回顾记忆电阻的计算系统的安全技术
Minhui邹
南杜
日常用品Kvatinsky1
- 1维特比电气和计算机工程学院,Technion——以色列理工学院,以色列海法
- 2固体物理研究所席勒耶拿大学,德国耶拿
- 3量子检测、莱布尼茨光子技术研究所(IPHT),德国耶拿
神经网络(NN)算法已成为占主导地位的工具在视觉物体识别,自然语言处理,机器人学。提高这些算法的计算效率,相比传统的冯纽曼计算架构,研究人员一直在关注记忆电阻的计算系统。今天使用记忆电阻计算系统时的一个主要缺点是,在人工智能(AI)时代,知识产权和训练有素的神经网络模型,加载时记忆电阻计算系统,面对盗窃威胁,特别是在边缘设备运行。敌人可能偷训练有素的NN模型通过先进的攻击如学习攻击和边信道分析。在本文中,我们审查不同的安全保护记忆电阻的计算系统的技术。描述两个威胁模型基于假设关于对手的能力:黑盒(BB)模型和白盒(WB)模型。我们将现有的安全技术分为五类的上下文中这些威胁模型:阻挠学习攻击(BB),阻挠边信道攻击(BB),加密(WB)神经网络模型,神经网络权重转换(WB)和指纹嵌入(WB)。我们也提出一个cross-comparison安全技术的局限性。本文可以作为一个援助在设计安全的记忆电阻的计算系统。
1介绍
神经网络(NN)算法具有巨大的潜力在某些领域如视觉物体识别、自然语言处理和机器人学(董et al ., 2021);(卡et al ., 2020)。这些算法涉及大量的向量矩阵乘法(vmm),因此它们都是数据,和家中。传统的计算机体系结构设计遵循冯·诺依曼模型在计算单元和记忆是分开的。当运行在传统计算机体系结构、神经网络算法需要大量的矩阵计算单元和内存之间的数据移动,这就需要投入大量的时间和精力。为了克服这个障碍,和行业研究人员转向新兴计算系统基于忆阻器的设备。这些系统可以提高神经网络算法的效率,因为他们进程VMM直接操作内存,这样避免计算单位和内存之间的数据移动。此外,忆阻器的设备可以在横梁的形式结构化数组。输入信号的行(wordlines WLs)通过忆阻器细胞积累的列(bitlines BLs),这自然类推VMM操作(Markovićet al ., 2020)。类似的VMM操作可以完成在一个恒定的时钟周期数,即,他们的时间复杂度O(1)(李et al ., 2015),这极大地提高了神经网络算法的效率。
所示图1,记忆电阻计算系统包含许多处理元素(PE),与每一个体育由忆阻器横梁和外围电路。神经网络权值映射到忆阻器闩。由于忆阻器设备的非易失性本质,映射神经网络权重系统重启时不会丢失,因此不需要重新映射。先进的记忆电阻计算系统利用内部和inter-parallelism忆阻器闩提高能源效率的不同的神经网络算法如卷积神经网络(温家宝et al ., 2019;温家宝et al ., 2020神经网络),图(律et al ., 2022)和NN飙升(Rathi et al ., 2022)。提出了各种硬件软件共同改进技术,推动记忆电阻计算系统能源效率限制。例如,温家宝et al。(2019),温家宝et al。(2020)建议修剪卷积神经网络参数与改进算法,以减少所需的记忆电阻器的数量。记忆电阻计算系统的这些优势使他们承诺为边缘设备限制的计算和能源预算。
图1。忆阻器计算系统的基本结构和盗窃攻击模型的加载NN模型:BB和白平衡。
训练一个神经网络模型是计算密集型任务,这需要大量的能源和金融资源。你可能要花几天甚至几个月Strubell et al ., 2019)和成本超过一百万美元(Sharir et al ., 2020从头)输出一个训练有素的神经网络模型。此外,大型NN模型涉及大量的训练数据。例如,GPT-3训练570 GB的过滤数据布朗et al。(2020)。与NN模型变得越来越深,神经网络模型训练变得不那么有利的对于那些买不起高培训成本或大型数据集。另外,如果训练集是专有的,总有经过训练的神经网络模型的风险可能会泄漏机密信息包含在数据集(Rajasekharan et al ., 2021)。如今,训练有素的神经网络模型被认为是知识产权和保护他们免受盗窃势在必行。
神经网络模型,加载在记忆电阻的计算系统,如图所示图1比如学习,可能容易受到盗窃威胁攻击(有轨电车et al ., 2016)和边信道攻击华et al ., 2018)。更糟糕的是,当忆阻器设备的non-volatility可能是一个吸引人的特性,它促进了数据盗窃攻击。使用记忆电阻设备为主要场景的记忆,数据窃取攻击被广泛认为是真正的威胁(年轻的et al ., 2015;Awad et al ., 2016;Awad et al ., 2019;左et al ., 2019)。在记忆电阻计算系统中,数据持久化的忆阻器设备也可能暴露忆阻器闩上的神经网络权值存储到一个对手。除此之外,黄et al。(2020)声称还可以能够读取存储系统的神经网络权重通过显微探针忆阻器闩的外围电路。所有这些威胁代表严重的安全挑战记忆电阻的计算系统。
