Skip to main content
QUICK REVIEW

[论文解读] DetectX -- Adversarial Input Detection using Current Signatures in Memristive XBar Arrays

Abhishek Moitra, Priyadarshini Panda|arXiv (Cornell University)|Jun 22, 2021
Advanced Memory and Neural Computing参考文献 54被引用 8
一句话总结

DetectX 提出了一种基于忆阻交叉阵列中列电流之和(SoI)签名的硬件高效对抗性输入检测方法。通过采用双阶段训练策略,增强干净输入与对抗性输入之间 SoI 的分离度,DetectX 在抵御强白盒和黑盒攻击时,实现了 10x–25x 的能效降低,且 AUC-ROC > 0.95,其鲁棒性与效率优于基于神经网络的检测器。

ABSTRACT

Adversarial input detection has emerged as a prominent technique to harden Deep Neural Networks(DNNs) against adversarial attacks. Most prior works use neural network-based detectors or complex statistical analysis for adversarial detection. These approaches are computationally intensive and vulnerable to adversarial attacks. To this end, we propose DetectX - a hardware friendly adversarial detection mechanism using hardware signatures like Sum of column Currents (SoI) in memristive crossbars (XBar). We show that adversarial inputs have higher SoI compared to clean inputs. However, the difference is too small for reliable adversarial detection. Hence, we propose a dual-phase training methodology: Phase1 training is geared towards increasing the separation between clean and adversarial SoIs; Phase2 training improves the overall robustness against different strengths of adversarial attacks. For hardware-based adversarial detection, we implement the DetectX module using 32nm CMOS circuits and integrate it with a Neurosim-like analog crossbar architecture. We perform hardware evaluation of the Neurosim+DetectX system on the Neurosim platform using datasets-CIFAR10(VGG8), CIFAR100(VGG16) and TinyImagenet(ResNet18). Our experiments show that DetectX is 10x-25x more energy efficient and immune to dynamic adversarial attacks compared to previous state-of-the-art works. Moreover, we achieve high detection performance (ROC-AUC > 0.95) for strong white-box and black-box attacks. The code has been released at https://github.com/Intelligent-Computing-Lab-Yale/DetectX

研究动机与目标

  • 为解决基于神经网络的对抗性检测器在面对动态攻击时的脆弱性及高计算开销问题。
  • 开发一种与模拟交叉阵列 DNN 加速器兼容的硬件友好型、高能效检测机制。
  • 利用内在硬件签名——特别是列电流之和(SoI)——实现对对抗性输入的可靠区分。
  • 确保对多种对抗性攻击类型(包括强白盒和黑盒攻击)的鲁棒性。
  • 证明非神经网络的、基于签名的检测方法在鲁棒性与效率上优于现有基于深度学习的检测方法。

提出的方法

  • DetectX 监测模拟交叉阵列中的列电流之和(SoI)作为硬件签名,以区分干净输入与对抗性输入。
  • 采用双阶段训练策略:第一阶段最大化干净输入与对抗性输入之间 SoI 的分离度;第二阶段增强对不同攻击强度的鲁棒性。
  • DetectX 模块采用 32nm CMOS 工艺实现,包含一个 SoI 计算单元和一个基于简单查找表(LUT)的检测器,实现低面积、低功耗运行。
  • 系统与 Neurosim 平台集成,列电流经多路复用并经 ADC 转换后,由 DetectX 模块处理。
  • 检测仅应用于网络的第一层,避免深层网络的性能开销。
  • 该方法与器件无关,可部署于各种忆阻技术(如 RRAM 和 FeFET)的交叉阵列架构中。

实验结果

研究问题

  • RQ1模拟交叉阵列中的硬件签名(如列电流之和 SoI)能否可靠地区分对抗性输入与干净输入?
  • RQ2双阶段训练策略能否有效增强干净输入与对抗性输入之间 SoI 分布的分离度?
  • RQ3非神经网络的、基于硬件签名的检测器在对抗性检测中的能效表现,与基于神经网络的检测器相比如何?
  • RQ4所提出的检测机制是否对针对神经检测器模型的动态对抗性攻击具有鲁棒性?
  • RQ5该方法在强白盒和黑盒攻击下能否保持高性能检测(如 AUC-ROC > 0.95)?

主要发现

  • DetectX 在强白盒 PGD 攻击(ϵ=8/255, α=0.5/255, n=40 和 n=200)下,AUC-ROC 分数超过 0.95,优于先前工作。
  • 在黑盒攻击下,DetectX 的 AUC-ROC 达到 0.99,显著优于 Sterneck 等人 [12] 报告的 0.37,表明检测具有高度可靠性。
  • 在 CIFAR10、CIFAR100 和 Tiny-ImageNet 基准测试中,DetectX 模块的能耗比最先进的基于神经网络的检测器降低 10x 至 25x。
  • 由于采用非神经网络、基于硬件签名的设计,DetectX 免疫于动态对抗性攻击,而基于神经检测器的系统则易受此类攻击影响。
  • 第二阶段训练成功在强对抗性攻击下维持了低错误率,确保了检测性能的一致性。
  • 该方法与器件无关,可无缝集成至任意忆阻交叉阵列架构,无论底层 NVM 技术为何。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。