硬件木马检测方法、硬件木马检测装置以及硬件木马检测用程序

1.本发明涉及硬件木马检测方法、硬件木马检测装置以及硬件木马检测用程序。


背景技术：

2.硬件木马是以在某个条件下动作的方式控制启动的触发电路、和在通过该触发电路启动时输出不正常数据的有效载荷电路作为主要的构成要素。硬件木马为了难以通过逻辑模拟来发现，因此一般构成为极少发挥功能。
3.在通过逻辑模拟进行硬件木马的情况下，基于测试图案进行的模拟是通例。如上所述，由于硬件木马极少发挥功能，因此需要使用全部的测试图案来观察状态，模拟需要大量的时间。另外，在进行转移概率的模拟的情况下，需要库等所使用的全单元的信息。因此，设计者以外难以进行硬件木马的检测。
4.在专利文献1中，公开了通过rtl模拟机构、栅极动作率计算用图案生成机构以及网表模拟机构进行动作率计算的系统。根据该系统，栅极动作率计算用图案的制作与原来的图案相比，能够实现图案数的非常大的降低，与通过网表模拟而使用了原来的测试图案的模拟相比，能够在非常短的时间内执行。
5.然而，专利文献1的系统依然为模拟，栅极动作率计算用图案的制作与原来的图案相比，图案数的非常大的降低也存在极限。
6.另外，在专利文献2中，公开了作为对象的电子电路的网表、对各宏单元的输入端子赋予的动作率、输入端子为高电平的概率、使用该宏单元的真值表的数据库的动作率计算方法。基于上述动作率和输入端子为高电平的概率、真值表，求出各宏单元的输出端子的动作率、输出端子为高电平的概率，将其从输入级传播到最终级，求出网表中的宏单元的动作率。
7.上述专利文献2所公开的技术能够求出宏单元的动作率，即使与基于发热的风险避免等相连，也不会想起进行硬件木马的检测。
8.另外，在专利文献3中，公开了在已知网表中，将可能包括木马网的结构网作为对照网赋予分数，并针对检查对象的网表来检索上述对照网，赋予上述分数，根据该分数进行硬件木马的检测。在先技术文献专利文献
9.专利文献1：日本特开2001-350815号公报专利文献2：日本特开2005-141538号公报专利文献3：日本专利第6566576号公报


技术实现要素：

(发明要解决的课题)
10.本发明的实施方式例如提供一种在soc(system on a chip：片上系统)设计中，在利用ip(intellectual property)时等，在插入有硬件木马的情况下等，能够在比较短的时间内适当地检测硬件木马的硬件木马检测方法。(用于解决课题的技术方案)
11.本实施方式的硬件木马检测方法的特征在于，具备：输入输出更新工序，进行基于检查对象的网表所包括的全部逻辑单元的逻辑式的运算，进行全部逻辑单元的输入输出值的更新；以及检测工序，基于更新后的输入输出值与阈值的比较结果进行硬件木马的检测。另外，在逻辑单元中进行的逻辑运算一般是如1、0或真、假那样仅2种值的逻辑值的运算。与此相对，在本实施方式中，使用仅上述2种值的逻辑值以外的数值(0.5、0.25等小数、5、10等整数等数)，进行基于逻辑单元的逻辑式的运算。
附图说明
12.图1是实现本发明的第一实施方式涉及的硬件木马检测装置的计算机系统的结构图。图2是本发明的第一实施方式涉及的硬件木马检测装置的功能框图。图3是表示通过本发明的第一实施方式涉及的硬件木马检测装置来检测硬件木马的网表的结构网的一例的图。图4是表示本发明的第一实施方式涉及的硬件木马检测装置的动作的流程图。图5是在本发明的实施方式涉及的硬件木马检测装置中设定的参数的说明图。图6是表示对图3所示的结构网设定了参数的情况的结构网的图。图7是表示针对表示对图3所示的结构网设定了参数的情况的结构网，通过基于逻辑单元的逻辑式的运算进行了更新的状态的图。图8是表示通过基于逻辑式的运算进行逻辑单元的更新时的计算式的图。图9是表示针对表示对图7所示的结构网设定了参数的情况的结构网的逻辑单元，通过基于逻辑式的运算进行了更新的状态的图。图10是表示针对表示对图9所示的结构网设定了参数的情况的结构网的逻辑单元，通过基于逻辑式的运算进行了更新的状态的图。