CN112231774A - 一种深度学习旁路分析的安全评估框架搭建方法 - Google Patents

Abstract

本发明公开了一种深度学习旁路分析的安全评估框架搭建方法，包括：基于建模输出的秘钥信息量子框架，由交叉熵、损失函数组成的深度学习子框架；条件猜测熵及衍生猜测熵、成功率组成的旁路分析子框架。根据信息瓶颈理论分析，通过概率分布计算DNN最后一层隐藏层到输出层的感知信息作为DLSCA的量化评估指标，并通过实验验证该指标比现有的量化评估指标衡量更加精准，且对数据的数量级要求更低。

Description

一种深度学习旁路分析的安全评估框架搭建方法

技术领域

本发明涉及一种安全评估框架搭建方法，尤其是一种深度学习旁路分析的安全评估框架搭建方法。

背景技术

DLSCA技术具备自动提取特征的能力，在建模阶段无需特征点选取的预处理过。但如果要深入研究DNN结构参数与旁路攻击场景的具体关系，特征提取技术不或缺。除自动提取特征的能力外，由于神经网络具有良好的鲁棒性，DLSCA对于防护的旁路功耗数据也具有良好的特征提取能力。依据DNN以上特征提取的优势，果可以打开DNN“黑盒”内部剖析其学习特征的过程，那么对于各类旁路攻击场，敌手均能准确提取功耗的特征，并用以指导DNN结构参数的选取。

其他基于统计学的特征提取方法如DOM、SOSD、SOST以及T检测与测等均基于信噪比技术提出，且特征提取过程需要根据特征模型进行分类，特征过程过于繁琐。改良的TVLA特征提取技术方便高效，但其与信噪比一样，对有防护的旁路数据，二者的特征提取能力均会受到干扰。此外，其他降维技术如分分析或内核判别分析方法的变体也被应用于特征，但不能准确提取数据相关的特征。

发明内容

本发明要解决的技术问题是提供一种深度学习旁路分析的安全评估框架搭建方法。

为解决上述技术问题，本发明所采取的技术方案如下。

一种深度学习旁路分析的安全评估框架搭建方法，所述方法包括：以密钥信息量为核心的进行深度学习旁路分析的安全评估框架的生成和搭建，包括如下主体关联要素：基于建模输出的秘钥信息量子框架，由交叉熵、损失函数组成的深度学习子框架；条件猜测熵及衍生猜测熵、成功率组成的旁路分析子框架。

作为本发明的一种优选技术方案，所述的一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：围绕密钥信息量，将DNN模型训练阶段的性能评估与测试阶段旁路安全评估进行关联：根据密钥信息量与性能评估的定义，将问题转化为密钥信息量的提取优化问题；SCA极大似然旁路区分器原理为提取最大密钥信息量，揭示SCA提取密钥信息量的过程即为条件猜测熵优化过程，与猜测熵建立联系；再推导出密钥信息量与成功率的关系，成功率亦基于条件猜测熵的优化进行评估；通过猜测熵与成功率对密钥破解程度的衡量将密钥信息量与破密最小轨迹数关联起来；将密钥信息量与交叉熵关联，并由深度学习中交叉熵损失函数计算；最终以密钥信息量为核心的深度学习旁路分析安全评估框架建立，DNN模型训练阶段的性能评估与测试阶段旁路安全评估得以关联。

作为本发明的一种优选技术方案，所述的一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：所述性能评估的定义为：深度学习旁路分析训练阶段安全评估问题为衡量DNN模型实际输出值f Pr[Z|X]与真实值

间的贝叶斯误差优化问题：

作为本发明的一种优选技术方案，所述的一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：通过如下方式推导出密钥信息量与成功率的关系：将SCA过程可视作马尔可夫过程，基于费诺不等式有：对于SCA中的马尔可夫过程

