邹敏辉  等:基于木马的方式增强 RRAM 计算系统的安全性                                                  2459


                 击,即攻击者可以读取出存储于 RRAM 设备的值;而本文针对的是黑盒攻击,如第 2.2 节所述,即攻击者通过非法
                 访问 RRAM 计算系统,获取大量输入输出序列之后逆向工程提取出存储于 RRAM 计算系统中的神经网络模型
                 的方法.
                    本文的主要贡献如下:
                    (1)  首先,本文展示了神经元级别木马.当木马神经元未激活时,神经网络模型能够正常运行;当木马神经
                        元激活时,神经网络模型的输出准确性受到影响,从而导致神经网络模型不能够正常运行.
                    (2)  其次,本文展示了如何在 RRAM 计算系统中实现神经元级别木马的嵌入来增强系统的安全.如图 1(b)
                        所示,木马包括 Trigger 部分和 Payload 部分.我们利用 RRAM 交叉开关阵列中未使用的 RRAM 列作
                        为 Trigger,使得该木马极容易被触发.我们通过训练木马神经元与其所在网络层的下一层的神经元的
                        突触参数(作为 Payload),使得木马被激活时,RRAM 计算系统的准确性受到最大的影响.
                    (3)  最后,本文在实际的深度神经网络模型 LeNet、AlexNet 和 VGG16 中验证了所提出的木马设计的有
                        效性,并且展示了木马的硬件开销.
                    本文第 1 节介绍本文的威胁模型和动机.第 2 节用一个示例神经网络介绍神经元级别木马的概念,并展示
                 该木马对神经网络模型的影响.第 3 节介绍通用的在 RRAM 计算系统中实现神经元级别木马的嵌入来增强系
                 统的安全的方法.第 4 节介绍实验结果.第 5 节是本文的结论.
                 1    预备知识、威胁模型和动机


                 1.1   预备知识
                    神经网络模型由输入层、输出层和隐藏层组成.隐藏层分为 FC 层和 Conv 层,本文只针对 FC 层.FC 层的计
                 算是 MVM 运算,可以描述为
                                                   m
                                                y =  i ∑ w ×  ij  i , x i ∈  [1, ],m j ∈  [1, ]n      (1)
                                                   i= 1
                 其中,x i 为输入特征值,y i 为输出特征值,w ij 为突触权重,m 和 n 分别为参数矩阵的行数和列数.
                    在 RRAM 计算系统中,最基本的硬件是 RRAM 设备.单个 RRAM 设备如图 2(a)所示,其电导值随着其两端
                 的电压或者通过其的电流的变化而变化.RRAM 的最大电导值和最小电导值分别以 G on 和 G off 表示.RRAM 设
                 备的电导值从 G off 到 G on 的过程称为 SET,从 G on 到 G off 的过程称为 RESET.






















                           (a)  单个 RRAM 器件; (b) RRAM 器件的 I-V 曲线 [19] ; (c)  由 RRAM 器件组成的 RRAM 交叉开关阵列

                               Fig.2    Characteristics of RRAM devices and the structure of RRAM crossbar
                                       图 2   RRAM 器件特性和 RRAM 交叉开关阵列的组成