图11是表示针对表示对图10所示的结构网设定了参数的情况的结构网的逻辑单元，通过基于逻辑式的运算进行了更新的状态的图。图12是表示针对表示对图11所示的结构网设定了参数的情况的结构网的逻辑单元，通过基于逻辑式的运算进行了更新的第二个冷却的状态的图。图13是实现本发明的第二实施方式涉及的硬件木马检测装置的计算机系统的结构图。图14是本发明的第二实施方式涉及的硬件木马检测装置的功能框图。图15是表示在本发明的第二实施方式涉及的硬件木马检测装置中使用的第一阈值与分数的变换表的图。图16是表示在存在木马网的情况下，长期输出一定值的波形图。图17是表示该第二实施方式涉及的硬件木马检测的处理的流程图。
具体实施方式
13.以下，参照附图，对本发明的实施方式所涉及的硬件木马检测方法、硬件木马检测装置以及硬件木马检测用程序进行说明。在各图中，对相同的构成要素标注相同的附图标记并省略重复的说明。
14.本发明的第一实施方式涉及的硬件木马检测装置1例如能够由如图1所示的个人计算机、工作站、其他计算机系统构成。该计算机系统通过由cpu10基于存储在主存储器11中或者读入到主存储器11中的程序和数据来控制各部，执行必要的处理，由此作为硬件木马检测装置1进行动作。
15.外部存储接口13、输入接口14、显示接口15和网络接口16经由总线12连接到cpu10。外部存储接口13与存储有硬件木马检测用程序等程序和必要数据等的外部存储装置23连接。在输入接口14上连接有作为用于输入指令或数据的输入装置的键盘等输入装置24和作为定点设备的鼠标22。
16.在显示接口15上连接有具有led、lcd等的显示画面的显示装置25。网络接口16与因特网等网络26连接，构成为能够访问外部的服务器、云等。网络26是用于获得必要的数据等的结构，也可以是用于进行数据输入的存储介质或输入装置。而且，该计算机系统也可以具备其他结构，另外，图1的结构只不过是一个例子。
17.图2是本发明的第一实施方式涉及的硬件木马检测装置1的功能框图。在上述中，在cpu10中，通过外部存储装置23内的硬件木马检测用程序来实现图2中记载的各机构等。即，具备输入输出更新机构31、参数设定机构32、检测机构33。
18.输入输出更新机构31进行基于检查对象的网表所包括的全部逻辑单元的逻辑式的运算，进行全部逻辑单元的输入输出值的更新。即，如果检查对象是结构网，则输入输出更新机构31进行结构网的范围的全部逻辑单元的上述运算，另外，如果检查对象是集合网，则输入输出更新机构31进行集合网的范围的全部逻辑单元的上述运算，进而，如果检查对象是lsi整体，则输入输出更新机构31进行该lsi整体的全部逻辑单元的上述运算。在该第一实施方式和后面说明的第二实施方式中，输入输出更新机构31进行检查对象的网表所包括的结构网中的全部逻辑单元的上述运算，进行全部逻辑单元的输入输出值的更新。参数设定机构32对上述全部逻辑单元的输入输出的网设定参数作为初始值。检查对象网表是记述了将开发的lsi等中包括的各种电路彼此连接的布线的一览的设计数据。检查对象网表具有与构成开发的lsi等的电路的阶层相匹配地构建的阶层，具备作为最上位层的集合网和作为该集合网的下位层的结构网。集合网和结构网根据信息处理装置的规模设置有1个以上。结构网由通过连接电路的端子间的布线(以下，称为“端子间网”)连接的一组电路构成。另外，在开发的lsi等中包括的各种电路中包括逻辑单元。
19.在本实施方式中，在上述输入输出更新机构31中，对上述逻辑单元的全部进行规定次数冷却的使用了所设定的上述参数的上述运算，进行输入值和输出值的更新。
20.所述逻辑单元包括逻辑电路和在必要的情况下逻辑电路以外的缓冲器、中继器。上述输入输出更新机构31在每1次的冷却中的输入值和输出值的更新的处理内，在对缓冲器和中继器进行更新的情况下，进行直到输入值被传递到缓冲器或中继器的输出为止的规定次数更新。例如，在进行1次冷却的结构网中的全部逻辑单元的上述运算时，对于缓冲器或中继器进行与10次上述运算的更新相当的输入输出值的更新。
