具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

首先对本文中可能使用的术语进行如下说明：

术语“包括”、“包含”、“含有”、“具有”或其它类似语义的描述，应被解释为非排它性的包括。例如：包括某技术特征要素(如原料、组分、成分、载体、剂型、材料、尺寸、零件、部件、机构、装置、步骤、工序、方法、反应条件、加工条件、参数、算法、信号、数据、产品或制品等)，应被解释为不仅包括明确列出的某技术特征要素，还可以包括未明确列出的本领域公知的其它技术特征要素。

下面对本发明所提供的一种针对侧信道建模攻击模型的平衡数据集构造方法进行详细描述。本发明实施例中未作详细描述的内容属于本领域专业技术人员公知的现有技术。本发明实施例中未注明具体条件者，按照本领域常规条件或制造商建议的条件进行。本发明实施例中所用试剂或仪器未注明生产厂商者，均为可以通过市售购买获得的常规产品。

如图1所示，为一种针对侧信道建模攻击模型的平衡数据集构造方法的流程图，其主要包括如下步骤：

步骤1、获取原始不平衡的数据集。

本发明实施例中，数据集既可从现有的公开轨迹集获取，也可自己在加密设备上采集轨迹，制作数据集。数据集包含多个轨迹数据(即侧信息)，每一轨迹数据具有相应的标签，标签则是根据已知的密钥和明密文计算得来。

步骤2、选择一种方式构建训练集并对CGAN进行训练。

由于在使用HW/HD能量模型来计算轨迹的标签时，会导致数据集中各个标签占比不同，即数据不平衡；因此，所以从数据层面，提出了多种解决方案，第一种是直接使用原始不平衡的数据集，后面三种是根据原始不平衡的数据集各标签类别下轨迹数据的数目来构建训练集，用户可根据实际情况选择以下四种方式中的任一种来构建训练集。

1)直接使用原始不平衡的数据集作为CGAN的训练集。

2)移除原始不平衡的数据集中数量占比最高的标签类别对应的轨迹数据，然后将剩余的轨迹数据作为CGAN的训练集。

示例性的：不平衡数据集中label＝4(主类)所占比例最高，而且通常不平衡数据下所训练的模型对测试集的预测也更偏向label＝4，甚至大多数时候模型的对测试数据的整体预测精度也在27％左右，而这一精度实际上也是label＝4的轨迹所占的比例，因此label＝4是不平衡问题中最主要的影响因素，此时将label＝4的轨迹数据单独拿出，然后将剩余的轨迹作为条件生成对抗网络的训练集。

3)将占比相同的类别标签对应的轨迹数据作为一个子训练集，每一个子训练集单独训练一个CGAN模型，然后生成相应类别的轨迹。

示例性的：不平衡数据集中label＝0,8对应的轨迹组成一个条件生成对抗网络的训练集，生成的轨迹数据对应的label也等于0和8；因此，需要分别将label＝0,8、label＝1,7、label＝2,6、label＝3,5对应的轨迹分别组成四组子训练集，利用四组子训练集分别训练一个CGAN模型，在之后的扩充阶段，利用相应CGAN模型生成相应标签类别的轨迹数据。

4)将所有标签类别的轨迹数据数量减少到占比最少的标签类别对应的轨迹数量，然后构成CGAN的训练集。

示例性的：label＝0的轨迹数据在原始数据集中有128条，因此，从其他类别中也分别拿出128条轨迹数据，构成一个平衡的训练集。

步骤3、以原始不平衡的数据集中数量占比最高的标签类别对应的轨迹数据的数量为标准，利用训练后的条件生成对抗网络，生成其他标签类别的轨迹数据，构建平衡的数据集。

扩充方法如下：

示例性的：以label＝4的轨迹数据的数目作为标准，以label＝0为例，假设所有类别的轨迹数量共有1000条，依据汉明重量分布(1/256,8/256,28/256,56/256,70/256,56/256,28/256,8/256,1/256)，可以得到类别为0和4的轨迹分别约有4和273条，那么需要生成269条label为0的轨迹并加入这1000条轨迹集中，使得label为0和4对应的轨迹数量相同。实际场景下，训练集中各类别的数量是接近这个分布的，没有必要去计算每个类别的真实数量，结合汉明重量分布，直接使用总的轨迹数量来估算每个类别对应的轨迹数量。因此，除了label＝4对应的轨迹数据不需要生成，其它类别的轨迹都需要生成。

本发明实施例上述方案中，利用条件生成对抗网络生成轨迹，扩张原始训练集，平衡各类别分布，更好的对少数类样本缺失的信息进行弥补。为了更加清晰地展现出本发明所提供的技术方案及所产生的技术效果，下面以具体实施例对本发明实施例所提供的一种针对侧信道建模攻击模型的平衡数据集构造方法进行详细描述。

