基于忆阻器交叉阵列的神经网络加速器具有存算一体化的优势,能够有效提升神经网络的执行性能.但忆阻器的非易失性特点容易被攻击者利用,通过实施模型偷窃攻击获取神经网络的权重参数.加速器作为用户端设备时,攻击者还可以实施模型复制攻击,通过收集输入-输出样本集合训练替代网络.上述攻击方法为神经网络模型在忆阻器平台的安全部署以及模型知识产权的保护带来严峻的挑战.为解决上述问题,本文提出一种基于权重混排和模糊化的模型保护方法.为抵御模型偷窃攻击,在将权重参数映射到忆阻器平台之前,以虚操作单元粒度对权重进行随机混排,打乱权重矩阵中元素的位置.同时,设计密钥保护的输出重定向模块以支持权重混排后神经网络正确的推理计算.另一方面,借助忆阻器的电阻漂移效应抵御模型复制攻击.一旦检测到恶意输入样本,系统自动进入自毁模式,加快忆阻器的电阻漂移,造成权重值模糊化,使网络模型的分类精度迅速下降到不可接受的程度,破坏攻击者收集输入-输出样本的努力.实验结果表明,与已有工作相比,本文提出的混排方法能够实现相同的安全保证,但硬件开销和功耗降低了两个数量级.当系统进入自毁模式,提出的权重模糊化方法只需几十个输入样本即可将网络模型的分类精度降低到40％以下,有效阻值攻击者的模型复制努力.

忆阻器平台;深度神经网络;模型保护;模型偷窃攻击;模型复制攻击;权重混排与模糊化

靳松;汪宇航

华北电力大学电子与通信工程系 河北保定 071003;华北电力大学河北省电力物联网技术重点实验室 河北保定 071003

计算机学报

[1]靳松;汪宇航-.一种面向忆阻器平台的神经网络模型保护方法)[J].计算机学报,2022(11):2377-2392

忆阻器平台,模型偷窃攻击,模型复制攻击,密钥保护,权重混排与模糊化

模型保护,保护方法,神经网络加速器,存算一体,非易失性,攻击者,实施模型,用户端,端设备,集输,样本集合,合训,攻击方法,安全部,参数映射,射到,打乱,权重矩阵,中元,重定向,漂移,恶意,自毁,权重值,分类精度,硬件开销,功耗降低,数量级,几十个,阻值,深度神经网络

0.209612