Jetson Nano神经网络物理电磁泄漏安全研究.pdf
《Jetson Nano神经网络物理电磁泄漏安全研究.pdf》由会员分享,可在线阅读,更多相关《Jetson Nano神经网络物理电磁泄漏安全研究.pdf(6页珍藏版)》请在咨信网上搜索。
1、第 21 卷 第 9 期2023 年 9 月太赫兹科学与电子信息学报Journal of Terahertz Science and Electronic Information TechnologyVol.21,No.9Sept.,2023Jetson Nano神经网络物理电磁泄漏安全研究吴晨曦,张洪欣,崔晓彤(北京邮电大学 电子工程学院,北京 100876)摘要:如果采用旁路攻击方法对神经网络结构、框架进行攻击,恢复出结构、权重等信息,会产生敏感信息的泄漏,因此,需要警惕神经网络计算设备在旁路攻击领域产生敏感信息泄露的潜在风险。本文基于 Jetson Nano 平台,针对神经网络及神经网络
2、框架推理时产生的旁路电磁泄漏信号进行采集,设计了基于深度学习方法的旁路攻击算法,对旁路进行分析研究,并对两个维度的安全进行评估。研究表明,良好的网络转换策略能够提升网络分类识别准确率 5%12%。两种评估任务中,针对同一框架下不同结构的典型神经网络推理时,电磁泄漏的分类准确率达到97.21%;针对不同神经网络框架下同一种网络推理时,电磁泄漏的分类准确率达到 100%。说明旁路电磁攻击方法对此类嵌入式图像处理器(GPU)计算平台中的深度学习算法隐私产生了威胁。关键词:旁路攻击;电磁泄漏;深度学习;一维卷积神经网络;Jetson Nano平台中图分类号:O441.4 文献标志码:Adoi:10.1
3、1805/TKYDA2021211Research on electromagnetic leakage safety of Jetson Nano neural networkResearch on electromagnetic leakage safety of Jetson Nano neural networkWU Chenxi,ZHANG Hongxin,CUI Xiaotong(School of Electronic Engineering,Beijing University of Posts and Telecommunications,Beijing 100876,Chi
4、na)AbstractAbstract:If a side-channel attack can attack the structure and framework of the neural network to recover information such as structure and weight,sensitive information leakage will occur.Therefore,it is important to guard the neural network computing devices against disclosure of sensiti
5、ve information in the field of side-channel attack.Based on the Jetson Nano platform,a method is designed for the side-channel electromagnetic leakage signal acquisition during the inference of the neural network.The side-channel analysis is conducted by using the deep learning method,and two aspect
6、s of security are assessed.Research shows that a good network conversion strategy can improve the classification and recognition accuracy of the network by 5%12%.In the two evaluation tasks,the classification accuracy of electromagnetic leakage is 97.21%for typical neural network inferences with dif
7、ferent structures under the same framework;it reaches 100%for the same kind of network reasoning under different frameworks of neural network.It indicates that the side-channel electromagnetic attack method poses a threat to the privacy of deep learning algorithms in such embedded Graphics Processin
