刘文斌 ，王梦寒 ，寇云峰 ，李雨锴 ，丁建锋 ，宋 滔

（1.成都新欣神风电子科技有限公司，四川 成都 611731；2.中国电子科技网络信息安全有限公司，四川 成都 610041）

0 引 言

芯片等集成电路的泄漏信号中可以提取出操作行为或数据信息[1]。如密码设备的侧信道分析主要利用的是设备的功耗/电磁等信号泄漏，不同的运算会产生不同的泄漏特征，同样的运算但有不同的输入也会产生不同的泄漏，利用这个原理，可以逆向破解出算法甚至密钥。密码侧信道的分析方法侧重于时域，分析对象局限于芯片。

电子设备普遍存在电磁泄漏，包括辐射和传导泄漏，这些泄漏检测主要用于电磁兼容等领域，一般根据使用静态的频谱图和固定的门限值来进行比对，其关心的主要是信号强度。从信息安全和电磁利用的角度，也逐渐发展了电子设备的“电磁指纹”，通过建立“电磁指纹库”和识别比对，检测目标设备或环境是否有异常发射信号[2]。

以色列CyberX公司和本古里安大学通过使用简易的接收装置，从动态的频谱变化信号中分析出与数据、操作相关的信号特征及其变化[3-4]，如图1所示。国内通过主动激发电磁泄漏[5-6]，并拓展到声、光泄漏与电磁渗透[7-9]，给设备安全提供新的检测方法。

图1 某设备PLC操作产生的电磁泄漏信号变化

本文首先结合实测案例介绍了基于电磁泄漏信号的时域、频域信号的行为分析，分析了其应用局限性；然后结合有意或无意的行为测试发现的电磁信号时频变化特征，提出从多维度的电磁泄漏特征识别设备行为的可行性，探索特征建库方法；最后提出了基于电磁泄漏信号的行为识别安全应用建议。

1 基于时域/频域信号的行为分析

密码侧信道研究中，针对芯片泄漏的能量信号可以分析出数据搬移、变换、运算等加密操作，并根据重复的情况可以分析出加密运算的执行轮数；同样的方法可以应用在电子设备的行为分析中，如可以针对线路传输的信号（如图2所示）分析出通信操作信号（信号1）、干扰操作信号（信号2）与操作叠加信号（信号3），这类信号主要是从时域角度进行采集与分析。

图2 线路上能量信号特征变化

基于GJB151B对目标设备进行电磁泄漏信号检测，可以得到被测对象的电磁泄漏频谱图，如图3（a）所示。在同样的配置条件下，通过在目标设备接口发送特定数据，可以得到新的频谱图，如图3（b）所示。对比可以看出，不同数据操作具有不同的频谱特征。

图3 设备操作时电磁泄漏频谱特征变化

通过上述测试，可以看到单一的时域或频域信号可以用于行为分析，但具有较大的局限性，主要体现在信号易受到干扰、噪声的影响，导致信号识别、特征提取难度大，需要进行细致的对比才容易发现特征。

2 基于时频特征的设备行为分析

与国外的分析对比可以看出，综合频域、时域两个层面，构建频率、时间、强度三者的变化关系图，可以得到更明显的行为特征表征。为此，对电子设备的时频信号进行了采集与呈现。

图4为现场采集的多型电子设备的泄漏信号，每个图中的呈现分两个子图，每个图的上图是实时的频谱，通过幅度高低来表征信号强度；每个图的下图是频谱随时间的变化，通过颜色深浅来表征强度，这类信号又称为时频信号图，或瀑布图。

图4 设备行为的电磁泄漏信号

图4（a）为会议、指挥场所中常见的大显示屏泄漏的电磁信号，测试发现，有文字显示、无文字显示时瀑布图中信号带宽等特征有明显变化。图4（b）为某型便携式计算机泄漏的电磁信号，从瀑布图可以看到泄漏频率随时间变化而变化，且呈现多谐波同步变化的特征。图4（c）为某型路由器所连接的网线上探测到的电磁泄漏信号，从瀑布图中可以看到在路由器在进行数据处理时目标信号带宽有明显扩展。

