基于MTJ传感器与自编码器的模拟硬件木马非侵入式检测方案

1. 项目概述：当硬件安全遇上模拟/RF前端

在集成电路设计领域，硬件安全一直是个“猫鼠游戏”。过去十几年，大家把目光都聚焦在数字电路上，各种针对数字逻辑的木马和检测方法层出不穷。但如果你像我一样，在射频和模拟电路这块摸爬滚打过，就会意识到一个被严重低估的威胁：模拟/RF硬件木马。这玩意儿不像数字木马那样容易被逻辑测试或扫描链发现，它往往直接寄生在放大器、混频器、锁相环这些关键模拟模块里，平时潜伏着，一旦被特定条件触发，轻则让无线收发信机性能劣化，重则直接泄露敏感信息或瘫痪整个系统。

我最近深度研究并实践了一种基于电磁侧信道和磁隧道结传感器的检测方案，感觉像是给模拟电路装了个“心电图监护仪”。核心思路很直接：既然木马活动会不可避免地改变芯片的瞬时功耗和电磁辐射特性，那我们就用高灵敏度的磁传感器去“听”这些微弱的“心跳”变化，再用机器学习算法从海量数据里揪出异常。这个方法最大的优势是非侵入性——你不需要在电源路径上串联采样电阻，也就不会引入额外的功耗和噪声，这对功耗敏感的物联网和移动设备来说太关键了。

这篇文章，我会从一个一线工程师的角度，掰开揉碎了讲清楚这套方案的来龙去脉。我会先带你看看模拟/RF木马到底有多“狡猾”，然后深入解析我们选用的磁隧道结传感器为什么是“监听”电磁泄漏的利器，接着手把手带你搭建从传感器接口到FPGA实现的完整数据链路，最后聚焦于核心的异常检测算法——分类自编码器，分享我们在模型设计、量化、部署到边缘设备上的实战经验和踩过的坑。无论你是正在设计安全关键型RFIC的工程师，还是关注物联网底层安全的架构师，相信这些从实验室到PCB板的实战细节，都能给你带来直接的参考价值。

2. 模拟/RF硬件木马：隐匿的威胁与攻击原理

2.1 数字与模拟木马的差异：为何后者更棘手？

很多人一提到硬件木马，脑子里浮现的就是在数字逻辑里插入几个多余的逻辑门，或者在状态机里埋个后门。这类数字木马的检测，经过多年发展，已经有一套相对成熟的方法论，比如逻辑测试、路径延时指纹、甚至光学反向工程。但模拟/RF木马是另一个维度的挑战。

首先，攻击面不同。数字电路工作在离散的0和1世界，异常状态相对容易通过功能测试或覆盖率分析来暴露。而模拟电路处理的是连续的电压、电流、频率和相位信号，其“正常”工作区间本身就是一个范围。木马可以设计成只在这个范围的边缘进行微小的参数偏移，比如将功率放大器的偏置点移动几个毫伏，或者让压控振荡器的调谐曲线产生轻微的非线性。这种扰动在常规性能测试下可能完全在指标容限内，但会在特定温度、电压或输入信号条件下被激活，导致系统失效。

其次，触发机制更隐蔽。数字木马往往需要一个复杂的数字序列作为触发条件。模拟木马的触发则可以是模拟量，比如一个特定频率的干扰信号、一个超过阈值的电源纹波，甚至环境温度的变化。这使得通过数字仿真或静态分析来预测和检测变得极其困难。

最后，影响更直接且致命。一个植入在RF功率放大器中的木马，可以直接泄露发射信号的调制信息，或者通过有意的谐波辐射干扰其他频段。在军事通信或关键基础设施中，这种攻击的后果是灾难性的。因此，对模拟/RF前端的保护，不能沿用数字电路那套“事后检测”的思路，必须发展能够实时、在线监控的手段。

