NetDeTox：基于RL-LLM协同的硬件安全对抗框架

1. 项目概述

NetDeTox是一个创新的硬件安全框架，旨在对抗基于图神经网络(GNN)的硬件安全分析工具。在当今集成电路设计领域，GNN已被广泛应用于IP盗版检测、硬件木马识别、逆向工程等安全关键任务。然而，这些GNN工具依赖学习网表(netlist)中的结构特征进行判断的特性，也使其面临对抗性攻击的威胁。

传统对抗方法如AttackGNN和LLMPirate存在明显局限：要么需要全局重写整个设计导致面积开销过大，要么只能进行局部简单替换而缺乏系统性。NetDeTox通过精心设计的RL-LLM协同架构解决了这一困境，其核心创新在于：

• 强化学习(RL)组件负责识别网表中对GNN决策最关键的区域
• 大语言模型(LLM)组件则生成保持功能等效的电路重写方案
• 迭代反馈机制不断优化重写策略，在确保攻击效果的同时最小化面积开销

关键突破：相比现有方案，NetDeTox在OMLA、GNN4IP和GNN-RE三种主流GNN安全工具上实现了相当或更好的逃避效果，同时将面积开销平均降低了41.04%（部分案例甚至实现了负开销，即面积优化）。

2. 核心原理与技术路线

2.1 图神经网络在硬件安全中的应用基础

现代GNN硬件安全工具（如GNN4IP、OMLA等）的工作原理可概括为：

1. 网表图表示：将电路网表转换为图结构，其中：
   • 节点代表逻辑门(如AND、OR、XOR等)
   • 边表示门之间的连接关系
2. 特征提取：每个节点附带属性特征，包括：
   • 门类型
   • 扇入/扇出数量
   • 逻辑层级
   • 时序特性
3. 图学习模型：通过图卷积等操作聚合邻域信息，捕获电路的结构模式(motifs)

这种方法的优势在于能自动学习电路的功能和结构特征，但同时也使其对网表结构的特定修改变得敏感。

2.2 对抗攻击的技术挑战

要实现有效的对抗攻击，必须解决三个核心矛盾：

1. 功能保持：任何网表修改必须保持原始电路的功能语义
2. 结构扰动：修改需要足够改变GNN依赖的结构特征
3. 代价控制：面积、时序等物理开销需维持在可接受范围

传统方法如全局重写或随机替换难以同时满足这些条件，这正是NetDeTox的创新切入点。

2.3 NetDeTox的协同架构

框架采用三级流水线设计：

2.3.1 RL引导的门级池化

• 将网表节点按特征分箱(binning)
• 基于softmax策略采样候选门集合
• 奖励函数：R = 1.5×ΔSecurity - 0.5×ΔArea
• 动态调整分箱权重以保持结构多样性

2.3.2 LLM驱动的重写规划

对每个RL选定的门池，LLM依次执行：

1. 目标门选择：从池中筛选N=5个关键门
2. 子网表映射：从20种预定义逻辑组合(表1)中选择替代方案
3. 跳数确定：设置逻辑层级范围h∈[1,20]定义重写邻域

2.3.3 验证与迭代

• 语法检查：确保网表符合Verilog规范
• 功能等价验证：通过形式化方法验证
• 安全评估：查询目标GNN工具获取新评分
• 面积分析：使用Yosys进行综合评估

3. 实现细节与关键优化

3.1 网表表示与特征工程

NetDeTox使用扩展的图表示方法，除基本门属性外，还包含：

• 结构特征：介数中心性、聚类系数等
• 逻辑特征：真值表签名、对称性等
• 物理特征：预估布线长度、扇出负载等

这些特征通过ABC工具链提取，并标准化为RL可处理的数值向量。

3.2 RL策略设计

采用REINFORCE算法进行策略优化，关键参数：

• 学习率：0.001
• 折扣因子：0.9
• 分箱数量：24
• 每轮采样数：20

策略网络为3层MLP，隐藏层维度128，使用GELU激活函数。

3.3 LLM提示工程

为不同任务设计专用提示模板：

# 门选择提示 def gate_selection_prompt(gate_pool, history): return f"""You are a gate-level instance selector. Context: Security={history['security']}; Area={history['area']} Rules: Select up to 5 gates with highest security impact Candidates: {gate_pool} Output JSON: {{"picks": [{{"node_id": "..."}}]}}"""

3.4 子网表重写策略

20种预定义映射方案(表1)基于以下原则设计：

1. 功能等价：通过布尔代数验证
2. 结构多样：改变原始电路的图模式
3. 面积高效：优先使用少晶体管实现

例如，C02(INV+NOR+BUF)组合可以替代单一AND门，在保持逻辑功能的同时改变局部结构。

4. 实战效果与性能分析

4.1 对抗效果对比

4.2 面积开销比较

电路案例c880-CS2560的表现：

• AttackGNN: +10.58%面积
• NetDeTox(DeepSeek-V3): -13.77%面积
• NetDeTox(LLaMA-4): -26.80%面积

负开销表明智能重写可能发现更优化的电路实现。

4.3 迭代效率

5. 应用指导与经验分享

5.1 部署建议

1. LLM选型：

   • 优先考虑DeepSeek-V3和LLaMA-4
   • 避免使用Qwen-3处理大型设计(c3540+)

2. 参数调优：

   # 最佳超参数配置 config = { 'alpha': 1.5, # 安全权重 'beta': 0.5, # 面积权重 'pool_size': 20, # 门池大小 'max_hops': 8 # 最大跳数 }

3. 流程集成：

   • 在逻辑综合后插入NetDeTox阶段
   • 与Formality等等效性检查工具联动

5.2 避坑指南

1. 功能验证陷阱：

   • 必须采用周期精确仿真验证
   • 典型错误：仅检查静态真值表而忽略时序行为

2. 面积计算误区：

   • 需使用相同工艺库(NanGate45)进行比较
   • 避免混合不同优化级别的结果

3. LLM输出校验：

   def validate_mapping(plan): required_keys = {'picks', 'mapping', 'h'} if not all(k in plan for k in required_keys): raise ValueError("Invalid plan format") if plan['h'] not in range(1, 21): raise ValueError("Hop size out of range")

5.3 扩展应用

1. 防御方案测试：

   • 使用NetDeTox生成对抗样本
   • 增强GNN模型的鲁棒性

2. 设计优化：

   • 将目标改为面积最小化
   • 通过对抗训练发现更紧凑实现

3. IP保护：

   • 主动注入对抗模式
   • 增加逆向工程难度

6. 未来方向

1. 多目标优化：

   • 同时考虑时序、功耗等约束
   • 设计Pareto最优搜索策略

2. 跨模型攻击：

   • 针对不同GNN架构的通用攻击
   • 研究迁移学习在对抗攻击中的应用

3. 防御对策：

   • 基于NetDeTox开发检测方法
   • 设计抗干扰的图表示学习方案

在实际部署中发现，将跳数范围控制在4-8之间、优先选择C01-C04映射方案，能在攻击效果和开销间取得最佳平衡。对于超大规模设计，采用层次化分块处理策略可保持线性时间复杂度。