(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111466605.6 (22)申请日 2021.12.0 3 (71)申请人 南京航空航天大 学 地址 210016 江苏省南京市秦淮区御道街 29号 (72)发明人 姚嘉祺　张颖　陈鑫　毛志明　 杨济中　华屹峰　姚娇艳　李源翔　 (74)专利代理 机构 南京经纬专利商标代理有限 公司 32200 代理人 熊玉玮 (51)Int.Cl. G06F 21/56(2013.01) G06F 21/77(2013.01) H04L 9/40(2022.01) (54)发明名称 基于机器学习的片上网络硬件木马检测平 台 (57)摘要 本发明公开基于机器学习的片上网络硬件 木马检测平台， 属于计算、 推算或计数的技术领 域。 通过构建包含了流量特征跟踪提取模块、 特 征提取寄存模块、 变点检测模块以及随机森 林检 测木马模块的安全性检测模块， 搭建了基于机器 学习的片上网络硬件木马检测平台。 流量特征跟 踪提取模块是通过分析片上网络流量特征， 将片 上网络中流量数据转换为片上网络流量时间序 列模型。 特征提取结果寄存模块将特征数据进行 保存。 变点检测模块通过贝叶斯变点方法提取片 上网络流量时间序列模型中的变点与异常点， 用 于分离出正 常数据和变点数据。 随机森林检测模 块通过学习复杂且互相关联的片上网络流量特 征， 准确识别片上网络异常行为。 权利要求书2页 说明书6页 附图2页 CN 114139158 A 2022.03.04 CN 114139158 A 1.基于机器学习的片上网络硬件木马检测方法， 其特 征在于， 提取片上网络硬件木马的网络流 量特征数据； 按照网络流 量特征数据的采集时间顺序生成片上网络流 量时间序列； 对片上网络流量时间序列中的变点及异常点进行定位， 在检测出变点及异常点时， 将 变点及异常点的贝叶斯相关参数作为动态木马特 征数据； 依据网络流量特征和动态木马 特征构成的木马特征集， 采集各待测片上网络的网络流 量特征数据值以及动态木马特征数据值后 构建数据集， 以数据集为分类器的输入训练分类 器以获取最佳特征集， 利用最佳特征集训练分类器获得最优分类器， 利用最优分类器对待 测片上网络的木马特 征数据进行在线检测。 2.基于机器学习的片上网络硬件木马检测平台， 用于实现权利要求1所述的方法， 其特 征在于， 所述片上网络硬件木马检测平台包括： 流量特征跟踪提取模块， 用于提取片上网络硬件木马的网络流量特征数据， 输出提取 的网络流 量特征数据至特 征提取结果寄存 模块； 特征提取结果寄存模块， 按照接收时间顺序将网络流量特征数据存储为片上网络流量 时间序列； 变点检测模块， 读取特征提取结果寄存模块存储的片上网络流量时间序列， 对片上网 络流量时间序列中的变点及异常点进行定位， 在检测出变点及异常点时， 将变点及异常点 所在位置的数据点的贝叶斯概率密度函数值作为动态木马特征数据发送给随机森林检测 木马模块； 及， 随机森林检测木马模块， 采集各待测片上网络的网络流量特征数据值以及变点检测模 块检测各片上网络流量时间序列后输出的动态木马特征数据值， 以采集的各待测片上网络 的网络流量特征数据值以及动态木马特征数据值为数据集训练随机森林模型以获取最佳 特征集， 利用最佳特征集训练随机森林模型以获取最佳随机森林模型， 利用最佳随机森林 模型对待测片上网络的木马特 征数据进行在线检测。 3.根据权利要求2所述基于机器学习的片上网络硬件木马检测平台， 其特征在于， 所述 流量特征跟踪提取模块提取的片上网络硬件木马的网络流量特征数据包括： 路由节点每个 输入端口的缓冲区利用率数值、 路由节点每个输入端口的链路利用率数值、 本地操作温度 数值。 4.根据权利要求2所述基于机器学习的片上网络硬件木马检测平台， 其特征在于， 所述 流量特征跟踪提取模块 根据预定的防护粒度提取片上网络硬件木马的网络流 量特征数据。 5.根据权利要求2所述基于机器学习的片上网络硬件木马检测平台， 其特征在于， 对片 上网络流量时间序列中的变点及异常点进行定位的具体过程为： 对时间 t具有的游程长度 rt的概率进行建模， 估计时间 t之后预定数量的数据点 n的概率， 时间 t之后预定数量的数据 点n的概率超过预定义阈值时， 时间 t采集的网络流 量数据为变点或异常点。 6.根据权利要求2所述基于机器学习的片上网络硬件木马检测平台， 其特征在于， 获取 最佳特征集的具体过程为： 通过 交叉验证方式将数据集分为训练集和测试集后进 行动态检 测， 并统计每次检测的准确度， 依据随机森林模型准确度最高时的木马特征数据数量以及 每个木马特 征数据的重要性 排名， 对数据集进行筛 选得到最佳 特征集。 7.根据权利要求2所述基于机器学习的片上网络硬件木马检测平台， 其特征在于， 利用权　利　要　求　书 1/2 页 2 CN 114139158 A 2最佳特征集训练随机森林模型的具体过程为： 采用交叉验证法将最佳特征集分为训练集和 测试集后训练随机森林模型的参数， 根据所述 参数确定最佳随机森林模型。权　利　要　求　书 2/2 页 3 CN 114139158 A 3