[发明专利]一种工业应用场景下的深度神经网络模型安全保护方法

说明书

本发明公开了一种工业应用场景下的深度神经网络模型安全保护方法，包括以下步骤：S1、安全需求分析；S2、安全服务设计；S3、层感知安全服务分配：在DNN模型运行之前，在不违背实时约束的条件下，为DNN模型的每一层都分配合适的机密性保护服务和完整性保护服务；S4、运行时调度。本发明使用对称加密算法为DNN模型提供参数机密性保护，使用HMAC算法为DNN模型提供参数完整性保护，能够有效地防止DNN模型信息的泄露。集成了层感知安全服务分配算法和运行时调度策略，系统能够以极低的计算开销为DNN模型的每一层分配最合适的安全服务，运行时调度策略使得DNN模型的运行和安全服务能够并行执行，从而在最大程度上降低了整体的时间开销。

技术领域

本发明主要涉及一种神经网络模型安全保护方法，特别涉及一种工业应用场景下的深度神经网络模型安全保护方法。

背景技术

随着机器学习，特别是深度神经网络技术的发展，深度神经网络(DNN)已经越来越多与工业物理信息系统(CPS)相结合。但工业应用环境中存在许多的安全威胁，一些安全威胁会造成严重的生命和财产上的损失，例如模型参数的泄露导致的知识产权损害和因模型参数篡改而导致的系统输出错误。这些安全问题极大地阻碍了基于DNN的工业CPS的部署和应用。

在DNN模型攻击方面，Liu等人提出了一种基于故障注入技术的DNN攻击方法，通过篡改DNN模型的参数，使得DNN模型的结果发生错误；在DNN的保护措施方面，Cai等人提出一种基于快速稀疏梯度的DNN模型加密方法，通过这种加密方法，保证DNN模型未执行的层的参数始终处于密文状态，使得攻击者无法直接通过窃取DNN参数获取DNN模型的隐私信息。Xie等人提出将贝叶斯网络与同态加密相结合的DNN安全推理架构，为数据和用户信息提供高效的隐私保护。

发明内容

本发明的目的在于克服现有技术的不足，提供一种使用对称加密算法为DNN模型提供参数机密性保护，使用HMAC算法为DNN模型提供参数完整性保护，能够有效地防止DNN模型信息的泄露的工业应用场景下的深度神经网络模型安全保护方法。

本发明的目的是通过以下技术方案来实现的：一种工业应用场景下的深度神经网络模型安全保护方法，包括以下步骤：

S1、安全需求分析；

S2、安全服务设计；

S3、层感知安全服务分配：在DNN模型运行之前，在不违背实时约束的条件下，为DNN模型的每一层都分配合适的机密性保护服务和完整性保护服务；

S4、运行时调度。

进一步地，所述步骤S1具体实现方法为：基于DNN的工业CPS具有两类安全需求：机密性保护需求和完整性保护需求；用户在部署DNN之前，首先向系统提供一个用于描述机密性保护需求的权重α和一个描述完整性保护需求的权重β；两个权重之和被限定为1；结合DNN每一层的参数信息，在DNN模型部署之前，根据安全需求，为模型的每一层都设置需要加密的参数数量和需要计算校验的参数数量；根据部署环境的具体情况和层的特性，为模型的每一层确定一个绝对安全级别。

进一步地，所述步骤S2具体实现方法为：

S21、选择五种对称加密算法，根据密码学原理分析算法的安全性，从低到高设置机密性保护服务的安全级别，完成机密性保护服务集的定义：

S22、选择五种使用不同Hash算法的SHA算法，根据输出的哈希值长度，从低到高设置完整性保护服务的安全级别，得到完整性保护服务集：

S23、测试并记录不同安全级别的安全服务的运行时间。

进一步地，所述步骤S3具体实现方法为：

S31、使用一个数据结构τ_i记录DNN模型每一层的安全信息：