在本文中,我们审查不同的安全技术保护记忆电阻的计算系统的神经网络模型。以前作品要么专注于神经网络安全技术,从软件的角度(Oseni et al ., 2021)或记忆电阻计算系统硬件(面临的安全威胁胡锦涛等人。,2022年)。相比之下,本文侧重于记忆电阻计算硬件国防安全技术。总结了本文的结构和主要贡献如下:
•我们将现有安全技术分为五类定义的黑盒(BB)和白盒(WB)威胁模型。
•我们提出简要概述现有的安全技术在上述分类。
•我们现在cross-comparison各种安全技术的局限性。
•我们讨论的挑战现有对策和建议未来在这一领域的研究方向。
2背景
2.1预赛
最需要大量计算能力和神经网络算法耗时的部分是卷积(Conv)层和全(FC)层。俱乐部的主要工作层直接与vmm可以实现,描述为:
在哪里x我(我∈(1,米])是地图的输入特性,yj(j∈(1,n])是输出w我,j突触的重量。Conv层的主要工作是不同的但也可以转化为实现vmm。x我和yj仍分别输入特性映射和输出而权重矩阵的每一列是一个矢量转换从一个过滤器内核。为了简化我们的讨论,我们假设Conv层的权重已经转化为矩阵。因此,FC层和Conv层的权重矩阵的形式。
在记忆电阻的计算系统,如图所示图2,输入特征图转换为电压(v)通过数模转换器(dac)应用于记忆电阻的WLs闩。劳工统计局的忆阻器闩累积输出电流(我)。然后输出电流转换通过数模转换器(adc)。类似的vmm由忆阻器横梁被描述为:
在哪里c我,j细胞的电导在横梁上的吗我th行和j列。忆阻器设备可以分为模拟(吴et al ., 2018)或数字(普拉卡什et al ., 2014)。模拟记忆电阻设备通过重置过程逐渐移动,这意味着一个忆阻器装置可以从低电阻状态(LRS)调高阻状态不断(小时)。因此,一个理想的模拟记忆电阻电池可以调到任意电导LRS到小时。数字记忆电阻设备只能调到有限离散阻力州(普拉卡什et al ., 2014)。因此,使用多个闩代表高精度重量(Cai et al ., 2019 b;朱et al ., 2019;朱et al ., 2020)。一个神经网络权重可以积极或消极的,但是记忆电阻的电导设备只能是积极的。支持负权值,提出了不同的映射方案。两种流行的映射方案偏压原始重量非负(bias-based映射)Shafiee et al ., 2016;雪et al ., 2020)和使用对忆阻器设备的差值来表示原始重量(微分映射)(气et al ., 2016;朱et al ., 2019。此外,神经网络算法通常是一层一层地处理,和一层的输出作为下一层的输入。大神经网络层被分配到多个PEs,和部分和聚合在全球缓冲区(长et al ., 2019;Krishnan et al ., 2021)。最大化的处理并行性记忆电阻闩,一些记忆电阻计算系统(朱et al ., 2020;Wan et al ., 2022)提出了直接转移部分输出神经网络层的PEs它的下一层位置。这种夹层并行性,然而,可能会导致管道泡沫(乔et al ., 2018)。
图2。忆阻器横梁上执行类似的VMM通过积累电流在其劳工统计局:当前的积累jth提单是
2.2威胁模型和对策
当前商业记忆性计算芯片嵌入在董事会与M.2 (神话,2022 b)或作为PCIe (神话,2022 c)接口。记忆性芯片可能还配备了I / o端口如GPIOs和我2C (神话,2022)。按照不同的安全技术,对董事会的物理访问的对手是假定有不同的功能。所示图3威胁模型分为BB模型和白平衡模型。在BB模型,如所示图1,对手只能访问记忆电阻计算的输入/输出系统,不能直接访问系统,如中间的中间状态神经网络层输出或神经网络权重。然而,对手可以利用边信道信息,如内存访问模式或功耗。一个常见的攻击是一个学习攻击BB模型,基于收集一定数量的神经网络模型的输入/输出双(有轨电车et al ., 2016)。另一个潜在的类型的攻击是边信道攻击利用了系统的秘密信息(华et al ., 2018;Batina et al ., 2019;Dubey et al ., 2019;燕et al ., 2020)。在世行模型,如所示图1,对手被认为是能够读取存储系统的神经网络权重。