[发明专利]针对深度学习算法的侧信道攻击的防护方法

说明书

本发明公开了一种针对深度学习算法的侧信道攻击的防护方法，通过随机化神经元中的运算，代替传统神经元中的顺序运算，能够去除泄露的侧信道信息与深度学习算法中敏感值的相关性，可以有效防护利用侧信道泄露来恢复深度学习算法的输入或参数等信息的攻击。

技术领域

本发明涉及深度学习算法与侧信道攻击领域，尤其涉及一种针对深度学习算法的侧信道攻击的防护方法。

背景技术

近几年深度学习发展迅速，在图形分类、计算机视觉和语音识别等各个领域都获得了极好的效果。深度学习也被用在很多安全和隐私相关的领域，如智能交通、人脸识别和医疗图像处理等，因此深度学习算法的安全和数据隐私问题应该引起我们的关注和研究。首先，为了训练效果较好的深度学习模型，需要用到大量特定的数据集、动用很多计算资源和进行长时间的训练，因此这些深度学习模型结构和参数等具有很大的商业价值，也越来越多地被视为知识产权(IP)；其次，很多深度学习模型在训练时，会用到涉及隐私和机密的数据集，如基因类型、人脸图像和军事数据等，而这些模型的参数也会泄露有关训练数据集的信息，因此其结构和参数也需要保证机密不被窃取；同样，如果在推断阶段深度模型的输入被恢复出来，也会泄露隐私和机密信息。深度学习的这些隐私和安全问题，都可以利用侧信道技术来进行分析。

侧信道分析被广泛地应用到密码分析中，它能够利用加密电子设备在运行过程中的时间消耗、功率消耗或电磁辐射等侧信道信息，对加密设备进行攻击。侧信道分析能够十分有效地恢复出加密设备使用的密钥等信息，已被用来分析各种密码算法，如对称密码算法DES、AES，公钥密码算法RSA等。密码算法在硬件设备上会泄露侧信道信息，同样，深度学习算法在应用的时候也需要在硬件设备上进行实现，而设备在运行中不可避免地会泄露侧信道信息。

目前针对深度学习算法的侧信道分析正在迅速发展阶段。比如Lejla Batina等人的论文“CSI NN:Reverse Engineering of Neural Network Architectures throughElectromagnetic Side Channel”表明，利用DNN在运行中泄露的电磁侧信道信息，通过计算相关性等，攻击者能够获得以下信息：网络结构中使用的激活函数，层数和神经元数，输出类数以及神经网络中的权重。因此，攻击者可以使用侧信道信息有效地对网络进行逆向工程。

Lingxiao Wei等人的论文“I know what you see:Power side-channel attackon convolutional neural network accelerators”，对基于FPGA的卷积神经网络加速器进行了侧信道分析，利用泄露的功耗侧信道信息，在不知道神经网络的详细参数的情况下，能够从收集的能耗轨迹中恢复网络的输入图像。

由于类似的攻击是在近两年刚被提出的，因此相应的防护方法较少且不完善。2019年，Anuj Dubey等人的论文“MaskedNet:The First Hardware Inference EngineAiming Power Side-Channel Protection”，提出了利用掩码的方式来保护神经网络的参数，由于神经网络中存在不可逆函数，该方法对神经网络的一些函数进行了修改，导致设计比较复杂；并且对不同的神经网络和函数需要进行专门的设计，通用性较差。2019年，Yuntao Liu等人的论文“Mitigating Reverse Engineering Attacks on Deep NeuralNetworks”，用打乱内存访问顺序的方式，来保护神经网络不被逆向工程出其网络结构。该防护的目的是保护神经网络的结构，且防护针对的是cache侧信道攻击，可见，防护范围较小。

综上所述，当前针对深度学习算法侧信道的防护方法仍处于初始阶段，设计较为复杂，通用性差，且面向的侧信道攻击范围较小。

发明内容

本发明的目的是提供一种针对深度学习算法的侧信道攻击的防护方法，能够有效抵御侧信道攻击，避免敏感信息泄漏。