令成功率

则有：

其中h2(SR)-SR log2 SR-(1-SR)log 2(1-SR)，K为密钥空间，不等式左边代表SCA破密最多需要传输的比特数。

作为本发明的一种优选技术方案，所述的一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：基于如下关系将密钥信息量与交叉熵关联：给定训练数据集Sp：Pr[X，Z]^Np，Np N，Z S(k，p)为标签，X R ^Np ^D为功耗轨迹，H假设空间中为DNN参数集合，CX，Z()为DNN模型f的交叉熵损失，Gm为SCA计算密钥K的条件猜测熵。

作为本发明的一种优选技术方案，所述的一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：基于如下关系将密钥信息量与交叉熵关联：

给定训练数据集S_p：Pr[X，Z]^Np，误差分布为

正确分布为Pr[Z|X]，θ∈Θ为DNN参数集合定义交叉熵为：

采用上述技术方案所产生的有益效果在于：本发明根据信息瓶颈理论分析，通过概率分布计算DNN最后一层隐藏层到输出层的感知信息作为DLSCA的量化评估指标，并通过实验验证该指标比Masure等人的量化评估指标衡量更加精准，且对数据的数量级要求更低。

附图说明

图1是本发明密钥信息量为核心的DLSCA安全评估框架图。

图2是本发明的AES-HD数据集实验验证结果。

具体实施方式

以下实施例详细说明了本发明。本发明所使用的各种原料及各项设备均为常规市售产品，均能够通过市场购买直接获得。

在以下实施例的描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

应当理解，当在本申请说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本申请说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

另外，在本申请说明书和所附权利要求书的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

实施例1、密钥信息量与旁路安全评估

(1)密钥信息量与旁路安全评估

DLSCA虽是深度学习与旁路分析的结合，但仍是旁路分析问题，解决DLSCA评估问题，需从旁路安全分析角度入手。SCA整个过程中，每一时刻的概率分布仅与其前一时刻的概率分布有关，因此该过程可视作一个马尔可夫过程：

引理3-1 SCA过程可定义为马尔可夫过程：

其中D为旁路区分器，K^为DNN模型预测类别对应的密钥值。

根据SCA马尔可夫过程，结合DLSCA实施步骤，DLSCA安全评估要解决以下问题：

问题3-1(评估问题)给定训练数据集Sp:Pr[X,Z]^Np，在SR(Na)≥α(α为固定值)

问题3-1是基于预设测试结果条件的DLSCA安全评估问题，包含训练与测试两阶段的评估：求最优模型

属于DNN模型在训练阶段的性能评估任务，基于阈值α最小化Na属于测试阶段的旁路安全评估任务。由于训练阶段属于深度学习分类问题，因而性能评估要解决的就是衡量模型在学习过程中的输出预测概率Pr[Z|X]与真实概率Pr[Z|X]间贝叶斯误差优化问题。因此将问题3-1的训练阶段评估问题可转化为：

命题3-1(性能评估)DLSCA训练阶段安全评估问题为衡量DNN模型实际输出值因此首先考虑使用准确率Acc来解决命题3-1。当Acc趋于1时，所有预测类别Z^与真实类别Z相等。但实际操作中，准确率Acc无法与测试阶段的安全评估任务联系起来，结合准确率的定义式(3-4)以旁路安全评估角度分析如下：①从旁路安全评估的指标角度看：安全指标中成功率SR的定义为对Na条轨迹整体破密正确概率的平均值，反映的是样本整体最大密钥提取能力，须在功耗总样本X维度累加后再取次攻击平均。而Acc反映的是单个样本x的分类预测概率，评估的维度不等价。之于猜测熵GE，其反映的是正确密钥在假设空间K中的排序水平，通过每条轨迹叠加预测信息减少估计错误，从而改变正确密钥排序，是规模为Na轨迹的平均密钥提取能力。显然Acc无法显示多条轨迹的累积变化。

②从旁路安全评估的实质看：由引理3-1，SCA可视作是马尔可夫过程，故SCA整个过程中只要功耗总样本中的密钥信息传递与利用充足，密钥就能破解。因此将命题3-1中的贝叶斯误差优化转换成信息熵中信息量的表达形式，引入密钥信息量定义为：定义3-1(密钥信息量)对于给定训练数据集Sp:Pr[X,Z]^Np，Sp携带的密钥信息量为X→Z过程中每个样本x∈X包含对应标签值Z^的比特数：