这一威胁模型,由于non-volatility记忆电阻的设备,是第一个被广泛认为现有的工作记忆电阻设备的应用程序内存(年轻的et al ., 2015;Awad et al ., 2016;Awad et al ., 2019;左et al ., 2019)。记忆电阻的计算系统,对手可以利用通用接口板或港口的芯片,因此数据失窃的威胁也是可行的。除此之外,黄et al。(2020)声称还可以能够读取存储神经网络权重通过显微探针系统外围电路的忆阻器闩,这进一步导致世行的强度模型。现有的世行模型管理对策防止对手正确阅读神经网络权重。它们分为三类:神经网络模型加密,NN重量转换和指纹嵌入。在第三节和第四节,我们讨论的对策BB模型和白平衡模型,分别在细节。
图3。学习安全技术分类:挫败袭击(BB),阻挠边信道攻击(BB),加密(WB)神经网络模型,神经网络权重转换(WB)和指纹嵌入(WB)。
3黑盒的威胁与对策
BB威胁模型,记忆电阻计算系统是类似于众所周知的黑匣子只要攻击者的担忧。所示图4,攻击者不能访问的训练数据集或神经网络权值,但可以操纵输入,观察输出和利用边信道分析。
图4。BB威胁模型:攻击者不能访问的训练数据集,但可以查询与训练有素的神经网络记忆电阻计算系统加载米为了培养一个类似的神经网络米′;攻击者也可以使用边信道技术来提取米的机密信息,如它的神经网络结构。
3.1学习挫败袭击
盗窃技术学习攻击是一个强大的神经网络模型。对手的查询系统,观察输出。一旦收集足够的输入/输出双,一个类似的功能可以训练神经网络模型使用输入/输出双(有轨电车et al ., 2016)。所示图4、培训中心火车专有神经网络,实现优势设备作为服务提供者,这是容易被攻击者。攻击者查询设备问次获得问输入/输出对和训练一个神经网络米与原′米。
阻止这种攻击,杨et al。(2020)提出利用记忆电阻的退化影响设备减少推理精度计算系统的未经授权的用户。忆阻器设备的退化效应使他们在小时或LRS由于读取电压脉冲在他们。的作者(杨et al ., 2020)增强记忆电阻设备的报废率增加电压振幅,以便计算系统的推理精度有限数量的查询后急剧下降。维护计算机系统的推理准确性,忆阻器设备需要校准通过编写原始重量在他们柜台报废;然而,作者认为校准过程不工作时由未经授权的用户1。因此,攻击者,作为一个未经授权的用户,不能收集足够的输入/输出对逆向工程中的神经网络模型加载计算系统。
(Rajasekharan et al ., 2021)提出利用天生的特性转化super-paramagnetic磁隧道结(s-MTJs)阻止学习攻击。s-MTJs不稳定,需要定期刷新权重映射。不同于s-MTJs mtj,稳定,不需要刷新操作。只存储重要权重s-MTJs mtj和其他权重,需要定期刷新的细胞数量减少。类似于(杨et al ., 2020),作者Rajasekharan et al。(2021)认为只有经过授权的用户可以继续执行刷新操作。的感应开关s-MTJs导致系统性能恶化在很短的时间内如果s-MTJs不刷新。因此,未经授权的用户在工作中受挫,收集足够的输入/输出对。
3.2阻挠边信道攻击
边信道攻击是另一种类型的非侵入式攻击,把攻击设备视为一个黑盒子。这些方法可以利用渠道,如电力、延迟、电磁学,发现机密信息,如所示图4。
一些工作(华et al ., 2018;Batina et al ., 2019;Dubey et al ., 2019;燕et al ., 2020)已经探索如何通过边信道攻击窃取的神经网络模型。这些攻击目标传统计算架构或fpga,这不同于记忆电阻计算系统在实施VMM操作。这些攻击,但是,可以直接应用于记忆电阻的计算系统,如提出的华et al。(2018)专注于内存访问模式。华et al。(2018)假设所有的中间层输出存储在内存和转移到下一层的计算单元作为输入。神经网络结构信息泄漏的内存访问模式。对于一些记忆电阻的计算系统,使用类似的逐层处理技术(乔et al ., 2018;Krishnan et al ., 2021)。因此,内存访问模式也可以边信道脆弱性,对手可以利用记忆电阻的计算系统。应对这种攻击,作者提到技术隐藏的内存访问模式(Goldreich奥斯特洛夫斯基,1996RAM)依赖的算法。
4个白盒威胁和对策
白盒的威胁模型,如所示图5,攻击者可以读取存储在记忆电阻横梁利用神经网络权重的non-volatility记忆电阻设备(年轻的et al ., 2015;Awad et al ., 2016;Awad et al ., 2019;左et al ., 2019)。另外,攻击者可以利用显微探针技术(黄et al ., 2020),这样神经网络权重矩阵存储在记忆电阻横梁可以逆向工程。
