目的后门攻击通过触发器—标签强关联已严重威胁计算机视觉模型的安全性。现有模型防御方案普遍依赖全模型微调或架构重构,面临计算资源消耗显著攀升、模型参数不可逆损伤以及部署灵活性受限等挑战。针对上述问题,面向图像分类模型提出...目的后门攻击通过触发器—标签强关联已严重威胁计算机视觉模型的安全性。现有模型防御方案普遍依赖全模型微调或架构重构,面临计算资源消耗显著攀升、模型参数不可逆损伤以及部署灵活性受限等挑战。针对上述问题,面向图像分类模型提出一种基于特征阻断的轻量化后门防御机制,通过级联模块化设计,在无须任何攻击先验知识的前提下,仅需对原始模型嵌入轻量级阻断模块并进行定向微调,即可实现多场景后门特征的自适应阻断。方法设计级联特征阻断模块(包含跨通道空间过滤层、实例统计校准层、动态通道抑制层以及随机特征掩码层等),设计定向微调策略,在冻结原始模型参数的前提下,利用少量干净样本定向优化阻断模块参数,实现阻断模块对后门特征阻断与良性特征无损传递的双重目标,并通过PyTorch Hook机制实现模块的动态植入与无损移除。结果在MNIST(Modified National Institute of Standards and Technology)、CIFAR-10(Canadian Institute for Advanced Research)和MINI-ImageNet等3个数据集上,针对BadNets、Blended、WaNet、BppAttack和WaveAttack等5种典型后门攻击类型的对比实验表明:本文方法使攻击成功率平均下降90.0%,良性样本分类准确率损失小于3%,验证了防御机制的有效性和泛化能力。与主流模型防御方法相比,计算开销显著降低,阻断模块参数量不到原模型的1%;灵活部署性方面,支持运行时动态启停,移除后原始模型性能无损恢复。实验进一步验证了方法的架构普适性,在ResNet(residual network)和VGG-11(Visual Geometry Group)两种异构网络中,攻击成功率分别下降了90.0%和88.9%,表明防御机制具有跨模型鲁棒性。结论该机制通过轻量化模块化设计与微调机制,有效突破了传统模型防御方法在计算成本与灵活性层面的瓶颈问题,其即插即用与无损移除特性为实际场景中的模型安全部署提供了高效解决方案。展开更多
电阻式随机存取存储器(Resistive Random Access Memory,RRAM)因具备存内计算能力,被认为是高效的神经网络加速器。剪枝技术通过去除冗余权重可有效压缩模型,从而节省基于RRAM的神经网络加速器的硬件资源。现有的针对RRAM的结构化剪枝...电阻式随机存取存储器(Resistive Random Access Memory,RRAM)因具备存内计算能力,被认为是高效的神经网络加速器。剪枝技术通过去除冗余权重可有效压缩模型,从而节省基于RRAM的神经网络加速器的硬件资源。现有的针对RRAM的结构化剪枝方法因其过粗的剪枝粒度易导致精度下降,且普遍忽视了权重之间的数值规律,导致这类潜在冗余未能被利用,难以在保证精度的同时进一步提升模型压缩率与硬件效率。为此,本文提出一种基于权重重构的忆阻神经网络剪枝方法,使用基于整数缩放的权重重构策略提取并共享权重中的数值共性,同时舍弃对精度影响较小的数值部分,仅映射权重关键信息至RRAM交叉阵列进行网络推理,实现权重的压缩表示。随后,使用渐进式重训练机制,将被舍弃的信息作为引导信号逐步衰减引入,从而在保持模型压缩率和硬件效率的同时有效恢复模型精度。实验结果表明,与现有方法相比,本文方法在模型压缩率、面积效率与能效方面实现了最多1.2倍、1.2倍与1.3倍的提升,且几乎不损失模型精度。展开更多
文摘目的后门攻击通过触发器—标签强关联已严重威胁计算机视觉模型的安全性。现有模型防御方案普遍依赖全模型微调或架构重构,面临计算资源消耗显著攀升、模型参数不可逆损伤以及部署灵活性受限等挑战。针对上述问题,面向图像分类模型提出一种基于特征阻断的轻量化后门防御机制,通过级联模块化设计,在无须任何攻击先验知识的前提下,仅需对原始模型嵌入轻量级阻断模块并进行定向微调,即可实现多场景后门特征的自适应阻断。方法设计级联特征阻断模块(包含跨通道空间过滤层、实例统计校准层、动态通道抑制层以及随机特征掩码层等),设计定向微调策略,在冻结原始模型参数的前提下,利用少量干净样本定向优化阻断模块参数,实现阻断模块对后门特征阻断与良性特征无损传递的双重目标,并通过PyTorch Hook机制实现模块的动态植入与无损移除。结果在MNIST(Modified National Institute of Standards and Technology)、CIFAR-10(Canadian Institute for Advanced Research)和MINI-ImageNet等3个数据集上,针对BadNets、Blended、WaNet、BppAttack和WaveAttack等5种典型后门攻击类型的对比实验表明:本文方法使攻击成功率平均下降90.0%,良性样本分类准确率损失小于3%,验证了防御机制的有效性和泛化能力。与主流模型防御方法相比,计算开销显著降低,阻断模块参数量不到原模型的1%;灵活部署性方面,支持运行时动态启停,移除后原始模型性能无损恢复。实验进一步验证了方法的架构普适性,在ResNet(residual network)和VGG-11(Visual Geometry Group)两种异构网络中,攻击成功率分别下降了90.0%和88.9%,表明防御机制具有跨模型鲁棒性。结论该机制通过轻量化模块化设计与微调机制,有效突破了传统模型防御方法在计算成本与灵活性层面的瓶颈问题,其即插即用与无损移除特性为实际场景中的模型安全部署提供了高效解决方案。
文摘电阻式随机存取存储器(Resistive Random Access Memory,RRAM)因具备存内计算能力,被认为是高效的神经网络加速器。剪枝技术通过去除冗余权重可有效压缩模型,从而节省基于RRAM的神经网络加速器的硬件资源。现有的针对RRAM的结构化剪枝方法因其过粗的剪枝粒度易导致精度下降,且普遍忽视了权重之间的数值规律,导致这类潜在冗余未能被利用,难以在保证精度的同时进一步提升模型压缩率与硬件效率。为此,本文提出一种基于权重重构的忆阻神经网络剪枝方法,使用基于整数缩放的权重重构策略提取并共享权重中的数值共性,同时舍弃对精度影响较小的数值部分,仅映射权重关键信息至RRAM交叉阵列进行网络推理,实现权重的压缩表示。随后,使用渐进式重训练机制,将被舍弃的信息作为引导信号逐步衰减引入,从而在保持模型压缩率和硬件效率的同时有效恢复模型精度。实验结果表明,与现有方法相比,本文方法在模型压缩率、面积效率与能效方面实现了最多1.2倍、1.2倍与1.3倍的提升,且几乎不损失模型精度。