下面的介绍分为三个部分：侧信道建模攻击、条件生成对抗网络的原理与结构、生成轨迹的质量评估，各部分具体如下：

一、侧信道建模攻击。

本部分主要是针对目前侧信道建模攻击的相关方案进行介绍，以体现本发明所构造的平衡数据集的主要用途。

侧信道建模攻击主要包含两个阶段，建模阶段和攻击阶段。在建模阶段，攻击者拥有一个可以完全控制的建模设备，假设采集的建模轨迹集为 其中为采集的第i条轨迹，p_i和k_i为对应的已知子明密文和子密钥，中间值v_i由函数g(p_i,k_i)得到，g为密码学原语。然后，对T_profiling建模，实际上是一个后验概率模型，可以给出输入轨迹属于所有类别的概率大小：

where v_i＝g(p_i,k_i)

在攻击阶段，攻击者在一个带有未知固定密钥k^*的目标设备上采集轨迹得到攻击集然后我们根据建立的模型M来计算每个猜测密钥对应的似然得分：

使得似然得分最大的猜测密钥则认为是正确的密钥：

通常所使用的侧信道评估指标猜测熵(Guess Entropy，GE)就是指猜测密钥对应似然得分所构成的降序向量中，正确密钥k^*所处的位置。

本领域技术人员可以理解，前文提到的轨迹数据即为此部分的或者如图4所示，是一个一维的数组。p_i,k_i其中的p_i是每条轨迹对应子明文，k_i是每条轨迹对应的子密钥，这两个信息是数据集中已经包含的。类似于图像分类，对轨迹数据做分类也需要标签。比如手写数字集MINIST从数字1到9有9个标签，对于轨迹数据，由g(p_i,k_i)得到中间值v_i，假如使用HW能量模型，那么分类标签即为HW(v_i)。所以标签主要起到分类作用，搭建模型的过程也是有监督的学习。

二、条件生成对抗网络的原理与结构。

1、条件生成对抗网络的原理。

生成对抗网络(Generative Adversarial Network,GAN)是由Ian J.Goodfellow于2014年提出，主要作为一个生成模型来学习数据的分布。

为了学习真实的轨迹数据x(原始轨迹数据)的分布P_data，需要通过一个非线性函数G(z；θ_h)将先验噪声z映射到P_data下，先验噪声z的分布为P_noise(z)。非线性函数G即为生成器，将其生成轨迹数据的分布记为p_g，训练的目标就是尽可能的让p_g接近P_data；其中，已知P_noise(z)的分布特性，一般使用服从高斯分布的效果较好；θ_g表示生成器的参数。判别器同样是一个非线性函数D(x′；θ_d)，用于判别输入轨迹数据来自分布P_data与p_g的概率；其中，x′表示判别器的输入，包括：原始轨迹数据x与生成器生成的轨迹数据，θ_d表示判别器的参数。交替的训练判别器和生成器，并调整判别器的参数θ_d和生成器的参数θ_g，使得logD(x)最大，log(1-D(G(z))最小；这一训练过程可以看作生成器G和判别器D之间的最大最小游戏，使用一个目标函数表示为：

由于在基于ML、DL进行侧信道建模攻击时，训练集中每条轨迹都有对应的label(标签)，但是，GAN本身是无监督学习，生成的轨迹是没有标签的。因此，本发明实施例中，采用如图2所示的条件生成对抗网络来生成轨迹数据。条件生成对抗网络与生成对抗网络的不同之处就在于，在训练G和D时，加入额外的信息y或者说是辅助信息，可以是数据的label，也可是某一分布下的数据；此时的目标函数变为：

其中，G、D各自指代生成器、判别器，V(D,G)表示训练CGAN的损失函数，表示对服从P_data(x)的原始轨迹数据x计算期望，表示对服从先验噪声分布P_noise(z)的随机变量z计算期望；D(x|y)表示判别器输出原始轨迹数据x的标签为y的概率，G(z|y)表示生成器生成标签为的y轨迹数据，D(G(z|y))表示判别器判断G(z|y)为生成轨迹数据或者为原始轨迹数据的概率。

按照前文介绍的任一种方式选出的训练集，并通过上述原理训练条件生成对抗网络后，利用其中的生成器将先验噪声映射为带有指定标签的轨迹数据，因此，在前述步骤3中可以根据需要扩充相应标签类别的轨迹数据。

2、条件生成对抗网络的结构。

本发明实施例中，生成器和判别器的主体构成是全连接网络，当然也可以使用其它类型的网络结构，比如基于卷积的网络结构。

如图3所示给出了生成器和判别器的结构示例；左侧为生成器的结构示例，右侧为判别器的结构示例。

生成器的结构包括：第一输入层(input_1：Input Layer)、第二输入层(input_2：Input Layer)、第一嵌入层(embedding_1：Embedding)、第一全连接层(flatten_1：Flatten)、第一multiply层(multiply_1：Multiply)以及第一Sequential层(sequential_1：Sequential)；其中，第一输入层的输入为轨迹数据的标签，第二输入层的输入为先验噪声z；第一嵌入层对标签进行编码，第一全连接层对编码得到的标签向量进行处理，使其维度与先验噪声z相同；第一multiply层将来自第一全连接层标签向量与来自第二输入层的先验噪声z结合起来(也可以使用其它的实现方式，比如通过numpy中的concatenate函数来直接拼接两个向量)，再输入至第一Sequential层，由第一Sequential层输出重构的轨迹数据。本发明实施例中，第一Sequential层代表的是生成器的主体部分，可以看到输入是100维，输出即为轨迹数据的维度700。示例性的，Sequential主要由(Dense，LeakyReLU，BatchNormalization)*N构成。