图5。世行威胁模型:攻击者可以读取记忆电阻的值,以逆向工程相应的神经网络矩阵存储在忆阻器闩。
4.1模型的加密
基于神经网络权重加密方法简单。这些方法加密神经网络权重和解密他们每次使用它们。记忆电阻的方法需要额外的写操作设备。减少延迟和高能源消耗产生的加密和解密,李et al。(2019);林et al。(2020)专注于加速和优化这些流程和(Cai et al ., 2019 a)关注减少必要的加密/解密数据。这种类型的安全问题的方法之一是忆阻器闩上的神经网络权值执行NN算法解密,从而暴露在对手。
以下4.4.1完全加密
李et al。(2019)提出了基于XOR加密整个神经网络模型计算系统在实现它之前。加密的NN模型存储在片外存储器和复制到eDRAM缓冲区,然后计算单位。解密完成和加速eDRAM与修饰词意义上的电路。林et al。(2020)提出基于混乱交换加密神经网络权重的重量;然而,encyption /解密需要额外的硬件和与忆阻器闩不兼容。
4.1.2局部加密
Cai et al。(2019)提出了选择最重要的每个神经网络层的权重。最重要的权重被定义为体重最大的梯度信号比特翻转时,。作者表明,只有加密垃圾会导致神经网络模型成为无用的推理任务。完整的加密方法相比,局部加密方法显著减少了加密/解密权值的数量(例如,每层只有20 resnet - 101)。
4.2神经网络权重转换
NN重量转换保护方法,保护神经网络权值存储在计算单位和不需要重写的权重,这样重量带来的能量和延迟重写操作消除。因此,这类方法的目标是最小化了硬件开销。此外,权重总是保护——这是一个重大的效益模型加密方法。
4.2.1重量准备矩阵排列
邹et al。(2020)提出了混淆了横梁行积极的和消极的横杆之间的连接。在推理过程中,模糊模块配置了正确的钥匙。没有正确的钥匙,盗窃NN模型不能正常工作。王et al。(2021)提出了混淆列连续横杆之间的连接。闩首先被分成更小的组,然后MUX和多路分配器用于配置每个连续两个横杆的团体。黄et al。(2020)一个2也被认为是混淆了横梁连接列。它们的实现是基于SRAM阵列。通过配置存储器阵列的一个炎热的编码对于每一行,SRAM阵列输出通道可以排列成任何顺序。
4.2.2重编码
李et al。(2021)本文提出了一种编码的重量w作为其异或结果we,表示为
在哪里k是一个关键。忆阻器闩存储we和它的互补
在哪里
邹et al。(2022)提出了选择性编码的一些列权重为1的补充和离开。权重的攻击者不知道哪些列编码的实际表示权重是隐藏的。作者设计并实现了保护bias-based映射和微分映射方法,分别。
4.3指纹嵌入
方法基于指纹嵌入使用硬件变化计算系统的指纹和嵌入在神经网络权重。直接偷来的神经网络模型并不能很好的发挥作用,而指纹。指纹是依赖于硬件,很难复制。
黄et al。(2020)b观察到的ADC抵消扮演重要的角色模型的准确性和神经网络模型需要改进提高准确性。因此,内在特定芯片的ADC抵消模式可能是指纹嵌入到神经网络模型。直接提取的神经网络模型不包含指纹,NN模型良好的保护。
5 Cross-comparison
我们现在cross-comparison上述安全技术的局限性。结果进行了总结表1。
表1。Cross-comparison安全技术。
5.1保护由授权的攻击对手的能力
对手可以授权或未经授权的用户。作为一个授权用户,对手可以进行无限的记忆电阻计算系统推理任务。在这个场景中,阻碍学习攻击的对策杨et al。(2020)Rajasekharan et al。(2021)不会停止的对手。在其他对策,保护方法的键可配置为内部,而不是由任何用户访问;因此他们会工作不管对手是授权。
5.2神经网络结构和神经网络参数
保密的神经网络模型包括其结构和参数。记忆电阻的计算系统,对策华et al。(2018)只保护神经网络结构。一些神经网络权重转换方法,邹et al。(2020);王et al。(2021);黄et al。(2020)一个;邹et al。(2022)利用填充假的行或列隐藏的确切大小重量与更少的行或列矩阵的大小横梁。因此,这些神经网络层用小重量的结构矩阵得到保护。其他对策保护只有神经网络参数。注意学习攻击不会轻易成功没有知识的神经网络结构(Batina et al ., 2019)。学习攻击因此可以被视为偷窃的神经网络参数的一种方法。因此,提出的方法杨et al。(2020),Rajasekharan et al。(2021)被认为是保护神经网络参数。
5.3需要培训吗?