D的极大似然值对应g(k)中估计密钥排序至首位，即解得正确密钥，密钥信息量为KI(Z|X)。而单个样本Acc获得的最大输出概率值很大，其总样本输出概率值可能很小，对应得到的密钥信息量也会少，就会出现Acc的值很高趋近于1，而成功率很小的现象。因此，使用准确率Acc衡量训练阶段的DNN模型性能无法满足旁路安全估需求，旁路安全评估的本质在于密钥信息量

的提取。

(2)密钥信息量与安全指标的关系

旁路安全评估的本质在于密钥信息量的提取，与命题3-1性能评估照应。既然钥信息量

为旁路安全评估的关键，那么其如何与旁路分析的安全评估指标关联起来呢？解决这一问题，问题3-1中的测试阶段的安全评估任务也将得解。重新观察问题3-1，其中后半段涉及到了成功率与破密最小轨迹数Na两个指标。成功率对应旁路安全指标中的SR。对于最小轨迹数Na，旁路安全指标中猜测熵GE是衡量解出密钥与否的指标：当GE减小并收敛于一定值时，正确密钥升至g(k)首位，密钥获解，此时对应的功耗轨迹数即为a值。因此，须研究密钥信息量

与旁路安全指标成功率SR与猜测熵GE的关系。

①密钥信息量与猜测熵

在实际计算中，为了将GE与极大似然统一起来，对GE中的概率值取对数操作。又由命题3-1是对条件概率

进行优化，本文引入条件猜测熵的定义：定义3-2(条件猜测熵)令测试集Sa:Pr[X,Z]^Na，Na∈N，Z∈S(k,p)为标签，X∈R ^Na^×D为功耗轨迹，条件概率熵为：

②密钥信息量与成功率

根据引理3-1中SCA过程可视作马尔可夫过程，因此根据费诺不等式有：

令成功率

则有：

其中h2(SR)＝-SR log 2 SR-(1-SR)log 2(1-SR)，K为密钥空间，不等式左边代表SCA破密最多需要传输的比特数。

对于成功率SR与猜测熵GE二者与密钥信息量的关系，其本质都是由条件猜测熵Gm的优化进而实施安全评估的。

实施例2、密钥信息量与DNN性能评估

(1)信息瓶颈理论解释DNN

DNN因其学习过程的复杂性向来被认作一个黑盒模型处理。上节指出机器学习性能指标不可用，因此需要寻找另外的衡量指标关联起密钥信息量。根据信息瓶颈理

论可将DNN层与层之间的关联视作马尔可夫过程，该过程中传递的互信息可衡量其学习程度：

引理3-2(信息瓶颈理论)在假设空间H中，DNN模型

结构可解释为一个贝叶斯分层结构。因中隐藏层i的输入是上一层的输出T_i-1，则

可等价于马尔可夫链：

对应的概率分布为：

由引理3-2的信息瓶颈理论，DNN的实质与SCA过程相同，也可视为一个马尔可夫过程，如图1。其中，加密阶段对应DNN的特征选取过程X→T，隐藏层Ti中的每个神经元根据p_w(ti|x)·p_w(x)计算互信息I[Ti；X]，来衡量特征提取算法对输入数据信息的特征信息量。该过程实则对输入数据降维，故称作信息压缩；解密阶段对p(z^|t)·p(t|x)^DNN元根据wⁱwⁱ的分布变化计算互信息I[Z；Ti]，并将提取的特征维度摊平至分类维度，实现数据特征的再编码以衡量泛化信息量，该过程称作信息扩展。

推论3-1(信息熵优化)DNN模型

为马尔可夫信道，存在互信息变化不等式。根据条件熵定义有：H(Z|X)＝-∑Pr[Z|X]·log 2 Pr[Z|X]＝-∑Pr[Z|X]·KI[Z|X]。

定理3-1(DLSCA过程评估)给定训练数据集Sp:Pr[X,Z]^Np，Np∈N，Z∈S(k,p)为标签，X∈R ^Np^×D为功耗轨迹，H假设空间中θ∈Θ为DNN参数集合，CX,Z(θ)为DNN模型f_θ的交叉熵损失，Gm为SCA计算密钥K的条件猜测熵。由引理3-1与引理3-2可将整个DLSCA过程马尔可夫化，DNN算法模型为区分器。