2.2 两类典型的RF模拟木马实战拆解

在我们的研究中，重点构建并分析了两类具有代表性的木马，它们分别瞄准了RF链路中最核心的模块之一：功率放大器。

2.2.1 开关型木马：对供电链路的“掐脖子”攻击

这类木马的思路非常“物理”。想象一下，你在PA的电源路径上，偷偷并联一个由外部信号控制的MOSFET开关。这个开关在大部分时间是关闭的，对电路毫无影响。一旦攻击者通过某种方式（比如一个特定的带外信号）将其激活，开关会瞬间将电源对地短路，或者将PA的供电彻底断开。

它的破坏力体现在两方面：

1. 功能中断：最直接的效果是导致PA瞬间掉电，传输信号中断。对于依赖连续通信的系统（如无人机控制链路），这是致命的。
2. 电磁签名：这种突然的、大电流的切换动作，会在电源线上产生一个极其陡峭的电流脉冲。这个脉冲会辐射出宽带的电磁噪声，同时也在电源域留下一个独特的瞬态特征。这个特征，正是我们侧信道检测的绝佳目标。

在PCB板级实现时，我们用一个高压NMOS管模拟了这个木马。将其源极接地，漏极接在PA的供电电感之后、退耦电容之前的节点上。栅极则通过一个阻容网络连接到外部测试点，模拟一个潜在的、被劫持的内部控制信号。实测下来，当开关导通时，PA输出功率骤降超过20dB，同时电源电流波形上出现一个持续数十纳秒的尖峰，频谱上也出现了明显的开关噪声。

实操心得：在设计这类测试时，开关管的选型很重要。要选择导通电阻足够小、栅极电荷少的器件，以确保“攻击”效果明显，同时开关动作本身的功耗和延时不会掩盖木马的特征。我们最初用了一个普通的信号MOSFET，发现电流尖峰不够显著，后来换用了专门的低侧开关驱动器，特征就清晰多了。

2.2.2 耦合输入信号木马：对信号完整性的“投毒”

如果说开关木马是“硬杀伤”，那耦合输入木马就是“软刀子”。它不直接切断供电，而是向PA的输入信号路径注入一个额外的干扰信号。这个干扰信号可以来自芯片内部其他未被使用的电路模块，也可以是通过封装或衬底耦合进来的外部噪声。

它的攻击机理更微妙：

• 对线性PA的影响：对于Class A/AB类等线性放大器，注入一个幅度相近、频率略有偏移的信号，会与原始信号产生拍频效应。这会导致PA的静态工作点在一个低频分量上周期性摆动。从公式推导和仿真看，这会使得PA的直流电流IDC不再是一个稳定值，而是叠加了一个低频的伪正弦波动。这个波动频率等于两个输入信号的频率差（Δf = |f1 - f2|）。如果Δf落在音频或低频范围内，它可能会被后续的调制解调电路误判为有效信号。
• 对开关模式PA的影响：对于Class E这类开关模式PA，其晶体管工作在饱和与截止区，理论上对输入幅度不敏感。但注入信号会改变有效驱动波形的包络。在包络的波谷处，驱动电压可能不足以使晶体管完全开启，导致其导通电阻Ron瞬时增大。这直接破坏了Class E工作的核心边界条件——零电压开关，从而显著增加开关损耗，降低效率，并可能引发热失控。

我们在测试中，用一个Mini-Circuits的功率合成器，将主路信号和一路由信号发生器产生的干扰信号合并后输入PA。当干扰信号幅度接近主信号时，用频谱仪可以清晰看到输出频谱的畸变和杂散。更重要的是，通过高精度电流探头，我们确实在电源线上测量到了与理论预测一致的、频率为Δf的低频电流波动。

注意事项：这类木马的隐蔽性极强。如果干扰信号幅度很小，或者频率偏移量Δf设计得巧妙（比如落在PA本身的电源抑制比凹陷频点），常规的频谱测试和性能测试很可能无法发现。这就凸显了持续监测电源域动态特性的必要性，因为无论干扰多微弱，功率转换效率的细微变化最终都会体现在电源电流的瞬态成分上。

3. 电磁侧信道监听：为何选择磁隧道结传感器？

3.1 从侵入式到非侵入式：侧信道检测的演进

传统的硬件安全侧信道分析，无论是针对加密芯片的功耗分析，还是针对木马的检测，很多都依赖于在电源路径上串联一个采样电阻。方法很直接：测量电阻两端的压降，反推出流经的电流。但这带来了几个无法回避的问题：

