基于GPU时空资源消耗识别本地服务器上深度学习模型的方法

摘要

基于GPU时空资源消耗识别本地服务器上深度学习模型的方法，包括：(S1):搭建采集本地服务器GPU的使用率和功耗数据的实验平台；(S2):在本地服务器上使用tensorflow、pytorch等开源深度学习框架运行各种常见的深度学习模型；(S3)：在本地服务器运行深度学习模型的过程中实时抓取GPU的使用率和功耗数据；(S4):对采集到的数据进行处理；(S5):搭建卷积神经网络对采集到的数据进行分类，以混淆矩阵的方式呈现测试结果。最后结果表明深度学习模型在运行时，本地服务器的GPU使用率和功耗与其内在模型存在相关性，通过对这种相关性的分析，可以得到很多关于模型的有效信息。

说明书

技术领域

本发明涉及一种深度学习模型识别领域，主要应用在深度学习模型的安全领域，具体涉及一种基于GPU时空资源消耗识别本地服务器上深度学习模型的方法。

背景技术

侧信道攻击是一种基于侧信道信息的攻击技术。侧信道信息意为加密设备中的除与密文直接相关的显式信息外的其他信息，如设备的GPU使用率、GPU的显存占用率、功耗、电磁辐射、时间消耗等等。随着人工智能技术在军事、民用等行业的不断渗透，其安全问题与攻防技术越来越受到关注。传统的人工智能技术安全性考量仅停留在软件层面，通过对深度学习模型的输入添加扰动，即生成对抗样本使模型输出错误分类。这样的攻击通常按对模型的了解程度分为黑盒攻击与白盒攻击，前者对模型信息一无所知，而后者则确切地知道模型的架构、训练数据、以及模型权重等信息。显然，对模型了解地越多，攻击的威胁性越大，白盒攻击通常在攻击效果上要优于黑盒攻击。如果能够多了解一些模型信息，对攻击者的攻击而言将更具有优势。实际上，在模型运行时，攻击者在硬件层面上对设备的时空资源消耗进行分析可以获得部分的模型信息，被分析的这类信息统称为侧信道信息。通过侧信道信息实现对模型的破解则称为侧信道攻击。

基于服务器运行深度学习模型应用非常常见，例如图像识别、信号识别、网络分类等。由于深度学习模型运行本身需要极高的算力，将模型部署于服务器，通过本地网络或者互联网传输模型输入及输出结果是一种常见的应用场景。因此，会有一大部分深度学习模型会以部署在服务器的方式向市场提供人工智能方面的服务。对于这一类模型，我们无法直接从服务器上获取它们运行模型的信息，但是能够获取其模型对服务器的硬件资源使用情况，进而通过对硬件资源的使用来判定其正在运行的模型。就本地服务器而言，攻击者可用的侧信道信息有CPU缓存，数据传输时间等侧信道信息。现有技术是利用CPU的缓存(Cache)实现对深度学习模型信息的窃取。本发明通过获取GPU使用率和功耗，提供一种识别服务器中深度学习模型的方法，以比较简单的实际操作，实现对不同深度学习模型的识别。

发明内容

本发明要克服现有技术在使用传统的攻击方法很难识别出本地服务器中深度学习模型的类别的缺点，提供一种通过GPU的使用率和功耗信息直接识别本地服务器中深度学习模型的方法。

本发明的技术构思为：本发明通过实验表明深度学习模型在运行时，本地服务器的GPU使用率和功耗与其内在模型存在相关性，这种相关性表现在当输入相同，模型越复杂参数越多，GPU的使用率和功耗越高，反之越低。通过对这种相关性的分析，可以根据GPU的使用率和功耗信息推理出本地服务器中深度学习模型的信息，攻击者即可对本地服务器从黑盒攻击转为灰盒攻击，甚至是白盒攻击，以提高攻击的成功的准确率。

本发明实现上述发明目的所采用的技术方案如下：

1、一种基于GPU时空资源消耗识别本地服务器上深度学习模型的方法，其特征在于，包括以下步骤：

S1:搭建采集本地服务器GPU的使用率和功耗数据的实验平台；

S2:在本地服务器上使用tensorflow、pytorch等开源深度学习框架运行各种常见的深度学习模型；

S3：在本地服务器运行深度学习模型的过程中实时抓取GPU的使用率和功耗数据；

S4:对采集到的数据进行处理；

S5:搭建卷积神经网络对采集到的数据进行分类，以混淆矩阵的方式呈现测试结果。

进一步的，所述步骤S3具体包括：实时的采集到不同深度学习模型运行时GPU的使用率和功耗数据，不同深度学习模型的输入信号可以为一维时序数据、二维图像数据和复杂网络数据。