本实施例中论述Gm是通过极大似然定律计算的，那么推导交叉熵损失CX,Z(θ)与极大似然的关系才能证明定理3-1中的等价性，而实际两者是统一的。令DNN的参数空间θ∈H，对于训练数据集Sp:Pr[X,Z]^Np，根据极大似然定律有：

说明DLSCA中DNN模型性能评估的实质在于优化交叉熵损失CX,Z(θ)，该任务在信息熵视角下，围绕极大似然定律，可通过密钥信息量与测试阶段的旁路安全评估实现对接。由此可提出以密钥信息量为核心的DLSCA安全评估框架，如图1：如图1所示，围绕密钥信息量，可以将DNN模型训练阶段的性能评估与测试阶段旁路安全评估关联起来：根据命题3-1性能评估与密钥信息量的定义，命题3-1的问题可以转化为密钥信息量的提取优化问题。定义3-2中SCA极大似然旁路区分器原理为提取最大密钥信息量KI(Z|X)，并揭示SCA提取密钥信息量的过程即为条件猜测熵Gm优化过程，可与猜测熵GE建立联系；再通过引理3-2推导出密钥信息量与成功率SR的关系，且成功率也基于条件猜测熵的优化进行评估；最后通过猜测熵与成功率对密钥破解程度的衡量可将密钥信息量与破密最小轨迹数Na关联起来。根据定理3-1(或定义3-3)可将密钥信息量与交叉熵关联，并可由深度学习中交叉熵损失函数计算。综上由此以密钥信息量为核心的DLSCA安全评估框架建立，DNN模型训练阶段的性能评估与测试阶段旁路安全评估得以关联。

实施例3、DLSCA评估指标——PI(Z；T,θ)

DNN训练学习的实质为极大似然定律对交叉熵的优化，DNN模型学习越精确，交叉熵CX,Z(θ)与条件猜测熵Gm皆趋于定值H[Z|X](定理3-1)。故寻一评估指标来与交叉熵CX,Z(θ)建立定量关系，便可实现密钥信息量为核心的DLSCA安全评估框架。

(1)Masure评估原理

利用感知信息与交叉熵函数的关系，通过计算X→Z过程的感知信息评估DLSCA，但是这种方法误差过大，无法准确量化评估DLSCA。首先介绍其评估原理：

①因SGD算法的随机降维机制，会使得DNN实际学习的样本量NSGD维度远小于总量Np。引理3-3的前提条件是基于大数定理，当实际不满足NSGD→∞时，对数损失函数无法衡量预测分布

与真实分布之间的交叉熵Cx，z(θ)。

即DNN整个过程产生的互信息I[Z；X]同样分为对应的两部分I[Ti|X]与I[Z|Ti]，分别衡量密钥特征信息量与泛化信息量，对数损失函数的优化过程包含两者的综合变化。训练至最佳拟合周期前，特征提取量少，而信息压缩阶段由于特征信息量增大，互信息I[Ti|X]会上升，之后模型对数据学习的特征信息量趋于饱和，DNN会减少提取的特征量，I[Ti|X]开始变小。而后半部分对应信息扩展过程，与模型泛化相关。

命题3-3(输出层分布)给定训练数据集Sp:Pr[X,Z]^Np，DNN模型f_θ，输入层X，输出层Z^，softmax层(最后一层隐藏层)为T，则softmax输出的概率分布服从模型θ的预测分布为Pr[T]:Pr[Z|X]，且有：

证明：由模板攻击理论，当旁路泄露功耗X∈R^D的采集数量Np足够大时，X服从高斯分布X:N(μ,σ)^D。当功耗X经过模型f_θ的每个隐藏层Ti时，其本身的均值μ与方差σ也通过对应层的参数集合θTi拟合出估计值

与

Ti层输出的分布服从Pr[Ti]:

当经过最后一层softmax层输出概

率分布Pr[Ti]:

时，

与

不再变化。而根据模板攻击理论，整个DNN模型fθ就是模板攻击中的模板，因此的输出概率就对应模板的预测分布Pr[Z|X]。

综上得出以下结论：①基于SGD算法的感知信息PI(Z；X,θ)无法准确衡量分布差距，则采取传统的采样方法计算概率分布计算信息熵。采用计算概率分布的方式进行量化比交叉熵损失函数进行计算作为量化更精准，且根据传统模板攻击，前者所需Np数一般在10³～10⁵间，而后者则需要更多数量的训练数据集；②在DLSCA马尔可夫链中，计算的起始实质为Z X T Z Z，该过程区间过长，包含的信息变化复杂，采用PI(Z；X,θ)作为评估指标不能准确衡量泛化信息量。根据推论3-1与命题3-3，因T表示模型fθ学习到的关于输入X的特征，可将感知信息计算锁定在T与Z之间，且感知信息PI(Z；T,θ)与模型f_θ泛化直接相关。

定义3-4(量化评估指标)假设空间H中的DNN算法模型为f_θ，

训练数据集Sp:Pr[X,Z]^Np，f_θ最后一层T与目标值Z之间的感知信息为：

PI(Z；T,θ)＝H(Z)-H(Z|T)＝H(Z)+∑Pr[Z]∑Pr[T|Z]log₂ Pr[Z|T]

实施例4、基于PI(Z；T,θ)的DLSCA泛化方法

具备量化评估指标后，敌手需要获知该DNN模型优化到什么程度才能最快结束训练，并使模型f_θ在避免欠拟合或过拟合的情况下达到预设阈值α。有时该指标

未取至最大值时，模型f_θ的训练精度就可达到阈值α。因此这种情况下，问题转化为评估指标与模型泛化能力关系的研究。本小节将以PI(Z；T,)作为评估指标结合泛化理论研究DLSCA的泛化(停止)方法。

泛化能力为模型对未知数据的预测能力。敌手不仅希望DNN模型f_θ对训练用数据集Sp精确建模，也希望训练得到的最优模型

对目标设备的真实数据集Sa同样最优。而模型

只针对训练数据的分布Pr[X,Z]^Np训练拟合参数集θ∈Θ，对于测试数据集分布Pr[X,Z]^Na未知。因Pr[X,Z]^Np与Pr[X,Z]^Na两数据集分布存在差异，所以表现在优化与指标衡量上也会不同。因此评估指标PI(Z；T,)如何指示当前模型化能力，时解决最优训练停止时间的关键。首先引入泛化误差概念：

定义3-5(泛化误差)令DNN模型f_θ对训练数据集Sp:Pr[X,Z]^Np的期望误差R(fθ)，在训练阶段的实际误差为R Sp(fθ)，则泛化误差为：

命题3-4(泛化方法)给定训练数据集Sp:Pr[X,Z]^Np，CX,Z(θ)为DNN模型f_θ输与真实值Z的交叉熵，K为密钥空间，成功率预设阈值为α。根据费诺不等式泛化误差有以下关系：

Ex，z(α)＝-αlog₂α-(1-α)log₂(1-α)+(1-α)log₂(K-1)1 (3-29)

则泛化误差最小值满足：

证明：在DLSCA马尔可夫过程

中，有：

Cx，z(θ)≤Ex，z(α)

由于DNN网络结构种类以及架构参数(层数、层种类以及神经元个数等)设置等因素引起的误差。估计误差为实际Np维度无法达到极大似然条件Np→∞导致的统计误差。优化误差基于batch的优化模式的SGD方法所导致的衡量误差引理。因此，泛化误差ε总会存在，当ε最小时，对应DNN模型的泛化能力就越强。但是实际中εmin对应时刻不一定是最好的训练停止点。当ε逐渐收敛，泛化误差变化量Δε足够小时，敌手即可认定该时刻模型的泛化能力足以满足阈值α。