21.检测机构33基于更新后的输入输出值与阈值的比较结果来进行硬件木马的检测。本实施方式的检测机构33基于在进行了规定次数冷却的上述运算时得到的任意一个逻辑单元的输出值来进行硬件木马的检测。
22.在本实施方式中，上述检测机构33基于与基于上述检查对象的网表的电路规模对应的阈值即电路规模对应阈值、和在进行了规定次数冷却的上述运算时得到的任意一个逻辑单元的输入输出值的比较，来进行上述检查对象的网表中的硬件木马的检测。具体而言，在表示检查对象的网表所包括的结构网的电路规模的端子间网数为500左右的电路中，在将规定次数冷却设为4次冷却的情况下，参数的值成为2.8e-8左右，参数能够将电路规模对应阈值以输出值使用1e-7、输入值使用1-(1e-7)来进行比较。即，如果输出值为1e-7以下，则能够判定为存在硬件木马，如果输入值为1-(1e-7)以上，则能够判定为存在硬件木马。
23.包括检查对象的网表在内，网表是与一般由网表制作的lsi等构成设备的电路的阶层对应的阶层结构。将该阶层的最上位层称为集合网，在该集合网的下位层具备结构网。根据lsi等设备的规模，上述集合网和上述结构网分别存在1个以上。其中，结构网由通过被称为设置在电路的端子间的被称为端子间网的布线连接的一组电路构成。在本实施方式中，进行结构网中的全部逻辑单元的上述运算，进行全部逻辑单元的输入输出值的更新。
24.将结构网的一个例子示于图3。该结构网具备有可能存在硬件木马的疑似木马电路部41、不存在硬件木马的非木马电路部42、以及作为其他部分的剩余电路部43。
25.疑似木马电路部41具备作为逻辑单元的and门c1～c11，通过端子间线路s1i1～s1i17、s2i1～s2i8、s3i1、s3i2连接有逻辑单元。在and门c10与and门c11之间设置有串联连接的3个缓冲器b1～b3。
26.非木马电路部42具备and门c12、d触发器f1、多路复用器m的一部分、缓冲器b4，并且具有端子间网fb1、fb2、lp1、非木马的网at1、多路复用器m的输出网output等。
27.剩余电路部43具备串联连接的3个缓冲器b5～b7、多路复用器m的一部分，并且作为端子间网，具有连接and门c11的输出线路trg1、缓冲器b5～b7的网、到达多路复用器m的一方的输入的木马的有效载荷的网p1、多路复用器m的输出网output等。
28.对于上述那样的结构网，cpu10通过外部存储装置23内的硬件木马检测用程序，如图4的流程图所示地进行动作，因此基于该流程图说明动作。cpu10读入检查对象的网表(s11)。关于该检查对象的网表的读入例如能够从外部存储装置23进行，另外，能够经由网络接口16和网络26访问外部的服务器、云等来进行。
29.接着，cpu10通过读入的网表，对全部逻辑单元的输入输出的网设定参数作为初始值(s12)。
30.上述所使用的参数例如如下决定。在本实施方式作为对象的lsi等设备中使用的逻辑单元中输入输出的信号如图5所示那样具有h电平和l电平中的某一个的值，是某一个电平。因此，如图5所示，h电平和l电平发生变化，在时间t中是h(l)电平的比例为0.5。将该0.5作为参数而在全逻辑单元的输入输出的网络中设定为初始值。其结果如图6所示。
31.接着，执行使用了所设定的上述参数的上述运算，对上述逻辑单元的全部进行输入值和输出值的更新(s13)。在该情况下，基于上述运算的运算从哪里开始皆可，是顺序不同的。在图7中，示出了关于and门c11和and门c12在输出侧进行了运算的结果。该情况下的上述运算通过图8所示的式子来进行。
32.在图9中示出了从and门c11向下游侧进行运算，对and门c9和and门c10的各自的输出进行了运算的结果。进而，在图10中示出了对and门c9和and门c10的各自的输入进行了运算的结果。