8、g Unit(GPU)computing platforms.KeywordsKeywords:side-channel attack;electromagnetic leakage;deep learning;one-dimensional Convolutional Neural Network;Jetson Nano针对神经网络结构的旁路攻击,最终目的是破译神经网络的结构、超参数及内部权重。在攻击方法的选择上,Weizhe Hua 等使用访问片外内存信息的定时旁路攻击方式1,Sanghyun Hong 等通过访问 CPU 缓存信息对神经网络体系结构进行破解2。出于安全和隐私方面的考虑,神
9、经网络运行载体的供应商有时并不允许用户访问如内存或缓存结构,此时此类访问内部信息的旁路攻击方式无法生效。文献3-4中,研究人员使用基于电磁泄露的旁路攻击方式对神经网络的结构进行非入侵式的恢复攻击,其神经网络运行的载体分别为 ARM 芯片及现场可文章编号:2095-4980(2023)09-1144-06收稿日期:2021-05-21;修回日期:2021-08-09基金项目:国家自然科学基金资助项目(62071057);中央高校基本科研业务费专项资金资助项目(2019XD17)*通信作者:张洪欣 email:第 9 期吴晨曦等:Jetson Nano神经网络物理电磁泄漏安全研究编程门阵列(Fie
10、ld Programmable Gate Array,FPGA)平台,但基于这两种体系运行的神经网络应用的广泛程度远不如基于 GPU 结构的神经网络。本文研究了基于 GPU 结构 Jetson Nano 设备的典型神经网络电磁泄漏信号分类识别方法,为进一步利用电磁泄漏破译 Jetson 平台神经网络的超参数及内部权重奠定基础。本文针对 NVIDIA 公司推出的 Jetson Nano 设备,从以下两方面对电磁泄漏安全性进行评估:一,分类识别同一框架 TensorRT 下 7 种不同的神经网络的电磁泄漏,评估同一框架下不同结构的典型神经网络对电磁旁路攻击的防御性能;二,分类识别 TensorRT
11、、Tensorflow5、Pytorch6这 3 种框架下同一种网络 ResNet-507的电磁泄漏,评估在不同框架下的典型网络运行时的电磁旁路攻击的防御性能。1实验信号采集Jetson 电磁泄漏信号采集平台由示波器、电磁探头、探头夹具、计算机以及 Jetson 系列设备构成。Jetson 设备为运行神经网络算法的载体,是产生电磁泄漏信号的主体,本文采用 Jetson Nano 开发者套件。电磁探头用于感应电磁泄漏信号,并将感应的电磁信号传输给示波器。探头夹具固定电磁探头,便于采集数据。示波器与电磁探头连接,采集、记录电磁信号并传输给计算机。在采集电磁泄漏信号的过程中,计算机储存示波器信道中采
12、集到的电磁泄漏信号并进行预处理。图 1 为 Jetson 电磁泄漏信号采集平台的原理图。本文针对 Jetson Nano 设备在运行神经网络算法时所产生的电磁泄漏信号进行信息安全分析。设计中使用的卷积神经网络为图片分类神经网络,其功能是指示输入的图片属于现实世界中的哪一类别。在进行旁路攻击时,Jetson Nano 运行神经网络所推理的图片内容对攻击者是完全未知的。为了更加符合真实情况,在图片选择上采用多个图像数据集融合的方式进行模拟。在数据集选择上,首先使用 ImageNet8数据集,选择 ImageNet 子集 Tiny-ImageNet 中的 2 000 张图像;然后在图像尺寸较小的 C
13、IFAR-10 数据集中随机挑选 2 000 张图片,模拟实际情况下较小尺寸图片经过神经网络时的电磁泄漏;最后在图片检测任务中常用的 COCO 数据集9中挑选 2 000 张图片,最终获得共含 6 000 张图片的实验数据集。虽然本实验使用的是图像分类网络,但也能识别出图像检测数据集的图片中占据画面主体的物品类别。注意,图片数据集只用来产生卷积神经网络推理过程的电磁泄漏,与后续的针对电磁泄漏信号的分类实验无关。任 务 一:使 用 7 种 不 同 卷 积 神 经 网 络 模 型(AlexNet、GoogleNet、Inception-v4、ResNet-18、ResNet-50、ResNet-1
14、01、ResNet-152),在同一框架 TensorRT 下推理此图片数据集中随机选择的单张图片,并记录下推理时产生的电磁泄漏信号,最终获得电磁泄漏数据集。7 类卷积神经网络每种推理时产生 700 条,共 4 900 条电磁泄漏信号。任务二:采用同一个卷积神经网络 ResNet-50,在 3 种不同的深度学习框架(TensorRT、Tensorflow、Pytorch)下推理此图片数据集中随机选择的单张图片,并记录下推理时产生的电磁泄漏信号,最终获得电磁泄漏数据集。3 种不同框架每种推理时产生 1 400 条电磁泄漏信号,共 4 200 条信号。任务一与任务二中用于产生电磁泄漏的卷积神经网络
15、模型,均为使用 ImageNet 数据集训练的高精确度模型。2针对神经网络电磁泄漏的卷积神经网络设计在设计任务一、任务二所使用的深度学习算法时,需将典型的二维卷积神经网络转化为适合于电磁泄漏攻击的一维卷积神经网络。二维卷积神经网络,如图片分类检测网络、语音 Mel 频谱图分类网络等,已经有非常多的成熟标准网络可以使用,但目前没有任何一个深度网络框架标准供一维神经网络调用。因此,本文借鉴二维神经网络的思路设计一维卷积神经网络。BN 层(批归一化层)、Dropout 层、残差结构等超参数和网络的输入没有太大关联,在设计一维卷积网络时不需要专门考虑它们的超参数。但卷积层,其卷积核的大小、卷积核通道的
