[发明专利]一种针对可重构加速器片上互联结构的硬件木马攻击方法

说明书

本发明公开了一种针对可重构加速器片上互联结构的硬件木马攻击方法，包括以下步骤：1)硬件木马触发模块能够以配置信息或20‑bit图像数据作为触发输入，生成触发信号。比较配置信息或图像数据与攻击者预先定义的触发条件一致性来决定触发信号是否有效；2)硬件木马负载模块在触发信号有效时，修改片上互联结构中选择器的控制选择信号；3)控制选择信号被修改，改变片上互联结构中原始的数据通路和运算电路结构，造成错误的推理计算。本发明提供的一种针对可重构加速器片上互联结构的硬件木马攻击方法，该方法攻击可重构片上互联结构，改变片上互联结构中原始的数据通路和运算电路结构，导致神经网络加速器分类精度的下降。

技术领域

本发明属于硬件安全领域，具体涉及一种针对可重构加速器片上互联结构的硬件木马攻击方法。

背景技术

卷积神经网络已经被广泛应用来处理多种场景任务，如医学诊断、股市预测、语义分割、人脸识别等。对于网络的推理，神经网络需要处理百兆的权重和数十亿次的计算操作。为了加速推理过程，神经网络加速器被提出去提升处理速，成为研究领域的热点而受到了广泛的关注。基于不同平台的加速器设计方案被提出，包括中央处理器(CPU)、图形处理单元(GPU)、专用集成电路(ASIC)和现场可编程门阵列(FPGA)。相比与这些平台的设计结构，动态可重构计算结构能够提供更高的能效和更高的灵活性。因此，基于动态可重构计算的神经网络加速器是一个更好的选择，不能能够有效地加速网络推理过程，而且能够灵活地满足不同网络的加速需求。动态可重构神经网络加速器提供一个可以动态编程的运算单元阵列，能够根据需要动态地配置运算单元完成不同的计算操作。这种配置特性依赖与片上互联结构去改变运算单元的连接方式，调整数据通路，从而实现对不同运算需求的计算。由此可见，片上互联结构是可重构神经网络加速器实现动态配置的关键组件。

随着神经网络加速器在人工智能系统的广泛部署，其安全性对于整个系统来说变得非常重要。事实上，早先的研究工作已经表明卷积神经网络并不是期望中的那样安全可靠。一些对于卷积神经网络的攻击主要集中在数据集和模型层面，包括对抗性样本、数据毒害和故障注入等攻击方式。其实，由于集成电路在整个产业链中越来越依赖于不可信的人员和实体，使得集成电路从设计到制造的整个过程难以控制而容易受到恶意操作，安全威胁已经扩大的硬件安全层面。对于卷积神经网络硬件加速器的攻击方法已经有了一些相关的报道，其中硬件木马攻击尤为突出。硬件木马攻击主要针对神经网络加速器的运算单元和存储单元，造成神经网络加速器分类精度的下降或分类结果的误导。片上互联结构是可重构神经网络加速器实现动态配置的关键组件，但对于片上互联结构的攻击还很少有相关的研究。因此，对于神经网络加速器的片上互联结构实施硬件木马攻击方式将对加速器造成严重的后果，从而影响整个人工智能处理系统。

发明内容

本发明目的是提供一种针对可重构加速器片上互联结构的硬件木马攻击方法，该方法将硬件木马植入神经网络加速器的片上互联结构并预先定义触发条件，在配置信息或图像数据作为触发输入与触发条件一致时，激活硬件木马负载，修改片上互联结构中选择器的控制选择信号，改变了片上互联结构中原始的数据通路，导致运算单元的错误连接，不能进行正确的卷积运算。

本发明采用如下技术方案来实现的：

一种针对可重构加速器片上互联结构的硬件木马攻击方法，包括以下步骤：

1)硬件木马攻击可重构神经网络加速器的片上互联结构，硬件木马触发模块能够以配置信息或20-bit图像数据作为触发输入，生成触发信号；攻击者预先定义触发条件，当配置信息或20-bit图像数据与攻击者预先定义的触发条件一致时，触发信号有效，否则，触发信号无效；

2)硬件木马负载模块在触发信号有效时，修改片上互联结构中选择器的控制选择信号；

3)可重构神经网络加速器的灵活性依赖于片上互联结构，片上互联结构根据配置字调整数据通路并组织运算阵列构成所需电路完成相应的推理运算；控制选择信号被修改，改变片上互联结构中原始的数据通路和运算电路结构，造成错误的推理计算。