黄et al。(2020)b需要重新训练神经网络参数,兼容硬件变化。这种方法需要预先目标设备的信息映射的神经网络模型。再培训的神经网络模型为每个特定的硬件系统,然而,可能是耗时和不实际的。在其他对策,再训练神经网络参数是不必要的。
5.4额外的忆阻器写操作
完整(李et al ., 2019;林et al ., 2020)和部分(Cai et al ., 2019 a)加密技术需要额外写操作每个推理的忆阻器设备。在建议的技术杨et al。(2020)和Rajasekharan et al。(2021)忆阻器设备必须定期写,因为设备的电阻漂移。额外的忆阻器写操作不仅能耗高、长延迟引入到系统Chang et al。(2014);姚明et al。(2017),他们也缩短的生命周期记忆电阻计算系统由于耐力有限记忆电阻设备王et al。(2019)其他的对策不需要额外的忆阻器写操作。
5.5模拟或数字记忆电阻设备
在杨et al。(2020),作者只调查了退化效应模拟忆阻器设备。判断该技术适用于数字记忆电阻设备需要进一步证明由于数字记忆电阻的电阻状态设备利润率比模拟设备。黄et al。(2020)只适用于数字设备,因为SRAM阵列只能输出二进制结果。提出的技术李et al。(2021)也只适用于数字设备,因为XOR-based编码只适用于single-bit-precision设备。另一种对策将为这两种类型的设备工作。
5.6全职保护
全职保护意味着系统总是当对手进行攻击的保护。在世行的对策模型,该模型加密方法(Cai et al ., 2019 a;李et al ., 2019;林et al ., 2020)识别神经网络权重和存储明文当他们参与神经网络计算。对手可能分析系统的渠道,如功耗、时确定神经网络权重参与计算。一旦确定了具体的时间点,对手可以关闭系统,然后从非易失性记忆电阻器阅读不受保护的神经网络权重。尽管(Cai et al ., 2019 a)缩小了攻击窗口,让神经网络层只有一个对手,威胁不是挫败。相反,基于神经网络权重的方法转换离开窗口没有这样的攻击,保护神经网络权重。
6的讨论
我们现在讨论安全技术的发展方向为保护记忆电阻计算系统的神经网络模型。
6.1对策全面攻击
每个检讨对策只能防止一种特定的攻击。然而,复杂的攻击者可能最大化他们的攻击策略通过结合不同的攻击。例如,敌人可能使用边信道攻击来推断出神经网络结构和显微探针技术来提取神经网络权重。简单地添加越来越多的防御技术将施加巨大的硬件开销,甚至对手利用开辟新的机遇。因此,更需要深思熟虑的对策提供保护多个攻击,确保较低的硬件开销。
6.2更多调查边信道攻击
边信道攻击其他神经网络计算系统中,cpu和fpga (Dubey et al ., 2019;燕et al ., 2020),吸引了太多的关注。到目前为止,我们已经看到一些边信道攻击记忆电阻的计算系统。虽然不同于其他神经网络计算系统,记忆电阻计算系统和他们有很多共同之处,如激活函数,池功能,并将中间结果存储在缓冲区。边信道攻击关注那些攻击表面在其他神经网络计算系统可能也在记忆电阻计算系统是可行的。因此,需要更多的调查边信道攻击。
6.3替代方法来阻挠学习攻击
当前学习攻击对策只能防止未经授权的用户攻击。然而,授权用户既不禁止,也不局限在他们访问输入/输出对。限制用户的授权访问输入/输出对征收一种不便,这大道一个不切实际的选择。替代方法来阻挠学习攻击必须考虑学习由授权用户攻击。我们建议寻找替代解决方案从神经网络模型训练策略或训练数据表现。
7结论
近年来,记忆电阻计算系统都极大地提高了神经网络算法的能源效率。忆阻器计算系统的安全问题,但是,应该成为广泛使用的商用之前解决。具体来说,神经网络模型载入记忆电阻计算系统面临潜在的盗窃威胁,因为记忆电阻器的非易失性性质。在本文中,我们回顾了现有的安全技术来保护记忆电阻的计算系统的神经网络模型。两个威胁模型假设对手有不同的攻击能力,即。BB模型和白平衡模型。威胁模型,基于攻击方法,我们现有的对策分为五个子类。这些对策是有限的,因为他们的防御能力和硬件实现。例如,学习攻击的对策只能保护记忆电阻计算系统免受未经授权的用户;基于神经网络模型的保护方法加密离开攻击窗口打开时,神经网络权重参与计算。我们提出了一个cross-comparison现有安全技术的局限性,并建议未来的研究方向。
作者的贡献
MZ:提出的方法,调查相关的作品,设计安全指标,和写的原稿。ND:提出的方法和审查和编辑稿件。SK:审查和编辑手稿和监督这个项目。
资金
摘要承认由德国研究基金会(DFG)项目资金MemDPU(批准号DU1896/3-1), MemCrypto(批准号DU1896/2-1)和欧盟的地平线2020研究和创新计划FET-Open NEU-Chip(没有授予协议。964877)。
的利益冲突
作者声明,这项研究是在没有进行任何商业或财务关系可能被视为一个潜在的利益冲突。
出版商的注意
本文表达的所有索赔仅代表作者,不一定代表的附属组织,或出版商、编辑和审稿人。任何产品,可以评估在这篇文章中,或声称,可能是由其制造商,不保证或认可的出版商。
脚注
1在他们的论文中,授权,未经授权的用户指的是那些可以访问计算机系统的合法和非法,分别。
2在黄et al。(2020),作者提出了两种保护技术。区分它们,我们表示的两种技术黄et al。(2020)一个和黄et al。(2020)b,分别。
引用
阿瓦德,。,米一个n一个dhata, P., Haber, S., Solihin, Y., and Horne, W. (2016). Silent shredder: Zero-cost shredding for secure non-volatile main memory controllers.SIGPLAN不是。51岁,263 - 276。doi: 10.1145/2954679.2872377
阿瓦德,。,你们,M。,Solihin, Y., Njilla, L., and Zubair, K. A. (2019). “Triad-nvm: Persistency for integrity-protected and encrypted non-volatile memories,” in学报》第46届国际研讨会上计算机体系结构,凤凰城,亚利桑那州,美国,2019年6月第21到26(IEEE),104 - 115。
Batina, L。,Bhasin, S., Jap, D., and Picek, S. (2019). “CSI NN: Reverse engineering of neural network architectures through electromagnetic side channel,” in在第28届USENIX安全研讨会,2016年7月16日- 18日(奥斯丁,TX:USENIX安全),515 - 532。
布朗,T。,米一个nn,B., Ryder, N., Subbiah, M., Kaplan, J. D., Dhariwal, P., et al. (2020). Language models are few-shot learners.放置神经Inf。过程。系统。33岁,1877 - 1901。