图4中的各类信号，直观地表明电磁泄漏信号中蕴含了丰富的行为，且夹带了行为操作相关的数据信息。可以从信号源、具体操作、泄漏途径等开展行为分析。

（1）信号源。包括各种单片机、GPU、DSP、FPGA等各种处理器和晶振等频率源。信号源基于特定频率的时钟信号产生高低变化的电平信号，在处理、传递信息时造成信息的电磁泄漏。

（2）具体操作。包括数据处理、数据传输等操作。数据处理或传输速度越快，信号带宽越宽。不同操作、不同数据都会呈现出信号频率的特征变化。

（3）泄漏途径。数字信号具有高达数百倍基频频谱率的丰富谐波泄漏，根据信号传输线路的等效天线特性，不同谐波具有不同的辐射强度特性。另外，信号的辐射或是消耗功率的变化，分别会在电力线上产生共模和差模的传导信号。

3 行为电磁特征库的建立

从芯片、设备到网络，从时间、频率到空间，从电磁利用到电磁安全应用，都有大量的行为需要分析，建立行为电磁特征库是进行分析识别和应用的基础。可以采用多种维度相结合，主动与被动相结合，传统和人工智能相结合的方法，来实现行为电磁特征库：

（1）丰富的采集方法。电磁泄漏信号的采集可以ADC直采，也可以在变频滤波后进行采集；可以采集高分辨率的频谱信号，也可以基于欠采样采集时域包络信号。因为目标设备可能存在多种行为状态，为了更深入的分析，可以采用长时监测和主动激发等手段实现更全面的采集。如图5（a）所示，在某计算机周边进行长时监测，可以捕捉到正常行为的变化特征；如图5（b）所示，通过对USB外接信号线缆进行主动激发，可以采集到对应行为的变化特征。

图5 泄漏特征信号采集

（2）多维度的特征表征。除了时域、频域特征外，还可以采集空间特征，如从设备外部的不同位置、不同外接线缆获取的信号，进行泄漏源定位、行为分类等融合分析。从数字信号是否加密这一角度，还可以进一步提取信号加密等变化域特征。

（3）智能的分析方法。借鉴机器学习的分类与识别方法，在现有成熟的神经网络基础上进行参数优化，可以基于无监督的学习对正常、异常行为进行分类，还可以基于有监督的学习从丰富的电磁泄漏信号中提取目标行为特征。

（4）强大的行为特征库。通过对多维度信号采集、多方法分析提炼、多角度特征提取，每一个信号样本可以得到一个包含不同特征的识别结果。因为每一个行为可以用多个特征来表征，进而可以把采集的电磁泄漏信号样本库转化成行为特征库。

4 基于电磁泄漏信号的行为识别应用

针对电磁泄漏信号，直接从泄漏信号中还原出信息是一种理想的目标，但实现有非常大的难度。从上述分析可以看出，通过电磁泄漏信号提取行为特征，并判断这些行为中是否携带信息，是分析评估电磁信息安全的高效手段。结合信息安全需要，这里提出了三种层级的行为识别应用：

（1）芯片级行为

判断芯片处理操作信号中是否含携带信息，如果携带信息，分析其携带的是未加密的敏感信息，还是已加密的信息。这种行为分析，可以给诸如密码侧信道分析提供一种快速的信息安全识别方法。

（2）设备级行为

通过电磁泄漏信号的多维度分析与多特征提取，可以分析出目标设备各个主要模块的工作状态，区分出设备的不同运行参数。

（3）系统级行为

通过感知电磁泄漏信号的整体变化，判别系统或环境是否有非法设备通过电力线、无线等方式接入，判别是否有人员的非法进入或操作。此外，还可以通过声、光等广义电磁信号的结合，来综合识别系统级的行为。

5 结 语

本文针对最新的电磁泄漏测试发现，分析了基于电磁泄漏信号的电子设备行为识别的可行性，提出主被动结合等方法构建行为电磁特征库的途径，探讨了基于电磁泄漏信号的多种层级的行为识别安全应用，给推动电磁信号的利用与安全检测提供了新的思路。

下一步将通过建立智能化的分析平台和规范化的分析方法，增强基于电磁泄漏信号的设备级、系统级行为分析能力，从电磁的角度，为网络安全与信息化提供新的支撑力量。