1. 插入损耗：采样电阻本身会消耗功率，特别是在大电流应用中，这部分损耗可能无法接受。
2. 带宽限制：为了减小损耗，电阻值必须很小（通常是毫欧级）。小电阻意味着更小的信号电压，需要更高增益、更高带宽的前置放大器，这引入了额外的噪声和设计复杂度。
3. 侵入性：它改变了被测电路的原始拓扑，其引入的寄生电感和电容可能影响高速或高频电路的稳定性。

因此，我们一直在寻找一种非接触、非侵入的传感方案。电磁场传感自然进入了视野。电流流经导线必然产生磁场，而这个磁场的强度与电流成正比。如果能高精度地测量这个磁场，就等于间接测量了电流，还避免了所有串联采样带来的问题。

3.2 磁隧道结传感器：原理、优势与选型考量

在众多磁传感器中（如霍尔效应传感器、各向异性磁阻传感器），我们选择了磁隧道结传感器。MTJ的核心结构是“三明治”：两个铁磁层（一个固定层，一个自由层）中间夹着一个极薄的绝缘势垒层（通常是氧化镁）。

它的工作原理基于隧穿磁阻效应：当固定层和自由层的磁化方向平行时，电子隧穿的概率高，器件呈现低电阻态；当磁化方向反平行时，隧穿概率低，呈现高电阻态。外部磁场会改变自由层的磁化方向，从而连续地调节器件的电阻值。其电阻R与磁场H的关系曲线呈“蝴蝶形”，中间有一段近似线性的敏感区域。

为什么MTJ是理想选择？

1. 高灵敏度：商用MTJ的灵敏度可达0.7-2%每奥斯特（%/Oe），远高于传统霍尔传感器。这意味着它能检测到更微弱的磁场变化，对应更小的电流波动。
2. 小尺寸与低功耗：MTJ器件可以做得非常小，易于集成。其工作电流通常在毫安级别，功耗极低，适合电池供电的物联网设备。
3. 宽带宽：MTJ的响应速度可以到兆赫兹级别，足以捕捉开关电源、RF PA等产生的快速电流瞬变。
4. 非侵入性：只需将传感器靠近电流走线，无需电气连接，彻底消除了对主电路的影响。

器件选型实战：我们测试了多款商用MTJ传感器，最终选定了MicroMagnetics的STJ-240。选择它主要基于以下几点考量：

• 线性度：在其工作点附近，电阻-磁场曲线有较好的线性区域，简化了信号调理电路的设计。
• 噪声性能：数据手册给出了较低的磁噪声密度，这对于提取微弱的木马特征信号至关重要。
• 封装：其表贴封装便于在PCB上布局，可以非常贴近需要监控的电源走线。
• 成本与可获得性：作为研究原型，我们需要能快速采购和迭代的器件。

踩坑记录：最初我们尝试了一款用于硬盘磁头的高灵敏度MTJ，其灵敏度确实更高，但它的磁滞也更大。这意味着电流增大和减小过程中，传感器的输出会有差异，导致波形失真。对于需要精确还原电流波形的应用，这种非线性是不可接受的。STJ-240在灵敏度和磁滞之间取得了更好的平衡。

3.3 传感器接口电路设计：从磁场到数字量

MTJ传感器输出的是一个随磁场变化的电阻值，通常在几千欧姆量级。我们需要一个电路将这个微小的电阻变化（可能只有几欧姆到几十欧姆）放大并转换为电压信号，供ADC采样。

