CN112434350A - 一种针对可重构加速器片上互联结构的硬件木马攻击方法 - Google Patents
一种针对可重构加速器片上互联结构的硬件木马攻击方法 Download PDFInfo
- Publication number
- CN112434350A CN112434350A CN202011192716.8A CN202011192716A CN112434350A CN 112434350 A CN112434350 A CN 112434350A CN 202011192716 A CN202011192716 A CN 202011192716A CN 112434350 A CN112434350 A CN 112434350A
- Authority
- CN
- China
- Prior art keywords
- interconnection structure
- hardware trojan
- signal
- chip
- chip interconnection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 title claims abstract description 118
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000013528 artificial neural network Methods 0.000 claims abstract description 60
- 230000008859 change Effects 0.000 claims abstract description 6
- 238000004364 calculation method Methods 0.000 claims description 53
- 230000004048 modification Effects 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 7
- 230000001537 neural effect Effects 0.000 claims description 6
- 238000012217 deletion Methods 0.000 claims description 2
- 230000037430 deletion Effects 0.000 claims description 2
- 238000013527 convolutional neural network Methods 0.000 description 11
- 230000000694 effects Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000006872 improvement Effects 0.000 description 6
- 230000001960 triggered effect Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 3
- 239000007943 implant Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 239000000306 component Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 241000283086 Equidae Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000003042 antagnostic effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000011056 performance test Methods 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/76—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in application-specific integrated circuits [ASIC] or field-programmable devices, e.g. field-programmable gate arrays [FPGA] or programmable logic devices [PLD]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/76—Architectures of general purpose stored program computers
- G06F15/78—Architectures of general purpose stored program computers comprising a single central processing unit