33.在图11中示出了在对缓冲器以及中继器进行更新的情况下，进行直到输入值被传递到缓冲器或者中继器的输出为止的规定次数更新的例子。在进行1次冷却的结构网中的全部逻辑单元的上述运算时，对于缓冲器或中继器进行与10次上述运算的更新相当的输入输出值的更新。其结果是，在3个缓冲器b1～b3中，and门c10的输出0.0625依次传递。由于and门c10的输出在哪个定时变化或不确定，因此在此，进行与10次上述运算的更新相当的输入输出值的更新。
34.另外，在图11中，示出了在3个缓冲器b5～b7中依次传递and门c11的输出0.0625。关于3个缓冲器b5～b7的输入输出值的更新，由于and门c11的输出在哪个定时变化或不确定，所以在此，进行与10次上述运算的更新相当的输入输出值的更新。在该例子中，图11所示的定时进行缓冲器的输入输出的更新，但也在其他定时进行。
35.如以上那样，当执行使用了所设定的上述参数的上述运算，针对上述逻辑单元的全部完成输入值和输出值的更新(完成1次冷却的更新)时，检测是否完成了规定次数冷却(在此为4次冷却)的更新(s14)，若为否，则返回到步骤s13而继续进行处理。
36.在返回到步骤s13的情况下，成为第二个冷却的处理。从上述图11所示的第一次冷却的结束起，在图12所示的第二个冷却的处理中，and门c11的输出被更新为0.001935。以下，进行and门c11的下游侧的逻辑单元的输入输出值的更新，进而，进行and门c11的上游侧的逻辑单元的输入输出值的更新。在该第二个冷却的更新中也是顺序不同的。以下同样地，与在第一个冷却的处理中说明的那样的动作同样地进行动作。这样，第二个冷却的处理结束，接着第三个冷却的处理开始而结束，进而第四个冷却的处理开始而结束时，在步骤s14中分支为是，进入步骤s15。
37.在步骤s15中，cpu10对如上所述的阈值(输出值为1e-7，输入值为1-(1e-7))和各逻辑单元的输入值与输出值进行比较(s15)，判定作为判定条件的输出值是否为1e-7以下，或者输入值是否为1-(1e-7)以上(s16)。
38.若在上述步骤s16中为是，则判定为存在硬件木马，进行使显示装置25显示该主旨等的输出处理(s17)，若在上述步骤s16中为否，则判定为不存在硬件木马，进行使显示装置25显示该主旨等的输出处理(s18)。
39.接着，对本发明的第二实施方式涉及的硬件木马检测方法、硬件木马检测装置以及硬件木马检测用程序进行说明。关于第二实施方式涉及的硬件木马检测方法、硬件木马检测装置的实施方式，也通过与本发明的第一实施方式涉及的硬件木马检测装置1相同的图13所示的计算机系统来实现硬件木马检测装置1a。
40.图14表示本发明的第二实施方式涉及的硬件木马检测装置1a的功能框图。在第二实施方式涉及的硬件木马检测装置1a中，在cpu10中，通过外部存储装置23内的硬件木马检测用程序来实现图14中记载的各机构等。即，具备与第一实施方式相同的输入输出更新机构31、参数设定机构32。除了输入输出更新机构31、参数设定机构32以外，还具备检测机构33a、第一阈值获取机构34、判定分数阈值获取机构35、第二阈值获取机构36。
41.第一阈值获取机构34使用包括硬件木马的已知网表以及不包括硬件木马的已知
网表，进行上述参数设定机构32和上述输入输出更新机构31进行的处理，根据在该输入输出更新机构31中进行了规定次数冷却的上述运算时得到的结构网内的输入输出值，求出第一阈值。上述检测机构33a使用上述第一阈值进行硬件木马的检测。
42.在本实施方式中，已知网表以及检查对象的网表构成为至少包括1个以上由通过端子间网连接的一组电路构成的结构网的集合网。第一阈值获取机构34针对每个结构网获取第一阈值。
43.判定分数阈值获取机构35在已知网表内的各个结构网中，根据最大最小的输入输出值与第一阈值的大小关系赋予规定值的分数，对已知网表的每个集合网合计赋予给结构网的分数的最大分数，对得到的每个集合网分数进行比较，基于最小的每个集合网分数得到判定分数阈值。在此，将判定分数阈值获取机构35执行上述处理的情况下的具有最大分数的集合网称为“最大分数网”，将已知网表内的最大分数网的数量称为“最大分数网数”。