3.3.1 经典电阻分压+仪表放大器方案

我们采用了最经典且可靠的架构：

1. 惠斯通电桥/分压器：将MTJ传感器（Rsense）与一个固定阻值相近的参考电阻（Rfixed）串联，构成分压电路。电源Vref施加在该串联网络上。当磁场变化引起Rsense改变时，分压点Vsense的电压随之变化。公式很简单：Vsense = Vref * [Rfixed / (Rfixed + Rsense)]。
2. 仪表放大器：分压点Vsense的信号非常微弱，且是单端信号，易受共模噪声干扰。我们选用TI的INA821仪表放大器。仪表放大器具有极高的输入阻抗（不会加载分压电路）、极高的共模抑制比（CMRR）和可灵活设置的增益（G = 1 + 50kΩ/Rg）。我们将增益设置为50倍，将毫伏级的信号放大到伏特级，以适应ADC的输入范围。
3. 磁场聚焦方案：在PCB板上，电流走线产生的磁场很弱。为了增强MTJ处的磁场，我们绕制了一个小型空心电感，将电源线穿过电感中心。根据安培环路定律，通过增加匝数n，可以线性增强传感器位置的磁场强度：B = (μ0 * n * I) / (2πr)。我们通过实验，确定了在目标电流范围（0-500mA）内，产生足够输出信号所需的最佳匝数（约20匝）。

电路设计要点：

• 参考电阻Rfixed的选择：应选择低温漂、高精度的电阻（如5ppm/°C的金属膜电阻），其阻值应接近MTJ的零场电阻（STJ-240约为2.5kΩ），以使分压点处于中间电平，获得最大的动态范围。
• INA821的供电与去耦：必须使用低噪声、干净的线性稳压器为其供电，并在电源引脚就近放置大小电容（如10μF钽电容并联0.1μF陶瓷电容）进行去耦，以抑制电源噪声被放大。
• 布局布线：MTJ传感器、分压电阻和INA821应尽可能靠近，走线尽量短，并用地平面包围，以减少电磁干扰。磁场聚焦电感应紧贴MTJ放置。

4. 从数据采集到特征提取：构建完整的信号链

4.1 系统集成与测试平台搭建

整个数据采集系统围绕一块自定义的PCB板构建，核心思想是模块化，便于调试和更换部件。

1. 被测设备：我们准备了两类PA作为DUT。一是商用COTS PA模块（如TI的某款2.4GHz PA），用于快速验证系统功能。二是我们自己设计的Class E PA芯片（基于65nm PDK流片），用于研究开关模式放大器的特性。
2. 木马注入模块：这是一块独立的子板，上面集成了前述的开关木马电路和信号耦合电路。它通过排针与PA板连接，可以灵活地启用或禁用木马。
3. 传感与采集板：这块板子集成了MTJ传感器、INA821放大电路、必要的滤波网络，以及一个高精度、高采样率的ADC（我们用了ADI的AD4003，18位精度，2MSPS）。ADC通过SPI接口将数据发送给FPGA。
4. FPGA处理平台：我们使用Xilinx ZCU102评估板。FPGA负责控制ADC采样、缓存数据，并运行后续要讲的自编码器算法。处理结果可以通过UART发送给上位机显示，或直接触发报警信号。

测试流程：

1. 信号源（可以是矢量信号发生器或FPGA内部的DAC）产生测试信号（单音或蓝牙BLE调制信号）输入PA。
2. PA的输出连接到频谱分析仪或矢量信号分析仪，验证其功能正常并监测木马激活时的性能变化。
3. MTJ传感器紧贴PA的电源输入走线（或绕有聚焦电感），实时感知电流变化。
4. 传感器信号经放大、ADC数字化后，送入FPGA。
5. FPGA运行算法，实时判断当前状态（正常/已知木马/未知异常），并将结果输出。