- G06F15/7867—Architectures of general purpose stored program computers comprising a single central processing unit with reconfigurable architecture
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/06—Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons
- G06N3/063—Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons using electronic means
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Neurology (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种针对可重构加速器片上互联结构的硬件木马攻击方法,包括以下步骤:1)硬件木马触发模块能够以配置信息或20‑bit图像数据作为触发输入,生成触发信号。比较配置信息或图像数据与攻击者预先定义的触发条件一致性来决定触发信号是否有效;2)硬件木马负载模块在触发信号有效时,修改片上互联结构中选择器的控制选择信号;3)控制选择信号被修改,改变片上互联结构中原始的数据通路和运算电路结构,造成错误的推理计算。本发明提供的一种针对可重构加速器片上互联结构的硬件木马攻击方法,该方法攻击可重构片上互联结构,改变片上互联结构中原始的数据通路和运算电路结构,导致神经网络加速器分类精度的下降。
Description
技术领域
本发明属于硬件安全领域,具体涉及一种针对可重构加速器片上互联结构的硬件木马攻击方法。
背景技术
卷积神经网络已经被广泛应用来处理多种场景任务,如医学诊断、股市预测、语义分割、人脸识别等。对于网络的推理,神经网络需要处理百兆的权重和数十亿次的计算操作。为了加速推理过程,神经网络加速器被提出去提升处理速,成为研究领域的热点而受到了广泛的关注。基于不同平台的加速器设计方案被提出,包括中央处理器(CPU)、图形处理单元(GPU)、专用集成电路(ASIC)和现场可编程门阵列(FPGA)。相比与这些平台的设计结构,动态可重构计算结构能够提供更高的能效和更高的灵活性。因此,基于动态可重构计算的神经网络加速器是一个更好的选择,不能能够有效地加速网络推理过程,而且能够灵活地满足不同网络的加速需求。动态可重构神经网络加速器提供一个可以动态编程的运算单元阵列,能够根据需要动态地配置运算单元完成不同的计算操作。这种配置特性依赖与片上互联结构去改变运算单元的连接方式,调整数据通路,从而实现对不同运算需求的计算。由此可见,片上互联结构是可重构神经网络加速器实现动态配置的关键组件。
随着神经网络加速器在人工智能系统的广泛部署,其安全性对于整个系统来说变得非常重要。事实上,早先的研究工作已经表明卷积神经网络并不是期望中的那样安全可靠。一些对于卷积神经网络的攻击主要集中在数据集和模型层面,包括对抗性样本、数据毒害和故障注入等攻击方式。其实,由于集成电路在整个产业链中越来越依赖于不可信的人员和实体,使得集成电路从设计到制造的整个过程难以控制而容易受到恶意操作,安全威胁已经扩大的硬件安全层面。对于卷积神经网络硬件加速器的攻击方法已经有了一些相关的报道,其中硬件木马攻击尤为突出。硬件木马攻击主要针对神经网络加速器的运算单元和存储单元,造成神经网络加速器分类精度的下降或分类结果的误导。片上互联结构是可重构神经网络加速器实现动态配置的关键组件,但对于片上互联结构的攻击还很少有相关的研究。因此,对于神经网络加速器的片上互联结构实施硬件木马攻击方式将对加速器造成严重的后果,从而影响整个人工智能处理系统。
发明内容
本发明目的是提供一种针对可重构加速器片上互联结构的硬件木马攻击方法,该方法将硬件木马植入神经网络加速器的片上互联结构并预先定义触发条件,在配置信息或图像数据作为触发输入与触发条件一致时,激活硬件木马负载,修改片上互联结构中选择器的控制选择信号,改变了片上互联结构中原始的数据通路,导致运算单元的错误连接,不能进行正确的卷积运算。
本发明采用如下技术方案来实现的:
一种针对可重构加速器片上互联结构的硬件木马攻击方法,包括以下步骤:
1)硬件木马攻击可重构神经网络加速器的片上互联结构,硬件木马触发模块能够以配置信息或20-bit图像数据作为触发输入,生成触发信号;攻击者预先定义触发条件,当配置信息或20-bit图像数据与攻击者预先定义的触发条件一致时,触发信号有效,否则,触发信号无效;
2)硬件木马负载模块在触发信号有效时,修改片上互联结构中选择器的控制选择信号;
3)可重构神经网络加速器的灵活性依赖于片上互联结构,片上互联结构根据配置字调整数据通路并组织运算阵列构成所需电路完成相应的推理运算;控制选择信号被修改,改变片上互联结构中原始的数据通路和运算电路结构,造成错误的推理计算。
本发明进一步的改进在于,步骤1)的具体实现方法如下:
101)攻击者预先定义硬件木马触发条件,其中,触发条件选择配置信息触发输入和20-bit图像数据触发输入;
102)比较触发条件与触发输入的一致性,表达为下式:
式中tri_signal表示生成的触发信号,tri_condition表示攻击者预设的触发条件,tri_input表示触发输入,选择配置信息和20-bit图像数据。
本发明进一步的改进在于,当配置信息触发输入或图像数据与预先定义的触发条件一致时,触发信号有效,置为1;否则,触发信号无效,置为0。
本发明进一步的改进在于,步骤2)的具体实现方法如下:
201)硬件木马负载模块由异或门组成,输入分别连接触发信号端口tri_signal和配置信息端口context,输出连接到片上互联结构中选择器的控制选择端口selection,其中在没有硬件木马的神经网络加速器中,配置信息端口与片上互联结构选择器的控制选择端口连接;
202)在没有硬件木马的神经网络加速器中,片上互联结构中选择器的控制选择端口selection与配置信息端口context直接相连,表达为下式:
selection=context (2)
式中,selection为片上互联结构中选择器的控制选择端口,context为配置信息端口;
在片上互联网络中含有硬件木马时,其连接关系表达为下式:
式中,selection为片上互联结构中选择器的控制选择端口,tri_signal表示生成的触发信号,context为配置信息端口;当触发信号tri_signal无效,即为0时,异或门的输出信号值与配置信息信号值相同;此时,片上互联结构中的选择器的控制选择信号selection值仍为配置信息信号context值;当触发信号tri_signal有效,即为1时,异或门的输出信号值与配置信息信号值的相反,片上互联结构中选择器的控制选择信号selection值与配置信息信号context值相反,即片上互联结构中的选择器的控制选择信号selection被修改。
本发明进一步的改进在于,步骤3)的具体实现方法如下:
片上互联结构中选择器的控制选择信号selection被修改,改变了选择器所选择的原始数据通路和所组织的运算阵列,会造成两种计算错误,包括相邻像素块计算结果的叠加和像素块中某些像素计算结果的缺失。
本发明进一步的改进在于,对于相邻像素块计算结果的叠加,影响结果如下式:
S'=S1+S2 (4)
式中S’为硬件木马负载修改片上互联结构选择器的控制选择信号selection后运算阵列计算的错误计算值,S1和S2分别为计算阵列中运算子集1和运算子集2的理论计算值;
对于原始的神经网络加速器,运算子集1和运算子集2分别运算两个相邻像素块的计算值并各自输出;而对于硬件木马攻击片上互联结构的神经加速器,会发生运算子集1的结果被累加到运算子集2上,造成运算子集2输出错误计算值S’。
本发明进一步的改进在于,像素块中某些像素计算结果的缺失,影响结果如下式:
S'=S1-N (5)
式中S’为硬件木马负载修改片上互联结构选择器的控制选择信号selection后运算阵列运算的错误计算值,S1为计算阵列中运算子集1理论计算值,N为运算子集中部分运算单元计算值;对于原始的神经网络加速器,运算子集1运算一个像素块的计算值并输出,其中运算子集中的单个运算单元运算一行像素的计算值;而对于硬件木马攻击片上互联结构的神经加速器,会发生运算子集1中的输出结果缺少某些运算单元的计算值,造成运算子集1输出错误值S’。
本发明至少具有如下有益的技术效果:
本发明提出了一种针对可重构加速器片上互联结构的硬件木马攻击方法,设计以配置信息和20-bit图像数据为触发输入的两种触发模式,使用异或门作为硬件木马负载,在满足触发条件的情况下,硬件木马负载修改片上互联结构中选择器的控制选择信号,从而改变数据通路和运算阵列,导致错误的推理计算,以微小的硬件开销极大地降低了网络推理精度。
神经网络加速器作为人工智能系统的决策者,其安全可靠性对系统安全起到至关重要的作用。由于集成电路存在多个不可控环节,存在诸多的安全隐患。本发明从动态可重构神经网络加速器的核心组件——片上互联结构出发,提出硬件木马攻击片上互联结构的攻击方法,能够修改片上互联结构中选择器的控制选择信号,造成错误的数据通路和运算阵列结构,导致不正确的网络推理而降低网络推理精度。本发明所提出的攻击可重构神经网络加速器的片上互联结构的硬件木马,以较低的硬件资源开销和较好的隐蔽性,在保证硬件木马攻击可行性的同时能够对神经网络加速器分类精度造成严重的下降。
附图说明
图1可重构神经网络加速器的片上互联结构和运算阵列结构。
图2针对可重构卷积神经网络加速器硬件木马攻击片上互联结构结构图。
图3可重构神经网络加速器配置信息应用图。
图4可重构神经网络加速器图像数据应用图。
图5硬件木马攻击片上互联结构前后对比图,其中,图5(a)为原始片上互联结构部分结构,图5(b)硬件木马攻击的片上互联结构部分结构。
图6硬件木马攻击片上互联结构对神经网络加速器造成的错误图,其中,图6(a)为相邻像素块卷积运算结果的叠加错误,图6(b)为像素块中某些像素卷积计算结果的缺失错误。
图7硬件木马攻击片上互联结构对神经网络加速器攻击效果,其中,图7(a)为神经网络加速器在不含硬件木马、配置信息触发硬件木马、图像数据触发硬件木马三种情况下加速三种网络的分类精度,图7(b)为硬件木马攻击在两种触发输入情况下的精度下降。
图8硬件木马攻击片上互联结构中选择器1示意图。
具体实施方式
以下结合附图和实施例对本发明做出进一步的说明。
主要特点:
1.基于可重构卷积神经网络加速器的特点,采用配置信息或图像数据作为硬件木马攻击片上互联结构的触发输入,可以对神经网络加速器造成两种不同程度的破坏效果。
