邹敏辉  等:基于木马的方式增强 RRAM 计算系统的安全性                                                  2465


                 4    实验结果与分析
                    我们在 LeNet  [21] 、AlexNet [22] 和 VGG16 这 3 个实际的神经网络模型中实验了我们的方法.这些模型经过修
                 改,在 Cifar10 数据集上进行训练.这 3 个网络模型均含有 3 层 FC 层,我们分别在每个网络模型的第 1 层 FC 层
                 和第 2 层 FC 中插入我们所提出的木马.我们使用的 RRAM 模型的最大电阻值和最小电阻值分别为 200kΩ和
                 500Ω [23] ,RRAM 交叉开关阵列的尺寸为 256×256.SA 模块和 SR 模块基于 45nm 工艺模拟.
                 4.1   木马的极易激活性和极难误激活性
                    在该组实验中,首先,我们展示了本文所提出的木马在 Trigger RRAM 单元处于允许激活状态时极容易被激
                 活.我们测试了 Cifar10 的所有 10 000 张测试图片,并统计使得木马神经元 T 激活的输入的数量 n 1 .木马激活概
                     ⎛  n 1 ⎞
                 率为  ⎜   ⎟  × 100% .结果见表 2 中第 2 列和第 3 列,木马在 3 个网络模型中均 100%被激活,表明木马极其容易
                     ⎝  1000 ⎠
                 被激活,保证了未授权的 RRAM 计算系统的功能不能够被正常使用.
                      Table 2    Triggering probability of Trojan in authorized RRAM computing system and the accidental
                              triggering probability of Trojan in non-authorized RRAM computing system (%)
                   表 2   未授权的 RRAM 计算系统中木马的激活概率和授权的 RRAM 计算系统中木马的误激活概率(%)
                                          木马激活概率                               木马误激活概率
                    网络模型
                             木马神经元在第 1 层 FC     木马神经元在第 2 层 FC     木马神经元在第 1 层 FC     木马神经元在第 2 层 FC
                     LeNet          100                100                0                  0
                    AlexNet         100                100                0                  0
                     VGG16          100                100                0                  0
                    其次,要保证在授权使用的 RRAM 计算系统,所嵌入的木马在 Trigger RRAM 单元处于禁止激活状态时被
                 误激活的概率极低.同样地,我们测试了 Cifar10 的 10 000 张测试图片,并统计使得木马神经元 T 激活的输入的
                                      ⎛  n 2 ⎞
                 数量 n 2 .木马误激活概率为     ⎜    ⎟  × 100% .结果见表 2 中第 4 列和第 5 列,木马的误激活率为 0%,表明木马极难
                                      ⎝  1000 ⎠
                 被误激活,保证了授权的 RRAM 计算系统的功能能够被正常使用.
                 4.2   基于木马的保护方法的有效性
                    在该组实验中,我们展示了木马分别处于激活和未激活状态时,RRAM 计算系统的输出预测准确性.我们选
                                           *
                 定训练木马突触的的目标向量 V 为(1,0,0,…,0),即目标标签是 Cifar10 的第 1 个标签.木马未激活时,3 个网络模
                 型的预测准确率见表 3.
                                   Table 3    Prediction accuracy of models with Trojan not triggered
                                             表 3   木马未激活时模型的预测准确率
                                            网络模型                    预测准确率(%)
                                              LeNet                     65.40
                                             AlexNet                    73.57
                                             VGG16                      89.51
                    图 7 展示了当木马处于激活状态时,网络模型的预测准确率.我们测试了将木马神经元输出激活值向左移
                 位不同比特数时,各个模型的预测准确率.可以看到:
                    •   当左移 2 比特时,所有模型的预测准确率受到的影响较小,这是因为激活的木马神经元输出较小;
                    •   当左移 10 比特时,无论木马在第 1 层 FC 层还是第 2 层 FC 层,所有模型的预测准确率都低于 15%,即
                        未授权的 RRAM 计算系统不能正常运行.