本發明公開一種基于神經網絡加速器結構的攻擊方法和裝置、存儲介質，包括以下步驟：偽受害者加速器將預設的神經網絡超參數加載到神經網絡中，同時向示波器發送觸發信號；所述示波器根據觸發信號，采集偽神經網絡加速器執行神經網絡時的電磁泄漏信號；將所述電磁泄漏信號根據所述神經網絡超參數進行分類標注；根據標注標簽分別對所述電磁泄漏信號進行訓練，得到攻擊模型組；采用攻擊模型組對受害者加速器進行攻擊。采用本發明的技術方案，實現對不同結構神經網絡的逆推攻擊。

技術領域

本發明屬于網絡安全技術領域，尤其涉及一種基于神經網絡加速器結構的攻擊方法和裝置、存儲介質。

背景技術

目前通過采集神經網絡加速平臺的側信道信息，實現對神經網絡結構的攻擊，例如：Yicheng Zhang等人在Stealing Neural Network Structure Through Remote FPGASide-Channel Analysis中針對不同的神經網絡使用了基于遠程功率側信道分析和機器學習的端到端(end-to-end)攻擊，通過在FPGA平臺上植入基于片上RO(Ring Oscillator)的功率監視器，在高分辨率下采樣被攻擊者DNN的功耗，這保證了所有層和超參數可以高精度地重構。利用該方法，攻擊者可以以90％以上的準確率重建神經網絡層和超參數序列。現有類似的工作中大多是通過在被攻擊者芯片內部部署RO等硬件木馬的方式，需要攻擊者對被攻擊芯片有較高的訪問權限，有很大的局限性。Honggang Yu等人在DeepEM:Deep NeuralNetworks Model Recovery through EM Side-Channel Information Leakage中使用基于電磁(EM)側信道信息推斷底層網絡結構，通過基于邊際的對抗性的主動學習方法(margin-based,adversarial active learning method)估計參數(以權重為主)。由此逆向推導出黑盒中神經網絡的替代網絡。現有使用基于電磁泄漏的側信道分析方法研究工作中，只是針對了二值化神經網絡(Binarized Neural Networks，BNN)進行了分析，逆向推導出黑盒中神經網絡的替代網絡。同時只分析了卷積層和池化層的部分超參數，因此局限性較大。

發明內容

本發明要解決的技術問題是，提供一種神經網絡加速器結構的攻擊方法和裝置、存儲介質，利用基于深度學習的側信道攻擊方式，實現對不同結構神經網絡的逆推攻擊。

為實現上述目的，本發明采用如下的技術方案：

一種基于神經網絡加速器結構的攻擊方法，包括以下步驟：

偽受害者加速器將預設的神經網絡超參數加載到神經網絡中，同時向示波器發送觸發信號；

所述示波器根據觸發信號，采集偽神經網絡加速器執行神經網絡時的電磁泄漏信號；

將所述電磁泄漏信號根據所述神經網絡超參數進行分類標注；

根據標注標簽分別對所述電磁泄漏信號進行訓練，得到攻擊模型組；

采用攻擊模型組對受害者加速器進行攻擊。

作為優選，所述神經網絡超參數包含：網絡層數、卷積核大小、卷積核個數、卷積層個數、池化層大小、池化層個數、全連接層個數、層順序。

作為優選，所述將所述電磁泄漏信號根據所述神經網絡超參數進行分類標注標簽包括：

根據所述電磁泄漏信號中的Tag信號將所述電磁泄漏數據進行分層操作；

根據每層類型將信號分為卷積層、池化層、全連接層；

在每層類型下的神經網絡超參數進行標記，所述標記標簽依次為：網絡層數、卷積核大小、卷積核個數、卷積層個數、池化層大小、池化層個數、全連接層個數、層順序。