一种面向忆阻器平台的神经网络模型保护方法

作     者：靳松 汪宇航 JIN Song;WANG Yu-Hang

作者机构：华北电力大学电子与通信工程系河北保定071003 华北电力大学河北省电力物联网技术重点实验室河北保定071003 

基　　金：河北省自然科学基金“考虑忆阻器静态缺陷与动态偏差的存算一体化神经网络加速器可靠性优化方法研究”(F2021502006)资助 

出 版 物：《计算机学报》 (Chinese Journal of Computers)

年 卷 期：2022年第45卷第11期

页      码：2377-2392页

摘      要：基于忆阻器交叉阵列的神经网络加速器具有存算一体化的优势,能够有效提升神经网络的执行性能.但忆阻器的非易失性特点容易被攻击者利用,通过实施模型偷窃攻击获取神经网络的权重参数.加速器作为用户端设备时,攻击者还可以实施模型复制攻击,通过收集输入-输出样本集合训练替代网络.上述攻击方法为神经网络模型在忆阻器平台的安全部署以及模型知识产权的保护带来严峻的挑战.为解决上述问题,本文提出一种基于权重混排和模糊化的模型保护方法.为抵御模型偷窃攻击,在将权重参数映射到忆阻器平台之前,以虚操作单元粒度对权重进行随机混排,打乱权重矩阵中元素的位置.同时,设计密钥保护的输出重定向模块以支持权重混排后神经网络正确的推理计算.另一方面,借助忆阻器的电阻漂移效应抵御模型复制攻击.一旦检测到恶意输入样本,系统自动进入自毁模式,加快忆阻器的电阻漂移,造成权重值模糊化,使网络模型的分类精度迅速下降到不可接受的程度,破坏攻击者收集输入-输出样本的努力.实验结果表明,与已有工作相比,本文提出的混排方法能够实现相同的安全保证,但硬件开销和功耗降低了两个数量级.当系统进入自毁模式,提出的权重模糊化方法只需几十个输入样本即可将网络模型的分类精度降低到40%以下,有效阻值攻击者的模型复制努力.

主 题 词：忆阻器平台 深度神经网络 模型保护 模型偷窃攻击 模型复制攻击 权重混排与模糊化 

学科分类：0402[教育学-体育学类] 0303[法学-社会学类] 0710[理学-生物科学类] 12[管理学] 0301[法学-法学类] 1201[管理学-管理科学与工程类] 081104[081104] 08[工学] 0835[0835] 0811[工学-水利类] 0812[工学-测绘类] 

核心收录：

D　O　I：10.11897/SP.J.1016.2022.02377

馆 藏 号：203115516...