[发明专利]基于神经网络加速器结构的攻击方法和装置、存储介质在审
| 申请号: | 202210519982.X | 申请日: | 2022-05-12 |
| 公开(公告)号: | CN114943248A | 公开(公告)日: | 2022-08-26 |
| 发明(设计)人: | 张洪欣;张华轩;王丹志;杨晨 | 申请(专利权)人: | 北京邮电大学 |
| 主分类号: | G06K9/00 | 分类号: | G06K9/00;G06N3/04;G06N3/08;H04L9/40 |
| 代理公司: | 北京东方盛凡知识产权代理事务所(普通合伙) 11562 | 代理人: | 袁蕾 |
| 地址: | 100876 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 神经网络 加速器 结构 攻击 方法 装置 存储 介质 | ||
1.一种基于神经网络加速器结构的攻击方法,其特征在于,包括以下步骤:
伪受害者加速器将预设的神经网络超参数加载到神经网络中,同时向示波器发送触发信号;
所述示波器根据触发信号,采集伪神经网络加速器执行神经网络时的电磁泄漏信号;
将所述电磁泄漏信号根据所述神经网络超参数进行分类标注;
根据标注标签分别对所述电磁泄漏信号进行训练,得到攻击模型组;
采用攻击模型组对受害者加速器进行攻击。
2.如权利要求1所述的基于神经网络加速器结构的攻击方法,其特征在于,所述神经网络超参数包含:网络层数、卷积核大小、卷积核个数、卷积层个数、池化层大小、池化层个数、全连接层个数、层顺序。
3.如权利要求2所述的基于神经网络加速器结构的攻击方法,其特征在于,所述将所述电磁泄漏信号根据所述神经网络超参数进行分类标注标签包括:
根据所述电磁泄漏信号中的Tag信号将所述电磁泄漏数据进行分层操作;
根据每层类型将信号分为卷积层、池化层、全连接层;
在每层类型下的神经网络超参数进行标记,所述标记标签依次为:网络层数、卷积核大小、卷积核个数、卷积层个数、池化层大小、池化层个数、全连接层个数、层顺序。
4.如权利要求3所述的基于神经网络加速器结构的攻击方法,其特征在于,采用深度学习方法根据标注标签分别对所述电磁泄漏信号进行训练得到攻击模型组,所述模型组包含:层识别模型、层类型识别模型、超参数识别模型、池化核大小识别模型、池化核步长识别模型、卷积核大小识别模型、卷积核步长识别模型、卷积核个数识别模型、神经元数量识别模型。
5.如权利要求4所述的基于神经网络加速器结构的攻击方法,其特征在于,通过近场天线采集伪神经网络加速器执行神经网络时的电磁泄漏信号。
6.一种基于神经网络加速器结构的攻击装置,其特征在于,包括:
加载模块,用于将预设的神经网络超参数加载到神经网络中,同时发送触发信号;
采集模块,用于根据触发信号,采集伪神经网络加速器执行神经网络时的电磁泄漏信号;
分类模块,用于将所述电磁泄漏信号根据所述神经网络超参数进行分类标注;
训练模块,用于根据标注标签分别对所述电磁泄漏信号进行训练,得到攻击模型组;
攻击模块,用于采用攻击模型组对受害者加速器进行攻击。
7.如权利要求6所述的基于神经网络加速器结构的攻击装置,其特征在于,所述神经网络超参数包含:网络层数、卷积核大小、卷积核个数、卷积层个数、池化层大小、池化层个数、全连接层个数、层顺序。
8.如权利要求7所述的基于神经网络加速器结构的攻击装置,其特征在于,所述模型组包含:层识别模型、层类型识别模型、超参数识别模型、池化核大小识别模型、池化核步长识别模型、卷积核大小识别模型、卷积核步长识别模型、卷积核个数识别模型、神经元数量识别模型。
9.一种存储介质,其特征在于,所述存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1至5任一项所述的基于神经网络加速器结构的攻击方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京邮电大学,未经北京邮电大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202210519982.X/1.html,转载请声明来源钻瓜专利网。