2.触发条件由攻击者预先定义,通过触发输入与触发条件作比较,可以由攻击者选择性的触发硬件木马攻击。
3.硬件木马攻击负载采用异或门器件,在触发信号有效时,通过负载修改片上互联结构中选择器的控制选择信号。
4.控制器选择信号的修改,改变了数据通路和运算阵列结构,造成错误的推理计算。
主要优点:
1.配置信息决定了卷积神经网络加速器运算阵列执行的操作模式,因此当以配置信息作为触发输入时,表示着加速器在执行该操作模式时一直受到硬件木马对片上互联结构的攻击,这将最大程度的降低加速器的分类精度。
2.当以图像数据作为触发输入时,预先定义20-bit图像数据作为触发条件,图像数据集将难匹配触发条件,只会产生少量的触发,表现出很好的硬件木马隐蔽性。
3.硬件木马攻击方式中的木马负载仅需使用一个异或门,极其微小的硬件开销保证片上互联结构中植入硬件木马的可行性。
4.硬件木马攻击片上互联结构,错误地调整数据通路和组织运算阵列,能够造成严重的破坏效果。
本发明基于已有的神经网络加速器,其运算阵列及片上互联结构结构如图1。能够按照表1配置字通过片上互联结构组织运算阵列实现3×3、5×5、11×11三种卷积核大小的卷积运算。
表1不同卷积核大小的配置字
本发明所提出的面向可重构处理器的缓存预取方法硬件部分由两部分构成:硬件木马触发模块、硬件木马负载模块,如图2。
本发明中将硬件木马植入神经网络加速器的片上互联结构并预先定义触发条件,在配置信息或图像数据作为触发输入与触发条件一致时,激活硬件木马负载,修改片上互联结构中选择器的控制选择信号,改变了片上互联结构中原始的数据通路,导致运算单元的错误连接,不能进行正确的卷积运算。具体方法如下:
1)硬件木马触发模块
硬件木马触发模块主要是生成触发信号,其触发条件由攻击者预先定义,触发输入可以利用配置信息或者图像数据,然后通过比较器比较触发输入与触发条件是否一致来生成触发信号。其中:
a.配置信息触发
配置信息是用来组织数据通路,配置运算电路去实现特定的功能。对于可重构卷积神经网络加速器,配置信息能够根据卷积神经网络模型配置运算电路对各个层进行加速,实现不同卷积核大小的卷积运算。因此,配置信息代表着运算阵列所执行的卷积操作类型,由阵列控制从配置信息存储器调度到运算阵列,去控制数据通路完成相应的运算,结构如图3。
根据上述配置信息的特点,当以配置信息作为触发输入且与触发条件一致时,意味着在执行配置信息所代表的卷积操作类型阶段触发信号都将有效,因此被激活的硬件木马负载将在该阶段保持对片上互联结构的攻击,造成该阶段数据通路的错误选择和运算电路的错误配置,导致卷积神经网络加速器的不正确推理加速,造成分类精度大幅度下降。
b.图像数据触发
图像数据是图像信息的反映,存储在数据存储器中,由阵列控制器控制发送到运算单元阵列进行推理运算,结构如图4。
以图像数据作为触发输入,攻击者可以预设20-bit图像数据的触发条件,这样对于原始图像数据将很难触发硬件木马,避免被神经网络加速器用户轻易地发现存在安全隐患,但也保持了硬件木马对神经网络加速器片上互联结构的攻击所造成的精度下降。
2)硬件木马负载模块
硬件木马负载是硬件木马实施攻击的执行者,它能够修改硬件电路的原始信息。对于硬件木马攻击片上互联结构,硬件木马负载仅需使用一个异或门器件就可达到攻击的目的。如图5(a),在没有硬件木马的神经网络加速器中,配置字与片上互联结构中的控制选择信号连接,调整数据通路组织运算阵列执行相应的运算。而当神经网络加速器的片上互联结构中存在硬件木马时,如图5(b),配置字被连接到硬件木马负载的输入端,也就是异或门的输入端,在另一个输入端触发信号的作用下,能够修改控制选择信号,从而导致错误的数据通路和运算阵列。根据图1所示的片上互联结构和运算阵列以及表1中的配置字,对于片上互联结构位于不同位置选择器的硬件木马的攻击效果列举在表2,表中S’硬件木马负载修改片上互联结构选择器的控制选择信号selection后运算阵列计算的错误计算值,S为运算阵列中运算子集理论计算值,N为运算子集中部分运算单元计算值。
表2硬件木马攻击片上互联网络不同位置选择器的影响
表2中的影响可以总结为两种不正确的计算结果,包括:
a.相邻像素块卷积运算结果的叠加
由于数据通路的改变和运算电路的错误配置,会造成相邻像素块卷积运算结果的叠加,影响结果如下式:
S'=S1+S2 (4)
式中S’为硬件木马负载修改片上互联结构选择器的控制选择信号selection后运算阵列计算的错误计算值,S1和S2分别为计算阵列中运算子集1和运算子集2的理论计算值。对于原始的神经网络加速器,运算子集1和运算子集2分别运算两个相邻像素块的计算值并各自输出;而对于硬件木马攻击片上互联结构的神经加速器,会发生运算子集1的结果被累加到运算子集2上,造成运算子集2输出错误计算值S’,如图6(a)所示。
b.像素块中某些像素卷积计算结果的缺失
由于数据通路的改变和运算电路的错误配置,会造成像素块中某些像素卷积计算结果的缺失,影响结果如下式:
S'=S1-N (5)