44.所述检测机构33a按每个检查对象的网表根据与第一阈值的大小关系赋予规定值的分数，对检查对象网表的每个集合网合计对结构网赋予的分数的最大分数，得到检查对象分数，基于所述判定分数阈值对检查对象分数进行评价，进行所述检查对象的网表中的硬件木马的检测。
45.第二阈值获取机构36从多个已知网表中提取被预想为包括符合在规定时间内输出一定值的时钟数为预定值以上、最大分数网数为最大分数网数阈值以下的条件的硬件木马在内的已知网表，使用提取出的已知网表，进行基于上述参数设定机构32和上述输入输出更新机构31进行的处理，基于在进行了规定次数冷却的该输入输出更新机构31中的上述运算时得到的输出值，求出第二阈值。
46.在本实施方式中，例如能够使用在美国的站点(trust-hub)中公开的基准标记的网表。选择其中的10个基准标记，将包括硬件木马的情况表示为(ht-inserted)，将不包括硬件木马的情况表示为(ht-free)，则如下表1所示。
47.[表1]基准标记类型网数b19ht-free108,332ethernetmac10geht-free103,206s35932ht-free6,423ethernetmac10ge-t700ht-inserted103,220rs232-t1000ht-inserted311s15850-t100ht-inserted2,456s38417-t100ht-inserted5,819s38584-t200ht-inserted7,580vga-icd-t100ht-inserted70,162wb_conmax-t100ht-inserted22,197
[0048]
在表1的基准标记的公知网表中包括1个以上的集合网，在集合网中包括1个以上的结构网。在该结构网中，已知能够发现有可能是被称为“疑似木马网”的木马网的端子间网，包括疑似木马网的结构网包括在公知网表中。专利文献3中公开了将包括该疑似木马网的结构网称为对照网，能够从表1的基准标记的内容中发现9种对照网。
[0049]
在本实施方式中，在不找出上述9种对照网的情况下，使用包括硬件木马的已知网表以及不包括硬件木马的已知网表(上述基准标记的内容)，进行上述参数设定机构32和上述输入输出更新机构31进行的在第一实施方式中说明的那样的处理，求出在该输入输出更新机构31中进行了规定次数冷却的上述运算时得到的结构网内的输入输出值。
[0050]
对包括硬件木马的已知网表以及不包括硬件木马的已知网表(上述基准标记的内容)的全部的结构网进行上述的处理的结果是，得到接近输出值在小数点以下具有例如5个以上的0的数值to(例如1e-7)的值(称为有木马输出阈值)、与接近在输入值从1减去to所得的数值ti(例如1-(1e-7))的值(称为有木马输入阈值)。
[0051]
第一阈值获取机构34针对从所有的结构网得到的有木马输出阈值和有木马输入阈值，得到各自的平均值，作为第一阈值。另外，在得到具有如1e-7和1e-6这样的相差1位以上的有木马输出阈值的有木马输出阈值的情况下，分别求出上述的平均值作为有木马输出阈值的1、有木马输出阈值的2。另外，在该情况下，若得到有木马输入阈值的1、有木马输入阈值的2，则对其也分别求出平均值。而且，第一阈值如第一阈值的1、第一阈值这2那样得到多个。
[0052]
判定分数阈值获取机构35对结构网内的各个输入输出值进行分数赋予。如图15所示，分数在有木马输出阈值的1以下的情况下为2，在大于有木马输出阈值的1且为有木马输出阈值的2以下的情况下为1，在大于有木马输出阈值的2的情况下为0。另外，如图15所示，在输入值是有木马输入阈值的1以上的情况下为2，在小于有木马输入阈值的1且是有木马输入阈值的2以上的情况下为1，在比有木马输入阈值的2小的情况下为0。