Cai, Y。,Chen, X., Tian, L., Wang, Y., and Yang, H. (2019a). “Enabling secure in-memory neural network computing by sparse fast gradient encryption,” in2019年IEEE / ACM国际会议上计算机辅助设计(ICCAD),美国公司威斯敏斯特,2019年10月13日(IEEE),1 - 8。doi: 10.1109 / ICCAD45719.2019.8942041
Cai, Y。,Tang, T., Xia, L., Li, B., Wang, Y., and Yang, H. (2019b). Low bit-width convolutional neural network on rram.IEEE反式。第一版。降落凡间的。Des,中国。电路系统。39岁,1414 - 1427。doi: 10.1109 / tcad.2019.2917852
Chang M.-F。、吴j j。,Chien, T.-F., Liu, Y.-C., Yang, T.-C., Shen, W.-C., et al. (2014). “19.4 embedded 1Mb ReRAM in 28nm CMOS with 0.27-to-1V read using swing-sample-and-couple sense amplifier and self-boost-write-termination scheme,” in2014年IEEE国际固态电路会议消化技术论文(globalfoundries),旧金山。美国CA,2014年1月19日(IEEE),332 - 333。doi: 10.1109 / ISSCC.2014.6757457
气,P。,Li, S., Xu, C., Zhang, T., Zhao, J., Liu, Y., et al. (2016). Prime: A novel processing-in-memory architecture for neural network computation in reram-based main memory.SIGARCH第一版。Archit。新闻44岁的27-39。doi: 10.1145/3007787.3001140
咚,S。,Wang, P., and Abbas, K. (2021). A survey on deep learning and its applications.第一版。科学。牧师。40,100379年。doi: 10.1016 / j.cosrev.2021.100379
Dubey,。,Cammarota, R., and Aysu, A. (2019). Maskednet: A pathway for secure inference against power side-channel attacks.arXiv预印本arXiv: 1910.13063。
Goldreich, O。,和Ostrovsky, R. (1996). Software protection and simulation on oblivious rams.j . ACM (JACM)43岁,431 - 473。doi: 10.1145/233551.233553
胡,X。,Liang, L., Chen, X., Deng, L., Ji, Y., Ding, Y., et al. (2022). A systematic view of model leakage risks in deep neural network systems.IEEE反式。第一版。09年,3148235。doi: 10.1109 / tc.2022.3148235
华,W。,Zhang, Z., and Suh, G. E. (2018). “Reverse engineering convolutional neural networks through side-channel information leaks,” in2018年55 ACM / ESDA / IEEE设计自动化会议(DAC),旧金山。美国CA,2018年6月28(IEEE),1 - 6。
黄。,Peng, X., Jiang, H., Luo, Y., and Yu, S. (2020). New security challenges on machine learning inference engine: Chip cloning and model reverse engineering.arXiv: 2003.09739(套)ArXiv: 2003.09739
卡,我。,Galambos, P., Kuti, J., and Rudas, I. J. (2020). Deep learning in robotics: Survey on model structures and training strategies.IEEE反式。系统。男人。Cybern。系统。51岁,266 - 279。doi: 10.1109 / tsmc.2020.3018325
克里,G。,米一个ndal, S. K., Chakrabarti, C., Seo, J.-S., Ogras, U. Y., and Cao, Y. (2021). Impact of on-chip interconnect on in-memory acceleration of deep neural networks.ACM j .紧急情况。抛光工艺。第一版。系统。18、22页。doi: 10.1145 / 3460233
李,B。,Gu, P., Shan, Y., Wang, Y., Chen, Y., and Yang, H. (2015). Rram-based analog approximate computing.IEEE反式。第一版。降落凡间的。Des,中国。电路系统。34岁,1905 - 1917。doi: 10.1109 / tcad.2015.2445741
李,W。,黄。,太阳,X。,Jiang, H., and Yu, S. (2021). “Secure-rram: A 40nm 16kb compute-in-memory macro with reconfigurability, sparsity control, and embedded security,” in2021年IEEE定制集成电路会议(中金公司),美国奥斯汀,得克萨斯州,2021年4月25 - 30(IEEE),1 - 2。
李,W。,王,Y。李,H。,和Li, X. (2019). “P3M: A PIM-based neural network model protection scheme for deep learning accelerator,” in《24日亚洲和南太平洋设计自动化会议,2019年4月19日—21日(日本东京:ACM),633 - 638。doi: 10.1145/3287624.3287695