4.2 数据预处理：量化、归一化与帧分割

原始ADC采样数据不能直接扔给神经网络。有效的预处理是成功的一半。

1. 直流偏置去除：MTJ输出信号包含一个很大的直流分量（由静态工作电流产生），而木马引起的往往是交流变化。我们首先用一个高通数字滤波器（例如一阶IIR滤波器）滤除直流和极低频成分，只保留我们关心的频段（从几百Hz到几百kHz，取决于木马激活的频率特征）。
2. 量化：为了评估算法在资源受限的FPGA上的性能，我们系统性地测试了不同的量化位数对检测精度的影响。我们将原始16位ADC数据，分别量化为4、8、12、16位。结果发现，12位量化是一个甜点：在保证>97%检测精度的前提下，相比16位全精度，能节省约25%的DSP和Block RAM资源。这对于边缘设备至关重要。
3. 归一化：将量化后的数据缩放到[-1, 1]或[0, 1]的区间。这能加速神经网络的训练收敛，并提高数值稳定性。我们采用最小-最大归一化：x_norm = (x - min) / (max - min)，其中min和max是从一小段“正常操作”训练数据中统计得到的。
4. 帧分割与加窗：我们将连续的时域信号切割成固定长度的数据帧（例如，每帧1024个点）。为了减少帧边缘的突变，我们对每帧数据应用了汉宁窗。帧与帧之间可以有重叠，以提高时间分辨率。

实操心得：预处理的所有参数（滤波截止频率、帧长、重叠率）都需要根据实际木马的特征频率来调整。例如，开关木马产生的是瞬态尖峰，需要较高的时间分辨率（帧长不宜过长）；而耦合信号木马产生的是低频正弦波动，需要较长的帧长以捕捉完整周期。我们通过分析正常和异常状态下的信号功率谱密度，最终确定了最优的帧长为512点，重叠率为50%。

5. 核心引擎：分类自编码器在边缘端的实现

5.1 为何是自编码器？—— 无监督异常检测的优势

在边缘设备上做木马检测，面临几个硬约束：已知的异常样本极少（你不可能事先收集所有可能的木马变种）、计算资源有限、需要低延迟实时判断。

自编码器完美契合了这些需求。它的结构很简单：一个编码器将输入数据压缩成一个低维的“潜在表示”，一个解码器再从这个表示中尝试重建原始输入。训练的目标是最小化重建误差。

其用于异常检测的哲学非常巧妙：

• 学习“正常”：我们只用大量“正常操作”下的数据来训练自编码器。网络会学会如何高效地压缩和重建这些正常模式。
• 暴露“异常”：当输入一个异常样本（木马激活）时，由于网络从未学习过这种模式，它的重建能力会很差，导致重建误差（损失函数值）陡然升高。
• 无需异常标签：这是最关键的一点。我们不需要预先知道木马具体什么样，只需要定义“什么是正常”。这种无监督学习的特性，使得系统能够检测前所未见的新型木马。

我们在此基础上更进一步，设计了一个分类自编码器。它在标准自编码器的编码器后面，并联了一个小的分类器网络（一个几层的MLP）。这个分类器用少量已知的、已标记的异常样本（比如我们已知的开关木马）进行有监督训练，学会区分“正常”和“这类已知异常”。

5.2 CAE网络架构设计与训练策略

我们的网络结构在PyTorch中定义如下，这是一个针对单音信号的版本：

class ClassificationAutoencoder(nn.Module): def __init__(self, input_dim=512, latent_dim=8, num_classes=2): super().__init__() # 编码器 self.encoder = nn.Sequential( nn.Linear(input_dim, 32), nn.ReLU(), nn.Linear(32, 16), nn.ReLU(), nn.Linear(16, latent_dim), ) # 解码器 self.decoder = nn.Sequential( nn.Linear(latent_dim, 16), nn.ReLU(), nn.Linear(16, 32), nn.ReLU(), nn.Linear(32, input_dim), # 输出重建信号 ) # 分类器（仅使用编码器的输出） self.classifier = nn.Sequential( nn.Linear(latent_dim, 8), nn.ReLU(), nn.Linear(8, num_classes), # 输出类别：0=正常，1=已知木马 ) def forward(self, x): latent = self.encoder(x) reconstructed = self.decoder(latent) class_logits = self.classifier(latent) return reconstructed, class_logits

训练过程分为两个阶段，这是算法的精髓：

1. 第一阶段：自编码器预训练（无监督）

   • 数据：仅使用海量的“正常操作”数据。
   • 损失函数：仅计算重建误差，如均方误差（MSE）：L_recon = MSE(x, x_reconstructed)。
   • 目标：让编码器学会提取正常数据最本质的特征，让解码器学会完美重建。此时，分类器的权重不被更新。