[0053]
分数对结构网的全部的输入值和全部的输出值赋予。对已知网表的每个集合网合计对结构网赋予的分数的最大分数。因此，与结构网中的比有木马输出阈值小的输出值对应的分数成为最大分数，或者与比有木马输入阈值大的输入值对应的分数成为最大分数。
[0054]
接着，对已知网表的全部集合网合计最大分数。因此，在包括大量包括硬件木马的可能性高的结构网和集合网的已知网表中，合计分数变大。对这样得到的每个网表分数进行比较，基于最小的每个网表分数得到判定分数阈值。例如，将对最小的已知每个网表分数加上1而得到的值作为判定分数阈值。若使用表1的基准标记的已知网表，则求出3作为判定分数阈值。
[0055]
上述检测机构33a对检查对象的网表的每个结构网，根据输入输出值与第一阈值的大小关系赋予规定值的分数。在该动作中，使用第一阈值获取机构34求出的第一阈值，由检测机构33a对检查对象的网表的每个结构网，根据输入输出值与第一阈值的大小关系赋予规定值的分数。使用图15所示的第一阈值和分数的变换表的数据来进行分数的赋予。
[0056]
与检测机构33a的分数赋予同样地，对结构网的全部的和全部的输出值进行赋予。将对结构网赋予的分数的最大分数在已知网表的每个集合网进行合计。因此，与检查对象的网表的结构网中的、比有木马输出阈值小的输出值对应的分数成为最大分数，或者与比有木马输入阈值大的输入值对应的分数成为最大分数。
[0057]
接着，对检查对象网表的全部集合网合计最大分数，得到检查对象分数。将该检查对象分数与判定分数阈值(在前述的例子中为3)进行比较，进行上述检查对象的网表中的硬件木马的检测。具体而言，在检查对象分数为判定分数阈值(在前述的例子中为3)以上的
情况下，判定为存在硬件木马，进行使显示装置25显示该主旨等的输出处理。
[0058]
在该第二实施方式中，如图14所示，具备第二阈值获取机构36。第二阈值获取机构36从多个已知网表中提取被预想为包括符合在规定时间内输出一定值的时钟数为预定值以上、且最大分数网数为最大分数网数阈值以下的条件的硬件木马的已知网表。
[0059]
在判定分数阈值获取机构35中，在已知网表内的各个结构网中，根据输入输出值与第一阈值的大小关系赋予规定值的分数，对已知网表的全部集合网合计赋予给结构网的分数的最大分数。
[0060]
关于表1所示的基准标记的已知网表，研究上述最大分数网数与木马网的含有的关系，在包括公知木马网的情况下，最大分数网数比较小，最大分数网数(xnumber)的最大的值是基准标记(s38417-t100)的5。这样，关于包括/不包括公知木马网，能够调查多个已知网表的最大分数网数(xnumber)，将调查中最大的最大分数网数(xnumber)设为最大分数网数阈值(tnumber)。最大分数网数为最大分数网数阈值以下这样的条件是包括公知木马网的已知网表的条件(称为网数条件)。
[0061]
另一方面，例如，如图16所示，将在1m时钟间输出一定值的最长的时钟数设为最大恒定循环数(max constant cycles)。该最大恒定循环数越高，则最大分数网包括木马网的可能性越高。由于木马网难以动作，因此在存在木马网的情况下，预测长时间持续输出恒定值(称为恒定循环数条件)。
[0062]
在表1所示的基准标记中，专利文献3中示出了满足上述“恒定循环数条件”和上述“网数条件”的已知网表的基准标记为基准标记(rs232-t1000、s38417-t100和vga_lcd-t100)。
[0063]
这样，第二阈值获取机构36提取满足上述“恒定循环数条件”和上述“网数条件”的已知网表，使用提取出的已知网表，进行上述参数设定机构32和上述输入输出更新机构31进行的处理，根据在该输入输出更新机构31中进行了规定次数冷却的上述运算时得到的输出值，求出第二阈值。
[0064]