式中S’为硬件木马负载修改片上互联结构选择器的控制选择信号selection后运算阵列运算的错误计算值,S1为运算阵列中运算子集1理论计算值,N为运算子集中部分运算单元计算值。对于原始的神经网络加速器,运算子集1运算一个像素块的计算值并输出,其中运算子集中的单个运算单元运算一行像素的计算值;而对于硬件木马攻击片上互联结构的神经加速器,会发生运算子集1中的输出结果缺少某些运算单元的计算值,造成运算子集1输出错误值S’,如图6(b)所示。
本发明的性能测试:
评价一个硬件木马攻击方法的指标包括攻击效果和硬件开销。其中,攻击效果表达了所发明的硬件木马攻击方法对神经网络加速器的破坏程度;硬件开销则意味着所发明硬件木马攻击方式的可行性。
本发明是在已有的可重构卷积神经网络加速器进行硬件攻击,将硬件木马植入到片上互联结构中,然后分别进行两种触发输入的攻击方式。对比原始神经网络加速器分类精度,来观察硬件木马攻击片上互联结构对加速器破坏的有效性。该神经网络加速器能够加速三种网络模型:LeNet、AlexNet、VGG。其中,LeNet用于分类MNIST数据集,AlexNet和VGG用于分类CIFAR-10数据集。原始神经网络加速器的分类精度、配置信息触发硬件木马攻击的神经网络加速器分类精度以及图像数据触发硬件木马攻击的神经网络加速器分类精度进行对比柱状图如图7所示,其中图7(a)展示了上述三种情况下的分类精度,对于LeNet,分类精度分别为98.21%、8.93%、86.20%;对于AlexNet,分类精度分别为86.82%、10.00%、72.73%;对于VGG,分类精度分别为90.26%,10.00%,78.75%。图7(b)表明了所发明的硬件木马攻击神经网络加速器片上互联结构造成的精度下降效果,比较结果将三种情况的分类精度归一化到原始神经网络加速器的分类精度。对于配置信息作为触发输入的硬件木马攻击方法,LeNet、AlexNet、VGG三种网络的分类精度分别下降了90.91%、88.48%、88.82%;对于图像数据作为触发输入的硬件木马攻击方法,三种网络的分类精度分别下降了12.23%、16.23%、12.75%。原始神经网络加速器和含有硬件木马的神经网络加速器的硬件开销对比列举在表3中,其中,硬件开销主要是消耗FPGA平台中的LUT资源。比较结果表明含有硬件木马的神经网络加速器硬件资源相比与不含有硬件木马的原始加速器硬件资源增加了0.27%。
表3原始神经网络加速器和含有硬件木马的神经网络加速器的硬件开销对比
通过以上对比,可以清晰表明所发明的硬件木马攻击片上互联结构方法以极其微小的硬件开销能够对神经网络加速器造成严重的精度下降破坏;体现了所发明硬件攻击方法的可行性和有效性。
实施例
在已经设计的可重构卷积神经网络加速器中,其片上互联结构结构如图1所示,能够通过表1配置字组织运算阵列实现3×3、5×5、11×11三种卷积核大小的卷积运算。通过修改RTL级Verilog代码在片上互联结构中植入硬件木马,然后分别预先设定两种触发条件,实施两种触发输入的硬件木马攻击。
以运算阵列执行3×3卷积核大小运算并选取运算阵列和互联网的部分结构为例,如图8所示,说明图像数据触发输入的硬件木马攻击情况。图8显示可重构互连网络中的硬件木马修改了选择器1的控制选择值,即m1。理论上,当卷积核大小为3×3时,信号m1的值应该为0。硬件木马触发模块将图像数据作为触发输入,当与预设的触发条件一致时,触发信号为1。此时,硬件木马负载模块的异或门将信号m1的值修改为1。这个修改使得运算单元3的输出与运算单元4的输入相连接。此时,由运算单元1、运算单元2、运算单元3组成的第一个运算子集的输出结构添加到了运算单元4、运算单元5、运算单元6组成的第二个运算子集上。在这种情况下,第二个运算子集就会生成错误的卷积计算输出值。因此,硬件木马攻击片上互联结构将造成使用这个运算子集的运算产生错误。
Claims (7)
1.一种针对可重构加速器片上互联结构的硬件木马攻击方法,其特征在于,包括以下步骤:
1)硬件木马攻击可重构神经网络加速器的片上互联结构,硬件木马触发模块能够以配置信息或20-bit图像数据作为触发输入,生成触发信号;攻击者预先定义触发条件,当配置信息或20-bit图像数据与攻击者预先定义的触发条件一致时,触发信号有效,否则,触发信号无效;
2)硬件木马负载模块在触发信号有效时,修改片上互联结构中选择器的控制选择信号;
3)可重构神经网络加速器的灵活性依赖于片上互联结构,片上互联结构根据配置字调整数据通路并组织运算阵列构成所需电路完成相应的推理运算;控制选择信号被修改,改变片上互联结构中原始的数据通路和运算电路结构,造成错误的推理计算。
2.根据权利要求1所述的一种针对可重构加速器片上互联结构的硬件木马攻击方法,其特征在于,步骤1)的具体实现方法如下:
101)攻击者预先定义硬件木马触发条件,其中,触发条件选择配置信息触发输入和20-bit图像数据触发输入;
102)比较触发条件与触发输入的一致性,表达为下式:
式中tri_signal表示生成的触发信号,tri_condition表示攻击者预设的触发条件,tri_input表示触发输入,选择配置信息和20-bit图像数据。
3.根据权利要求2所述的一种针对可重构加速器片上互联结构的硬件木马攻击方法,其特征在于,当配置信息触发输入或图像数据与预先定义的触发条件一致时,触发信号有效,置为1;否则,触发信号无效,置为0。
4.根据权利要求2所述的一种针对可重构加速器片上互联结构的硬件木马攻击方法,其特征在于,步骤2)的具体实现方法如下:
