[发明专利]基于人工智能处理器的实时恶意样本检测方法及电子装置

说明书

本发明提供一种基于人工智能处理器的实时恶意样本检测方法及电子装置，包括：根据目标网络和恶意样本检测机制，对人工智能处理器的全局片上缓存、脉动阵列及非DNN计算单元进行资源划分；编译器根据资源划分结果，生成指令文件；当恶意样本检测机制判定输入数据为恶意样本时，通知目标神经网络停止计算。本发明不会使加速器执行目标网络的推理性能有所下降，保障系统能够免于受到恶意样本攻击的风险，使得该人工智能处理器的资源利用率大幅提高，减少对内存带宽的需求，检测算法兼容性强和适应性好。

技术领域

本发明涉及计算系统和微处理器安全领域，尤其涉及一种基于人工智能处理器的实时恶意样本检测方法及电子装置。

背景技术

近年来，半导体芯片制程工艺发展速度下降，使得摩尔定律的推进速度变缓并逐渐达到物理极限。现在的计算机系统依靠专用的硬件加速器来实现更好的性能和能效。机器学习模型尤其是深度神经网络的计算通常是大量的密集型计算和内存密集型，这两者都需要专门的硬件加速器来提高其执行的性能和能效。学术界和工业界为此做出了巨大的努力，在学术界，2014年中科院计算所陈云霁研究员率先设计了一个高性能、低功耗的神经网络处理器DianNao，它能够在3mm²的面积上做到与主流GPU相当的性能。另外，该研究团队提出了Cambricon指令集，是国际上首个深度学习指令集，能够在保持高效的同时通过指令的组合支持各种神经网络算法。2017年，麻省理工学院提出了Eyeriss深度学习加速器，该加速器采用行数据流方法进行深度学习加速进行加速，用于加速卷积神经网络。在工业界，谷歌设计并开发了深度神经网络的ASIC电路TPU(Tensor Processing Unit)，目前已经完成了TPUv1.0、TPUv2.0、TPUv3.0三款人工智能处理器芯片，并应用到了其云端计算中心中。与此同时，英伟达也开源了深度学习加速器NVDLA，是业界第一个开源的ASIC人工智能处理器。

虽然学术界和工业界为人工智能处理器的研发投入了大量的人力、物力，并且取得了很多优秀的研究成果。但是深度神经网络模型自身却面临着许多的风险，而目前的人工智能处理器架构对此无能为力。例如随着AI换脸的兴起意味着图像技术日趋成熟，同时也面临“AI黑产”带来的系列问题，采用Face2Face、FaceSwap、DeepFakes和NeuralTextures等伪造算法制造出来的人脸图像自然逼真，人眼几乎无法辨别真伪，同时能够使得AI系统能够做出错误的判断，极大地提高了任务难度。另外，通过预先训练神经网络安装秘密后门对“触发器”(trigger)进行响应，可以人为操纵神经网络在碰到“触发器”之前保持正常识别，而在攻击需要时，用“触发器”对神经网络实现准确率达90％以上的攻击，对自动驾驶和图像识别应用造成了巨大的威胁。更为普遍的是，现有的神经网络模型也非常容易受到对抗样本的攻击。

现在的人工智能处理器的设计大多数是为了提高神经网络模型运行的效率和实时性进行相关的优化设计，其人工智能处理器的架构设计也是向高性能、低功耗、小体积和定制化的方向发展，使得人工智能处理器能够带来更好的性能和能效。然而，在许多的应用场景中，需要保护神经网络模型自身运行的安全性，使得其免受到上述恶意样本的攻击。而运行恶意样本检测算法通常需要人工智能处理器、甚至需要CPU处理器的配合来完成相应算法的计算，而现存的人工智能处理器无法为目标神经网络模型和恶意样本检测算法同时提供有效的计算能力，尤其是恶意样本检测算法包含有特殊的计算单元(例如传统机器学习或者特殊的哈希层)。在这些应用方面，现存的人工智能处理器正面临着许多的挑战。

鉴于目前人工智能处理器日益突出的安全问题，以及恶意样本检测算法对新的计算能力的需求，亟需一种能够提供混合的、多种计算能力的人工智能处理器技术，从而保障人工智能处理器运行的神经网络模型能够实时的、有效的对恶意样本攻击进行检测。对能够抵抗恶意样本攻击的人工智能处理器架构的研究具有广泛的实用价值和应用前景。

发明内容