通过上述的上述参数设定机构32和上述输入输出更新机构31进行的处理，进行规定次数冷却的上述运算，得到输出值的处理除了处理的对象的网表是基准标记(rs232-t1000、s38417-t100以及vga_lcd-t100)的网表这一点之外，其他相同，在图4的流程图中的步骤s11～s15中进行了说明，因此在此省略说明。
[0065]
以上，在进行了规定次数冷却的输入输出更新机构31中的上述运算时，求出结构网内的输入输出值。作为其中的输出值，能够得到接近小数点以下具有例如5个以上的0的数值to(例如1e-7)的值(称为有木马输出阈值)，作为输入值，得到接近从1减去to得到的数值ti(例如1-(1e-7))的值(称为有木马输入阈值)。
[0066]
第二阈值获取机构36针对从全部的结构网得到的有木马输出阈值和有木马输入阈值，得到各自的平均值，作为第二阈值。在本实施方式中，由于使用了3个基准标记的网表，因此生成3个第二阈值。最终，将平均值设为第二阈值，或者将对于有木马输出阈值最小的阈值设为第二阈值，将对于有木马输入阈值最大的阈值设为第二阈值。
[0067]
上述检测机构33a使用上述第二阈值进行上述检查对象的网表中的硬件木马的检测。该上述检测机构33a进行的检测处理如图4的流程图所示，在该流程图中，在步骤s16中使用的阈值成为上述第二阈值。
[0068]
对该第二实施方式涉及的硬件木马检测的处理，除了输入输出更新机构31、参数设定机构32以外，还表示为检测机构33a、第一阈值获取机构34、判定分数阈值获取机构35、第二阈值获取机构36的处理步骤，如图17的流程图所示。
[0069]
首先，进行用于获取第一阈值的处理(s51)。在该步骤s51中，由输入输出更新机构31、参数设定机构32、第一阈值获取机构34进行处理。接着，进行获取判定分数阈值的处理(s52)。在该步骤s52中，通过判定分数阈值获取机构35进行处理。接着，对检查对象网表进行使用了判定分数阈值的硬件木马检测的处理(s53)。在该步骤s53中，通过输入输出更新机构31、参数设定机构32、检测机构33a进行处理。
[0070]
接着，进行用于获取第二阈值的处理(s54)。在该步骤s54中，由输入输出更新机构31、参数设定机构32、第二阈值获取机构36进行处理。进而，对检查对象网表进行使用了第二阈值的硬件木马检测的处理(s55)。在该步骤s55中，通过输入输出更新机构31、参数设定机构32、检测机构33a进行处理。
[0071]
如上所述，在第一实施方式、第二实施方式中，均对全部逻辑单元的输入输出的网络设定参数作为初始值，执行使用所设定的上述参数的上述运算，对上述逻辑单元的全部进行规定次数冷却的输入值和输出值的更新的处理成为基本的处理，期待能够以简单的处理进行不需要较多的时间的硬件木马的检测。
[0072]
对本发明的多个实施方式进行了说明，但这些实施方式是作为例子而提示的，并不意图限定发明的范围。这些新的实施方式能够以其他各种方式实施，在不脱离发明的主旨的范围内，能够进行各种省略、置换、变更。这些实施方式及其变形包括在发明的范围或主旨内，并且包括在专利请求的范围所记载的发明及其均等的范围内。
[0073]
在实施方式中说明的公知网表的数量及对照网的数量并不限定于此。公知网表的数量只不过是例示。另外，在实施方式中，对照网的分数是能够改变的数值。最大分数阈值以及最大分数网数阈值的值也能够改变。最大分数阈值以及最大分数网数阈值只不过是一个例子。另外，使用最大恒定时钟数(在1m时钟期间输出恒定值的最长的时钟数)，但并不限定于此。(标号说明)
[0074]
1 第一实施方式所涉及的硬件木马检测装置1a 第二实施方式所涉及的硬件木马检测装置11 主存储器12 总线13 外部存储接口14 输入接口15 显示界面16 网络接口22 鼠标23 外部存储装置24 输入装置25 显示装置26 网络
31 输入输出更新机构32 参数设定机构33、33a 检测机构34 第一阈值获取机构35 判定分数阈值获取机构36 第二阈值获取机构41 疑似木马电路部42 非木马电路部43 剩余电路部