判别器的结构主要包括：第三输入层(input_3：Input Layer)、第四输入层(input_4：Input Layer)、第二嵌入层(embedding_2：Embedding)、第二全连接层(flatten_2：Flatten)、第二multiply层(multiply_2：Multiply)以及第二Sequential层(sequential_2：Sequential)；其中，第三输入层的输入为轨迹数据的标签，第四输入层的输入为轨迹数据；第二嵌入层对标签进行编码，第二全连接层对编码得到的标签向量进行处理，使其维度与轨迹数据相同；第二multiply层将来自第二全连接层标签向量与来自第四输入层的轨迹结合起来，再输入至第二Sequential层，由第二Sequential层输出轨迹数据属于相应标签的概率。可以看到，判别器与生成器的结构类似，主要区别在于：1)其中一个输入是轨迹数据，后续是将标签向量变成与轨迹数据维度相同的向量；2)输出是一个标量，代表对输入轨迹真假的判别概率(即判断轨迹是原始轨迹还是生成轨迹的概率)。

本领域技术人员可以理解，multiply、Sequential、Dense层等都是Keras深度学习开源库中的相关函数。

三、生成轨迹的质量评估。

本发明实施例中，训练阶段，还需要对条件生成对抗网络生成的轨迹数据进行质量评估，这样就可以根据质量评估结果并结合一些调参方法，比如网格搜索法等来选择条件生成对抗网络的超参数。

本发明实施例中，主要使用以下几种质量评估方式中的任一种或者多种方式的组合：

1、轨迹形状评估：检查生成的轨迹数据与训练集中相应轨迹数据的形状的相似度是否满足设定要求(可根据经验进行设定)。

观察生成的轨迹数据的形状是否与原始轨迹数据是否相似，这是最直接的质量评估方式。如果生成的轨迹数据的形状与原始轨迹相差很大，那么生成的轨迹数据一般来说不是有效的，因为生成对抗网络的本质就是学习原始数据的分布，即生成的轨迹数据所遵从的分布与原始轨迹数据的分布是相似的。如图4所示，生成轨迹的形状基本与原始轨迹相似，不同的地方是在轨迹尖峰处有微弱的变化，而尖峰处的幅值抖动正是在建模时所需要的有用信息。

2、相关能量分析(Correlation Power Analysis)：通过对生成的轨迹数据进行相关能量分析，从而验证生成的轨迹数据是否学习到与训练集中相应轨迹数据的一致的泄露分布。

本发明实施例中，结合轨迹数据对应的标签，可以对轨迹数据进行相关能量分析，从而验证生成的轨迹数据否学习到了一致的泄露。假设有N条轨迹数据，每条轨迹数据包含的样本点数为K，N条轨迹的能量幅值构成一个N×K的矩阵，第k(1≤k≤K)列的幅值构成向量N条轨迹对应的标签构成然后计算和之间的相关性r_k：

如图5所示，生成的轨迹数据与原始轨迹数据的泄露尖峰位置和幅度是一致的；其中，图5使用的是公开数据集DPAV4.1，左侧为原始轨迹数据的CAP，右侧为生成的轨迹数据的CAP。

3、梯度加权的类别激活映射(Gradient-weighted Class Activation Mapping，Grad-CAM)：用于可视化条件生成对抗网络训练过程轨迹数据中泄漏所在的区域。

Grad-CAM是深度学习中用来可视化模型在训练的过程中所关注的区域，解释模型的预测行为。同样的，在侧信道建模攻击中，模型在训练的过程中，轨迹中泄露所在的位置是模型所关注的。所以，可以依据这种可视化方法，来对生成的轨迹数据进行评估，而且这种方法既可用于一阶防护密码算法对应的生成轨迹，也适用于高阶防护。图6给出了利用Grad-CAM对带有一阶掩码防护的生成轨迹进行评估的示例；图6使用的是公开数据集ASCAD；其中，左侧为原始轨迹数据的Grad-CAM，右侧为生成的轨迹数据的Grad-CAM。

4、攻击结果：将生成的轨迹数据加入至原始不平衡的数据集中，判断攻击结果是否满足设定要求。

与评估生成图像不同，即使生成轨迹看起来与原始轨迹相似，也无法判断是否能为攻击模型带来贡献。因此，最终需要将生成的轨迹加入到原始不平衡的训练集中，观察攻击结果是否有改善。

本发明实施例中，可以结合上述一种或多种质量评估的结果，采用手动调参的方式调整条件生成对抗网络的超参数；例如，使用前文举例的网格搜索法，该方法是深度学习中调参常用的方法，即穷举法，具体的实施方式可参照常规技术实现。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，上述实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。