林,N。,Chen, X., Lu, H., and Li, X. (2020). Chaotic weights: A novel approach to protect intellectual property of deep neural networks.IEEE反式。第一版。降落凡间的。Des,中国。电路系统。40岁,1327 - 1339。doi: 10.1109 / tcad.2020.3018403
长,Y。,Kim, D., Lee, E., Saha, P., Mudassar, B. A., She, X., et al. (2019). A ferroelectric fet-based processing-in-memory architecture for dnn acceleration.IEEE j .空洞。固态第一版。设备的电路5,113 - 122。doi: 10.1109 / jxcdc.2019.2923745
律,B。,Hamdi, M., Yang, Y., Cao, Y., Yan, Z., Li, K., et al. (2022). Efficient spectral graph convolutional network deployment on memristive crossbars.IEEE反式。紧急情况。上面。第一版。智能。5,1 - 11。doi: 10.1109 / tetci.2022.3210998
MarkovićD。,米我zrahi, A., Querlioz, D., and Grollier, J. (2020). Physics for neuromorphic computing.启phy Nat。2,499 - 510。doi: 10.1038 / s42254 - 020 - 0208 - 2
Oseni,。,米oustafa, N., Janicke, H., Liu, P., Tari, Z., and Vasilakos, A. (2021). Security and privacy for artificial intelligence: Opportunities and challenges.arXiv预印本arXiv: 2102.04661
普拉卡什,一个。、公园、J。、歌曲、J。,哇,J。,Cha, E.-J., and Hwang, H. (2014). Demonstration of Low Power 3-bit Multilevel Cell Characteristics in a TaO<sub>
乔,X。,Cao, X., Yang, H., Song, L., and Li, H. (2018). “AtomLayer: A universal ReRAM-based CNN accelerator with atomic layer computation,” in2018年55 ACM / ESDA / IEEE设计自动化会议(DAC),旧金山。美国CA,2018年6月28(IEEE),1 - 6。doi: 10.1109 / DAC.2018.8465832
Rajasekharan D。Rangarajan周二,N。Patnaik年代。,Sinanoglu, O., and Chauhan, Y. S. (2021). SCANet: Securing the weights with superparamagnetic-MTJ crossbar array networks.IEEE反式。神经。学习。系统。21日。doi: 10.1109 / TNNLS.2021.3130884
Rathi, N。,Chakraborty, I., Kosta, A., Sengupta, A., Ankit, A., Panda, P., et al. (2022). Exploring neuromorphic computing based on spiking neural networks: Algorithms to hardware.ACM第一版。测量员11日,3571155。doi: 10.1145 / 3571155
Shafiee,。唠叨,。,米uralimanohar, N., Balasubramonian, R., Strachan, J. P., Hu, M., et al. (2016). Isaac: A convolutional neural network accelerator with现场模拟算术闩。SIGARCH第一版。Archit。新闻44岁,14日至26日。doi: 10.1145/3007787.3001139
Sharir, O。,Peleg, B., and Shoham, Y. (2020). The cost of training nlp models: A concise overview.arXiv预印本arXiv: 2004.08900。
Strubell E。Ganesh,。,和米cCallum, A. (2019). Energy and policy considerations for deep learning in nlp.arXiv预印本arXiv: 1906.02243。
有轨电车,F。,Zhang, F., Juels, A., Reiter, M. K., and Ristenpart, T. (2016). “Stealing machine learning models via prediction APIs,” in第25届USENIX安全研讨会(USENIX安全16),2016年7月16日- 18日(奥斯丁,TX:USENIX协会),601 - 618。
湾,W。,Kubendran, R., Schaefer, C., Eryilmaz, S. B., Zhang, W., Wu, D., et al. (2022). A compute-in-memory chip based on resistive random-access memory.自然608年,504 - 512。doi: 10.1038 / s41586 - 022 - 04992 - 8
王,C。,Feng, D., Tong, W., Liu, J., Li, Z., Chang, J., et al. (2019). Cross-point resistive memory: Nonideal properties and solutions.ACM反式。Des,奥特曼。电子。系统。24日,1-37。doi: 10.1145 / 3325067
王,Y。,Jin, S., and Li, T. (2021). “A low cost weight obfuscation scheme for security enhancement of ReRAM based neural network accelerators,” in第26届亚洲和南太平洋设计自动化学报》会议,2019年4月19日—21日(日本东京:ACM),499 - 504。doi: 10.1145/3394885.3431599