2. 第二阶段：联合微调（半监督）

   • 数据：混合数据。包含“正常数据”（标签0）和少量“已知木马数据”（标签1，如开关木马）。
   • 损失函数：总损失是加权和：L_total = L_recon + α * L_cls。
     • L_recon：对所有数据都计算重建损失。
     • L_cls：仅对已知类别的数据（正常和已知木马）计算分类损失（如交叉熵损失）。对于“未知”数据，分类损失不参与反向传播。
   • 目标：在保持强大重建能力的同时，让分类器学会区分“正常”和“已知异常”。编码器提取的特征因此变得对分类也更友好。

决策逻辑（推理时）：

1. 新数据输入训练好的CAE。
2. 计算其重建损失L。
3. 如果L低于一个预设阈值threshold，我们认为重建效果好，说明数据符合“正常”模式。此时，我们信任分类器的输出：如果分类器说它是“已知木马”，那就按已知木马处理；如果说是“正常”，那就是正常。
4. 如果L高于threshold，说明重建效果差，数据很可能是网络没见过的“未知异常”。此时，我们不信任分类器的判断（因为分类器只认识已知类别），直接将其判定为“未知异常/木马”。

阈值threshold如何设定？这是一个关键参数。我们通过验证集来设定：计算验证集中所有“正常”样本和“已知异常”样本的重建损失，取它们的均值，再加上1-2个标准差，作为阈值。这样可以在保证正常操作不被误报的前提下，尽可能灵敏地捕捉未知异常。

5.3 FPGA部署：从浮点到定点化的工程挑战

将PyTorch模型部署到Zynq UltraScale+ MPSoC的FPGA上，最大的挑战是资源约束和延迟要求。浮点运算在FPGA上极其消耗DSP和逻辑资源，因此定点化是必由之路。

我们的定点化流程：

1. 训练后量化：首先在PyTorch中使用浮点模型训练收敛。
2. 范围分析：用一批校准数据（来自验证集）输入网络，统计每一层输入、输出、权重和偏置的数值范围（最小值和最大值）。
3. 确定定点格式：对于有符号数，我们采用Qm.n格式（m位整数，n位小数）。根据范围分析结果，为每一层确定最优的m和n，确保在不过度溢出的前提下保留足够的精度。例如，某一层激活值范围在[-1.5, 1.5]，那么至少需要2位整数位（因为2^1=2 > 1.5）。我们通过迭代实验，发现对于我们的网络，权重和激活值用12位定点数（Q3.8或Q2.9），能在精度损失（<1%）和资源消耗之间取得最佳平衡。
4. 硬件实现：使用Xilinx Vitis HLS或Vivado HLS，将定点化的网络描述为C++代码，并进行综合、优化（如循环展开、流水线、数组分区）。我们充分利用了FPGA内的DSP48E2切片进行乘加运算，用Block RAM存储权重和中间激活值。

资源与性能结果：

• 单音信号模型（输入512点，网络32-16-8-16-32）：在ZCU102上占用约15%的LUT，12%的DSP，延迟小于5微秒。检测准确率>97%。
• BLE信号模型（输入256点，网络16-8-4-8-16）：更轻量，占用资源减少约40%，延迟降至2微秒，准确率仍高达99.7%。

踩坑记录：第一次做定点化时，我们简单地对所有层使用了统一的8位量化，结果准确率暴跌至70%以下。问题出在激活函数的量化上。ReLU函数输出都是非负数，如果简单地用有符号数格式表示，会浪费一半的动态范围。后来我们为激活值单独采用了无符号的定点格式，并仔细调整了每一层的缩放因子，性能才恢复上来。另一个坑是累加器的位宽。多个乘积相加后，结果可能超出预定位宽，必须预留足够的保护位（guard bits）。

6. 系统验证、噪声鲁棒性与局限性分析

6.1 实测性能：当理论遇上现实

我们将整个系统搭建起来，在真实的2.4GHz频段进行测试。

测试场景：

1. 正常通信：PA发射标准的单音或BLE数据包。
2. 已知木马激活：周期性触发开关木马（每10ms导通100us）。
3. 未知木马激活：注入一个幅度为原始信号1/10的耦合干扰信号（模拟一种未训练过的攻击）。

