摘要
模型逆向攻击旨在恢复部署在推理终端的神经网络模型的结构和权重值,是AI安全中的基础问题,为对抗样本等高阶攻击提供数据支撑.提出了一种名为Cluster-based SCA的新型模型权重逆向方法,该方法不要求攻击者构造泄露模型.Cluster-based SCA方法以量化推理中存在的安全隐患为出发点,深入分析了量化推理过程,发现在量化推理中存在的输出序列分类不等价现象可以判断猜测权重的正确与否.Cluster-based SCA将采集到的模型运行时产生的侧信道信息按照假设权重产生的中间值进行分类,以分类后的平均离散系数(σ)为评判标准,取(σ)最小时的权重为逆向权重.在仿真实验上验证了 C1uster-based SCA方法的有效性,实验使用汉明重模型来模拟AI芯片的泄露模型,对于目标CNN,Cluster-based SCA方法以52.66%的TOP2恢复率恢复了其第一层卷积层所有卷积核权重,对于取值位于显著区的权重,TOP2的恢复率均达到了 100%.
国家科技期刊平台
NSTL
维普
万方数据