温,S。,Chen, J., Wu, Y., Yan, Z., Cao, Y., Yang, Y., et al. (2020). Ckfo: Convolution kernel first operated algorithm with applications in memristor-based convolutional neural network.IEEE反式。第一版。降落凡间的。Des,中国。电路系统。40岁,1640 - 1647。doi: 10.1109 / tcad.2020.3019993
温,S。,Wei, H., Yan, Z., Guo, Z., Yang, Y., Huang, T., et al. (2019). Memristor-based design of sparse compact convolutional neural network.IEEE反式。Netw。科学。Eng。7,1431 - 1440。doi: 10.1109 / tnse.2019.2934357
吴,W。,Wu, H., Gao, B., Yao, P., Zhang, X., Peng, X., et al. (2018). “A methodology to improve linearity of analog rram for neuromorphic computing,” in2018年IEEE VLSI技术研讨会上,美国檀香山,嗨,2018年6月在18到22岁(IEEE),103 - 104。
雪,C.-X。,Huang, T.-Y., Liu, J.-S., Chang, T.-W., Kao, H.-Y., Wang, J.-H., et al. (2020). “15.4 a 22nm 2mb reram compute-in-memory macro with 121-28tops/w for multibit mac computing for tiny ai edge devices,” in2020年IEEE国际固态电路会议(globalfoundries),旧金山。美国CA,2020年2月16 - 20日(IEEE),244 - 246。
燕,M。,Fletcher, C. W., and Torrellas, J. (2020). “Cache telepathy: Leveraging shared resource attacks to learn DNN architectures,” in第29届USENIX安全研讨会(USENIX安全20),2016年7月16日- 18日(奥斯丁,TX:USENIX协会),2003 - 2020。
杨,C。,Liu, B., Li, H., Chen, Y., Barnell, M., Wu, Q., et al. (2020). Thwarting replication attack against memristor-based neuromorphic computing system.IEEE反式。第一版。降落凡间的。Des,中国。电路系统。39岁,2192 - 2205。doi: 10.1109 / TCAD.2019.2937817
姚明,P。,Wu, H., Gao, B., Eryilmaz, S. B., Huang, X., Zhang, W., et al. (2017). Face classification using electronic synapses.Commun Nat。8,15199。doi: 10.1038 / ncomms15199
年轻,V。,Nair, P. J., and Qureshi, M. K. (2015). Deuce: Write-efficient encryption for non-volatile memories.SIGPLAN不是。43岁的33-44。doi: 10.1145/2775054.2694387
朱,Z。,Sun, H., Lin, Y., Dai, G., Xia, L., Han, S., et al. (2019). “A configurable multi-precision cnn computing framework based on single bit rram,” in2019年第56 ACM和IEEE设计自动化会议(DAC),旧金山。美国CA,2018年6月28(IEEE),1 - 6。
朱,Z。,Sun, H., Qiu, K., Xia, L., Krishnan, G., Dai, G., et al. (2020). “Mnsim 2.0: A behavior-level modeling tool for memristor-based neuromorphic computing systems,” in诉讼的超大规模集成电路2020大湖研讨会,塞浦路斯尼科西亚,2020年7月04-06(IEEE),83 - 88。
邹,M。,Zhou, J., Cui, X., Wang, W., and Kvatinsky, S. (2022). “Enhancing security of memristor computing system through secure weight mapping,” in2022年国际工程师协会下属的计算机协会的年度研讨会上超大规模集成(ISVLSI),塞浦路斯尼科西亚,2022年6月04-06(IEEE),182 - 187。
邹,M。,朱,Z。,Cai, Y。,Zhou, J., Wang, C., and Wang, Y. (2020). “Security enhancement for RRAM computing system through obfuscating crossbar row connections,” in2020年设计、自动化和测试在欧洲会议与展览(日期),法国格勒诺布尔,2020年3月09-13(IEEE),466 - 471。doi: 10.23919 / DATE48585.2020.9116549
关键词:神经网络记忆电阻计算系统、硬件安全、盗窃威胁,防御技术,神经形态
引用:杜邹M, N和Kvatinsky年代(2022)回顾记忆电阻的计算系统的安全技术。前面。电子。板牙。2:1010613。doi: 10.3389 / femat.2022.1010613
收到:2022年8月3日;接受:2022年11月30日;
发表:2022年12月19日。
编辑:
卡琳·拉尔森乌普萨拉大学瑞典版权©2022邹,Du和Kvatinsky。这是一个开放分布式根据文章知识共享归属许可(CC)。使用、分发或复制在其他论坛是允许的,提供了原始作者(年代)和著作权人(s)认为,最初发表在这个期刊引用,按照公认的学术实践。没有使用、分发或复制是不符合这些条件的允许。
*通信:Minhui邹,minhui@campus.technion.ac.il