201)硬件木马负载模块由异或门组成,输入分别连接触发信号端口tri_signal和配置信息端口context,输出连接到片上互联结构中选择器的控制选择端口selection,其中在没有硬件木马的神经网络加速器中,配置信息端口与片上互联结构选择器的控制选择端口连接;
202)在没有硬件木马的神经网络加速器中,片上互联结构中选择器的控制选择端口selection与配置信息端口context直接相连,表达为下式:
selection=context (2)
式中,selection为片上互联结构中选择器的控制选择端口,context为配置信息端口;
在片上互联网络中含有硬件木马时,其连接关系表达为下式:
式中,selection为片上互联结构中选择器的控制选择端口,tri_signal表示生成的触发信号,context为配置信息端口;当触发信号tri_signal无效,即为0时,异或门的输出信号值与配置信息信号值相同;此时,片上互联结构中的选择器的控制选择信号selection值仍为配置信息信号context值;当触发信号tri_signal有效,即为1时,异或门的输出信号值与配置信息信号值的相反,片上互联结构中选择器的控制选择信号selection值与配置信息信号context值相反,即片上互联结构中的选择器的控制选择信号selection被修改。
5.根据权利要求1所述的一种针对可重构加速器片上互联结构的硬件木马攻击方法,其特征在于,步骤3)的具体实现方法如下:
片上互联结构中选择器的控制选择信号selection被修改,改变了选择器所选择的原始数据通路和所组织的运算阵列,会造成两种计算错误,包括相邻像素块计算结果的叠加和像素块中某些像素计算结果的缺失。
6.根据权利要求5所述的一种针对可重构加速器片上互联结构的硬件木马攻击方法,其特征在于,对于相邻像素块计算结果的叠加,影响结果如下式:
S'=S1+S2 (4)
式中S’为硬件木马负载修改片上互联结构选择器的控制选择信号selection后运算阵列计算的错误计算值,S1和S2分别为计算阵列中运算子集1和运算子集2的理论计算值;
对于原始的神经网络加速器,运算子集1和运算子集2分别运算两个相邻像素块的计算值并各自输出;而对于硬件木马攻击片上互联结构的神经加速器,会发生运算子集1的结果被累加到运算子集2上,造成运算子集2输出错误计算值S’。
7.根据权利要求5所述的一种针对可重构加速器片上互联结构的硬件木马攻击方法,其特征在于,像素块中某些像素计算结果的缺失,影响结果如下式:
S'=S1-N (5)
式中S’为硬件木马负载修改片上互联结构选择器的控制选择信号selection后运算阵列运算的错误计算值,S1为计算阵列中运算子集1理论计算值,N为运算子集中部分运算单元计算值;对于原始的神经网络加速器,运算子集1运算一个像素块的计算值并输出,其中运算子集中的单个运算单元运算一行像素的计算值;而对于硬件木马攻击片上互联结构的神经加速器,会发生运算子集1中的输出结果缺少某些运算单元的计算值,造成运算子集1输出错误值S’。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011192716.8A CN112434350A (zh) | 2020-10-30 | 2020-10-30 | 一种针对可重构加速器片上互联结构的硬件木马攻击方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011192716.8A CN112434350A (zh) | 2020-10-30 | 2020-10-30 | 一种针对可重构加速器片上互联结构的硬件木马攻击方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112434350A true CN112434350A (zh) | 2021-03-02 |
Family
ID=74694907
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011192716.8A Pending CN112434350A (zh) | 2020-10-30 | 2020-10-30 | 一种针对可重构加速器片上互联结构的硬件木马攻击方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112434350A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113312678A (zh) * | 2021-03-24 | 2021-08-27 | 龙芯中科技术股份有限公司 | 硬件木马检测电路、硬件木马检测方法及电子设备 |
-
2020
- 2020-10-30 CN CN202011192716.8A patent/CN112434350A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113312678A (zh) * | 2021-03-24 | 2021-08-27 | 龙芯中科技术股份有限公司 | 硬件木马检测电路、硬件木马检测方法及电子设备 |