实验验证。优于Masure等人的PI(Z；X,θ)量化评估指标；(2)通过以PI(Z；T,θ)为核心的DLSCA量化评估方法判断DNN模型最佳训练周期并在训练阶段实施预测。实验数据采用ASCAD、DPAcontest-v4和AES-RD三个公共数据集作为AES加密的软件实现，ASCAD选取AES第一轮加密的第三个S盒，后两个选取AES第一轮加密中一个S盒的密钥攻击。硬件实现选取AES-HD数据集，其为VHDL架构编写用于FPGA的AES-128加密实现，选取最后一轮加密作为攻击点。

实施例5、硬件实现——AES-HD数据集验证

AES_HD数据集采用FPGA硬件实现。训练数据集选定Np为45000，验证集Nv与测试集Na均设置为5000。采取地8位于第12位密文字节与固定密钥值攻击。DNN模型结构超参数选用中用于训练AES-HD数据集的DNN结构。学习率设置为10^-3，数据批次batch为50，迭代周期为0，测试阶段攻击次数为100并取平均。如图2，(1)图2-a所示，评估指标PI(Z；T,θ)与PI(Z；X,θ)及其验证集对数量级要求更低。

本发明的硬件实现，可以直接采用现有的智能设备，包括但不限于工控机、PC机、智能手机、手持单机、落地式单机等。其输入设备优选采用屏幕键盘，其数据存储和计算模块采用现有的存储器、计算器、控制器，其内部通信模块采用现有的通信端口和协议，其远程通信采用现有的gprs网络、万维互联网等。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。

Claims (6)

1.一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：以密钥信息量为核心的进行深度学习旁路分析的安全评估框架的生成和搭建，包括如下主体关联要素：基于建模输出的秘钥信息量子框架，由交叉熵、损失函数组成的深度学习子框架；条件猜测熵及衍生猜测熵、成功率组成的旁路分析子框架。

2.根据权利要求1所述的一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：围绕密钥信息量，将DNN模型训练阶段的性能评估与测试阶段旁路安全评估进行关联：根据密钥信息量与性能评估的定义，将问题转化为密钥信息量的提取优化问题；SCA极大似然旁路区分器原理为提取最大密钥信息量，揭示SCA提取密钥信息量的过程即为条件猜测熵优化过程，与猜测熵建立联系；再推导出密钥信息量与成功率的关系，成功率亦基于条件猜测熵的优化进行评估；通过猜测熵与成功率对密钥破解程度的衡量将密钥信息量与破密最小轨迹数关联起来；将密钥信息量与交叉熵关联，并由深度学习中交叉熵损失函数计算；最终以密钥信息量为核心的深度学习旁路分析安全评估框架建立，DNN模型训练阶段的性能评估与测试阶段旁路安全评估得以关联。

3.根据权利要求2所述的一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：所述性能评估的定义为：深度学习旁路分析训练阶段安全评估问题为衡量DNN模型实际输出值fθ＝Pr[Z|X]与真实值

间的贝叶斯误差优化问题：

4.根据权利要求2所述的一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：通过如下方式推导出密钥信息量与成功率的关系：将SCA过程可视作马尔可夫过程，基于费诺不等式有：对于SCA中的马尔可夫过程

令成功率

则有：

其中h2(SR)＝-SRlog 2SR-(1-SR)log 2(1-SR)，K为密钥空间，不等式左边代表SCA破密最多需要传输的比特数。

5.根据权利要求2所述的一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：基于如下关系将密钥信息量与交叉熵关联：给定训练数据集Sp：Pr[X，Z]^Np，Np∈N，Z∈S(k，p)为标签，X∈R^Np^×D为功耗轨迹，H假设空间中θ∈Θ为DNN参数集合，CX，Z(θ)为DNN模型f_θ的交叉熵损失，Gm为SCA计算密钥K的条件猜测熵。

6.根据权利要求2所述的一种深度学习旁路分析的安全评估框架搭建方法，其特征在于：基于如下关系将密钥信息量与交叉熵关联：

给定训练数据集S_p：

误差分布为

正确分布为Pr[Z|X]，θ∈Θ为DNN参数集合定义交叉熵为：

Images