景下的性能对比

AI模型显著提升检测性能多模态融合模型在准确率与F1值上分别较传统方法提升12.2%和0.28，误报率降低至1.2%，表明多维度特征融合有效抑制噪声干扰，模型特性差异GNN因直接建模电路拓扑关系，在功能破坏型木马检测中召回率最高(93.5%)，LSTM对时序特征敏感，在触发器型木马识别中表现最优(F1 = 0.94)，误报率对比传统方法因依赖人工特征设计，误报率普遍高于10%，而AI模型通过端到端学习将误报率控制在5%以内。

复杂攻击场景下的鲁棒性如图2复杂攻击场景下的检测率对比所示，低触发概率木马多模态融合模型检测率为92.3%，传统方法仅54.7%，多节点协同攻击AI模型通过动态行为关联分析，检测率达88.9%，传统方法因局部特征局限降至41.2%，抗干扰能力在叠加20%高斯噪声的功耗数据中，AI模型F1值仅下降2.1%，传统方法下降14.7%。

Figure 2. Detection rate comparison in complex attack scenarios

图2. 复杂攻击场景下的检测率对比

动态行为建模优势AI模型通过LSTM捕捉木马激活前后的时序关联性，显著提升低触发概率攻击的识别能力，多节点协同检测GNN的图注意力机制可定位跨模块异常连接，解决传统方法无法覆盖的协同攻击问题，抗噪能力CNN的卷积池化操作与特征归一化技术，有效过滤物理层噪声，保障检测稳定性。与传统方法的对比分析如图3 ROC曲线对比所示。

Figure 3. ROC curve comparison

图3. ROC曲线对比

检测效率对比如表2所示。

Table 2. Detection efficiency comparison

表2. 检测效率对比

检测效率提升AI模型通过并行计算与硬件加速如GPU推理，检测耗时降低至传统方法的18.3%，覆盖率突破多模态融合模型覆盖96%的木马类型，较传统方法提升31%，主要受益于无监督学习对未知木马的泛化能力，ROC曲线分析AI模型的AUC值接近1，表明其在所有误报率阈值下均能保持高召回率，而传统方法在FPR > 10%时TPR急剧下降。

为全面评估模型性能本研究在原有指标基础上引入AUC值分析，并在TSMC 7 nm、SMIC 14 nm与GlobalFoundries 22 nm三种工艺节点数据集上进行跨工艺验证如表3所示。

Table 3. Performance comparison on multi-process datasets (%)

表3. 多工艺数据集性能对比(%)

Figure 4. Temporal attention weight variation curve

图4. 时序注意力权重变化曲线

实验表明，模型在先进工艺(TSMC 7 nm)中表现最优，准确率达97.8%，AUC值高达0.992；在成熟工艺中尽管金属层特征差异导致误报率升至3.4%，但AUC值仍保持0.974，显著优于传统方法的0.851~0.893区间，跨数据集测试中模型通过迁移学习在SMIC 14 nm与GlobalFoundries 22 nm数据集上分别获得91.4%与89.7%的F1值，验证其工艺适应性。进一步分析显示，模型对工艺偏差的鲁棒性源于多模态特征融合机制版图特征(占比32%)与时序特征(占比29%)通过注意力权重动态补偿物理层差异，使得跨数据集性能衰减控制在5%以内。为解决AI模型“黑箱”问题，本研究构建分层可解释框架，局部解释基于SHAP值量化特征贡献度，发现版图特征(平均SHAP = 0.32)和时序特征(SHAP = 0.29)主导分类决策，其中异常环形连接(贡献度18.7%)与非法扇出节点(12.3%)为关键拓扑特征；决策路径可视化采用GNNExplainer提取木马子图结构，定位到触发模块的典型特征包括非对称布局(检出率82%)和冗余逻辑单元(73%)，与传统物理检测结果一致性达89%；时序归因分析通过LSTM注意力机制发现，木马激活前5个时钟周期内功耗特征权重从0.15跃升至0.62如图4所示精准捕捉触发阶段的动态行为突变。

5. 总结

随着集成电路全球化生产与设计复杂度的提升，硬件木马通过设计漏洞、制造污染与供应链渗透等途径植入的风险持续加剧，其隐蔽性强、触发机制多样的特性对传统检测方法构成严峻挑战。本文针对现有技术在高误报率、低泛化能力及复杂攻击防御上的不足，提出人工智能驱动型检测框架，通过多模态特征融合与动态行为建模实现硬件木马精准识别。实验表明，该框架在已知木马检测中准确率达97.8%，误报率降至1.2%，对低触发概率木马与协同攻击的检测率提升超40%，且检测效率较传统方法提高5倍以上。研究验证了AI技术在特征自主挖掘、时序关联分析及未知威胁泛化识别中的核心优势，为集成电路全生命周期安全防护提供了理论支撑与工程实践路径。未来研究将聚焦模型轻量化部署与对抗性攻击防御，进一步推动技术落地于芯片设计验证与供应链监控场景，构建可扩展的智能安全生态体系。

参考文献