16、数量、卷积的步长等要素,都和网络输入数据的实际物理意义相关,如图像任务中,卷积核的大小代表了动物神经中感受野的概念。本实验借鉴二oscilloscopenear fieldprobetrigger signaltransmissionwaveformJetson NanoFig.1 Acquisition platform of Jetson electromagnetic leakage signal图1 Jetson电磁泄漏信号采集平台原理图1145太赫兹科学与电子信息学报第 21 卷维卷积网络结构,如 LeNet、AlexNet、VGG 等,通过计算一维卷积核的超参数与原有网络卷积核的比
17、例,将二维卷积网络结构修改为一维卷积网络结构。注意,此处提到的 AlexNet 等网络与任务一中用于推理时产生电磁泄漏的 7 种网络区别开,此处的网络结构是用于训练电磁泄漏数据的分类网络。使用任务一中所采集的电磁泄漏数据集进行实验,此实验为一个 7 类的分类识别问题,探索如何根据二维网络结构设计适合一维电磁泄漏信号的网络结构。在完成任务一的一维卷积网络设计后,采用任务二的数据集验证设计的一维卷积神经网络的有效性。2.1 全连接神经网络实验结果首先使用非卷积网络,即全连接的多层感知器(Multilayer Perceptron,MLP)进行实验,主要研究 MLP 神经元个数和 Dropout 对
18、于任务一的分类准确率的影响。研究单隐层神经网络中神经元个数对实验结果的影响。网络配置中,固定输入层的维度为(128,10 000,1),意义是每个 mini-batch 有 128 个神经网络电磁泄漏信号,电磁泄漏信号为 10 000 个特征点的一维信号。其中隐藏层中使用了 Relu 激活函数,分类输出层使用 Softmax 激活函数,并使用 Adam 作为优化器。固定以上参数后,以隐层的神经元个数作为变量,研究单隐层全连接网络中神经元数量对任务一模型分类准确率的影响,其实验结果如表 1 所示。从实验结果可以看出,在单隐层神经网络中,模型产生了严重的过拟合现象,由于模型的特征点个数很多,全连接
19、网络无法获取到足够的特征去分类。实验结果中,在神经元个数增加时,验证准确率有所提升,这符合神经元数量增加、网络复杂度增加、表征能力增强、模型分类效果变好的基础理论。2.2 标准二维卷积网络变换一维卷积网络本文选取了具有代表性的 3 个网络,LeNet、AlexNet 以及 VGG,探究如何将其改造为适合一维信号的神经网络。为了更好地对比卷积核参数对网络结果的影响,同时为避免全连接层较强的拟合能力对实验结果造成影响,将原网络中的全连接层替换为全局最大池化(Global Max Pooling,GMP)层。由于卷积核的尺寸与原有输入数据的尺寸强相关,因此定义了 4 种一维卷积核的计算公式。首先给出
20、变量定义,原有二维网络的输入为Din Din Cin(Cin为图像的通道数,Din为输入的尺寸),若为灰度图,则为 1;若为RGB,则为 3。原卷积核的大小为DK DK C,DK为卷积核的宽度,C 为卷积核的通道数,原步长为 S。策略一:主要关注一维信号的局部相关性。使用原卷积核宽度作为一维卷积核大小,即一维卷积核为DOCO,其中DO为卷积核大小,CO为卷积核的通道数,策略一中DO=DK,CO=C,步长使用原步长 S。策略二:为了增加参数量以匹配原二维网络,将DO定义为式(1),其余参数与策略一保持一致。DO=DKDK(1)策略三:为了继续延续局部的相关性,不同于策略二中增加DO,而是通过增加
21、一维卷积核的通道数,获取更多的特征映射来增加参数量。策略三中的CO如式(2)所示,其余参数与策略一保持一致。CO=CDK(2)策略四:假设关心的是网络中原始输入数据和卷积核之间的相对比例,设一维信号维度为DOin 1,可以将一维卷积核的DO定义为式(3)。若计算后DO DK,则还是使用原有DK。DO=DOinDKDKDinDin(3)2.3 LeNet 实验结果首先利用卷积神经网络 LeNet10进行手写数字识别。输入数据为 3232 的灰度图片,网络结构中只有两层卷表1 隐层神经元数量对一维信号分类的影响Table1 Effect of number of neurons in the hi
22、dden layer on the one-dimensional signal classification accuracynumber of neurons in the hidden layer5001 0005 00010 00020 000training accuracy/%98.9399.3999.7799.7399.09validation accuracy/%16.1218.3720.4120.8221.221146第 9 期吴晨曦等:Jetson Nano神经网络物理电磁泄漏安全研究积层,称之为 Conv1 与 Conv2,通过 2.2 节中的 4 种假设,将一维卷积网络
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Jetson Nano神经网络物理电磁泄漏安全研究 Nano 神经网络 物理 电磁 泄漏 安全 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。