-
题名一种面向忆阻器平台的神经网络模型保护方法
被引量:2
- 1
-
-
作者
靳松
汪宇航
-
机构
华北电力大学电子与通信工程系
华北电力大学河北省电力物联网技术重点实验室
-
出处
《计算机学报》
EI
CAS
CSCD
北大核心
2022年第11期2377-2392,共16页
-
基金
河北省自然科学基金“考虑忆阻器静态缺陷与动态偏差的存算一体化神经网络加速器可靠性优化方法研究”(F2021502006)资助.
-
文摘
基于忆阻器交叉阵列的神经网络加速器具有存算一体化的优势,能够有效提升神经网络的执行性能.但忆阻器的非易失性特点容易被攻击者利用,通过实施模型偷窃攻击获取神经网络的权重参数.加速器作为用户端设备时,攻击者还可以实施模型复制攻击,通过收集输入-输出样本集合训练替代网络.上述攻击方法为神经网络模型在忆阻器平台的安全部署以及模型知识产权的保护带来严峻的挑战.为解决上述问题,本文提出一种基于权重混排和模糊化的模型保护方法.为抵御模型偷窃攻击,在将权重参数映射到忆阻器平台之前,以虚操作单元粒度对权重进行随机混排,打乱权重矩阵中元素的位置.同时,设计密钥保护的输出重定向模块以支持权重混排后神经网络正确的推理计算.另一方面,借助忆阻器的电阻漂移效应抵御模型复制攻击.一旦检测到恶意输入样本,系统自动进入自毁模式,加快忆阻器的电阻漂移,造成权重值模糊化,使网络模型的分类精度迅速下降到不可接受的程度,破坏攻击者收集输入-输出样本的努力.实验结果表明,与已有工作相比,本文提出的混排方法能够实现相同的安全保证,但硬件开销和功耗降低了两个数量级.当系统进入自毁模式,提出的权重模糊化方法只需几十个输入样本即可将网络模型的分类精度降低到40%以下,有效阻值攻击者的模型复制努力.
-
关键词
忆阻器平台
深度神经网络
模型保护
模型偷窃攻击
模型复制攻击
权重混排与模糊化
-
Keywords
memristor
deep neural network
model privacy protection
model stealing attack
model replicating attack
weight obfuscation and blurring
-
分类号
TP18
[自动化与计算机技术—控制理论与控制工程]
-