| CN113312678B (zh) * | 2021-03-24 | 2023-07-11 | 龙芯中科技术股份有限公司 | 硬件木马检测电路、硬件木马检测方法及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ibrahim et al. | Soft errors in DNN accelerators: A comprehensive review | |
| US11461626B2 (en) | Brain-like computing chip and computing device | |
| US9489622B2 (en) | Event-driven universal neural network circuit | |
| Parker et al. | DEMISe: Interpretable deep extraction and mutual information selection techniques for IoT intrusion detection | |
| Adam et al. | A selective mitigation technique of soft errors for dnn models used in healthcare applications: Densenet201 case study | |
| CN108881254B (zh) | 基于神经网络的入侵检测系统 | |
| US11977902B2 (en) | Methods and systems for event reporting | |
| US11868776B2 (en) | AI synaptic coprocessor | |
| CN112269992A (zh) | 基于人工智能处理器的实时恶意样本检测方法及电子装置 | |
| CN112434350A (zh) | 一种针对可重构加速器片上互联结构的硬件木马攻击方法 | |
| CN101840312A (zh) | 一种用于多核处理器的raid5写数据方法及装置 | |
| Sommer et al. | Efficient hardware acceleration of sparsely active convolutional spiking neural networks | |
| Yang et al. | Hardware trojan attacks on the reconfigurable interconnections of convolutional neural networks accelerators | |
| CN114218995A (zh) | 基于不完备特征集的推测加速式分类 | |
| Iba et al. | Gate-level Evolvable Hardware: Empirical study and application | |
| Chitty-Venkata et al. | Impact of structural faults on neural network performance | |
| US20220269826A1 (en) | Information processing device, information processing method, and non-transitory computer-readable recording medium | |
| Boschetti et al. | Fuzzy Logic oriented to Active Rule Selector and Membership Function Generator for High Speed Digital Fuzzy μ-Processor | |
| CN115983337A (zh) | 卷积计算单元、ai运算阵列及相关设备 | |
| Hosseini et al. | Safeguarding the intelligence of neural networks with built-in light-weight integrity marks (LIMA) | |
| CN115168857A (zh) | 恶意软件检测优化方法、系统、终端及存储介质 | |
| Köylü et al. | Deterministic and statistical strategies to protect anns against fault injection attacks | |
| Khoshavi et al. | Entropy-based modeling for estimating adversarial bit-flip attack impact on binarized neural network | |
| CN114880665A (zh) | 一种针对面向返回编程攻击的智能化检测方法及装置 | |
| WO2022018424A2 (en) | Certainty-based classification networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210302 |