结果：

• 检测率：对于已知的开关木马，分类器本身的准确率就达到99.5%。对于未知的耦合干扰木马，依靠自编码器的高重建误差，系统能以98.2%的准确率将其标记为“未知异常”。
• 延迟：从ADC采样数据到FPGA给出判断结果，整个流水线延迟在10微秒以内，完全满足实时监控的要求。
• 功耗：整个传感和FPGA处理链路的额外功耗小于120mW，其中MTJ传感器和接口电路约占20mW，FPGA中的逻辑和DSP约占100mW。这对于一个需要持续安全监控的系统来说是可以接受的。

6.2 噪声环境下的鲁棒性：系统能否抗干扰？

任何实际系统都要面对噪声。我们主要关心两类：

1. 环境电磁噪声：实验室里其他仪器、开关电源、荧光灯都会产生宽频带噪声。我们进行了测试，在PA附近放置一个工作的开关电源，其噪声会耦合进传感路径。结果显示，只要噪声不是特别强（信噪比高于20dB），我们的CAE模型依然能稳定工作。这是因为自编码器学习的是数据在潜在空间中的分布，加性白噪声通常会均匀地分布在整个空间，不会显著改变正常数据点的聚集形态。
2. 传感器本底噪声：MTJ传感器本身有磁噪声。我们测量了STJ-240的噪声谱密度，在100Hz以上主要以白噪声为主。通过优化前置放大器的带宽（限制在信号有效带宽内），并利用神经网络固有的噪声容忍能力，本底噪声的影响被降到了最低。

我们做了一个压力测试：在输入信号中主动加入高斯白噪声，从-30dBm加到-10dBm。如图19所示，即使信噪比恶化，CAE的分类准确率下降也很平缓，在-10dBm噪声下（信噪比已经很差）仍能保持94%以上的准确率。这证明了基于学习的方案相比固定阈值检测的巨大优势。

6.3 当前方案的局限性与未来改进方向

没有任何方案是完美的，坦诚地讲，我们这个原型系统也有其局限：

1. 对强磁干扰的脆弱性：MTJ传感器本身对强外部磁场敏感。一块靠近的磁铁不仅会干扰测量，甚至可能使传感器磁化方向翻转，导致暂时或永久失效。解决方案：在最终产品中，必须为传感器设计磁屏蔽罩，或采用差分对的MTJ传感器来抑制共模磁场干扰。
2. 模型依赖“正常”操作的定义：CAE的核心是学习“正常”。如果芯片的正常工作模式本身就有多种（例如，不同的功率等级、不同的调制模式），我们需要在训练数据中涵盖所有这些模式，否则系统可能会将未见过的高功率模式误判为异常。这需要更全面的训练数据收集和可能的多模型/可重构模型架构。
3. 木马设计的对抗性进化：攻击者可能会设计一种“ stealthier”的木马，其激活时产生的功耗变化频谱，刻意模仿正常操作下的某种波动（比如温度变化引起的慢漂移）。这会增加检测难度。应对思路：结合多模态传感，例如同时监测电流和芯片局部温度，利用多维度信息进行联合判断。
4. 片上集成挑战：目前我们是PCB板级实现。真正的目标是将其集成到RFIC内部。这需要与晶圆厂合作，开发与标准CMOS工艺兼容的MTJ集成方案，以及超低功耗的模拟前端和神经网络加速器IP。

我个人在实际工程中的体会是，硬件安全是一场持续的攻防战。基于电磁侧信道和ML的检测方法，为我们提供了一种主动、实时、非侵入的防御视角。它不能保证100%捕获所有木马，但能极大地提高攻击者的成本和难度。下一步，我们正在探索将传感器和预处理电路进行模拟域的信息压缩，比如直接使用模拟MLP进行特征提取，再将精简后的特征送给数字神经网络做决策，以期进一步降低系统功耗，向真正的“始终在线”硬件安全监护迈出更坚实的一步。