进一步的，所述步骤S4具体包括：

S4.1:对采集的数据进行线性归一化处理，归一化的目的就是使得采集的数据被限定在0到1之间，加快了梯度下降求最优解的速度和提高识别精度，公式如下：

其中x是采集的原始数据，min(x)采集的原始数据中的最小值，max(x)采集的原始数据中的最大值，x'原始数据归一化后的值。

S4.2:将归一化后的数据转化为512*512的二维灰度图片，能充分发挥卷积神经网络在图像特征提取方面的优势，降低计算复杂度，然后给每一张图片打上对应的标签，就可以直接输入给卷积神经网络进行训练和测试。

进一步的，所述步骤S5具体包括：卷积神经网络包括四个卷积层，使用3×3和1×1卷积核尽力压缩模型参数量，并在每次池化操作后将特征通道数翻倍，以尽量保持特征的完整性，使用relu非线性激活函数，减少训练中神经元死亡的概率和过拟合，softmax激活函数使神经网络的输出变为了概率分布，使分类更加的精确。

本发明的有益效果为：

(1).合理利用本地服务器平台，部署简单，采集数据方便，易于分析。

(2).本发明表明深度学习模型在运行时，本地服务器的GPU使用率和功耗与其内在模型存在相关性，通过对这种相关性的分析，可以得到很多关于模型的有效信息。

(3).本发明提出的对本地服务器中深度学习模型识别的方法，可以把传统对抗样本攻击从黑盒攻击变为灰盒攻击甚至白盒攻击，显著的提高攻击准确度。

(4).本发明提出把一维时序数据转化为二维图像的方法，能充分发挥卷积神经网络在图像特征提取方面的优势，降低计算复杂度，给一维时序数据难以处理，提供了一种解决思路。

(5).本发明卷积神经网络算法，对一维时序数据转图有着很好地分类效果。

附图说明

图1为本发明方法的流程图；

图2(a)为GPU使用率数据可视化图，图2(b)为GPU使用率数据归一化后的可视化图；

图3(a)为GPU功耗数据可视化图，图3(b)为GPU功耗数据归一化后的可视化图；

图4为GPU使用率数据归一化后转图；

图5为GPU功耗数据归一化后转图；

图6为输入为二维图像数据图像模型分类结果图；

图7为输入为一维时序数据信号模型分类结果图；

图8为输入为复杂网络数据节点模型分类结果图。

具体实施方式

下面结合说明书附图对本发明的具体实施方式作进一步详细描述。

参照图1～图8，一种基于GPU时空资源消耗识别本地服务器上深度学习模型的方法，包括以下步骤：

S1:搭建采集本地服务器GPU的使用率和功耗数据的实验平台，具体包括：

本地服务器端配置为CPU使用英特尔的I7-6700，GPU使用英伟达的GTX TITAN XPASCAL；

S2:在本地服务器上使用tensorflow、pytorch等开源深度学习框架运行各种常见的深度学习模型，具体包括：

在服务器上运行图像识别模型分别为alexnet、mobilenetv1、mobilenetv2、inceptionv3、resnetv1和resnetv2；信号识别模型分别为fx_crmr、nin、alexnet、fx_resnet、lstm；节点分类模型分别为demo_net、gat、gcn、graphsage、h-gcn和mixhop；

S3：在本地服务器运行深度学习模型的过程中实时抓取GPU的使用率和功耗数据；具体包括：

通过python程序包pynvml和psutil结合可以实时的采集到不同深度学习模型运行时GPU的使用率和功耗数据，其中信号识别模型的输入为一维时序数据、图像识别模型输入为二维图像数据和节点分类模型的输入为复杂网络数据；

S4:对采集到的数据进行处理；具体包括：

S4.1:对采集的数据进行线性归一化处理如图2、3，归一化的目的就是使得采集的数据被限定在0到1之间，加快了梯度下降求最优解的速度和提高识别精度，公式如下：

其中x是采集的原始数据，min(x)采集的原始数据中的最小值，max(x)采集的原始数据中的最大值，x'原始数据归一化后的值；

S4.2:将归一化后的数据转化为512*512的灰度图片如图4、5，能充分发挥卷积神经网络在图像特征提取方面的优势，降低计算复杂度，然后给每一张图片打上对应的标签，就可以直接输入给卷积神经网络进行训练和测试；

S5:搭建卷积神经网络对采集到的数据进行分类，以混淆矩阵的方式呈现测试结果；具体包括：

S5.1:卷积神经网络包括四个卷积层，使用3×3和1×1卷积核尽力压缩模型参数量，并在每次最大池化操作后将特征通道数翻倍，以尽量保持特征的完整性，使用relu非线性激活函数，减少训练中神经元死亡的概率和过拟合，softmax激活函数使神经网络的输出变为了概率分布，使分类更加的精确；

S5.2:通过把处理后的数据输入给卷积神经网络，经过训练集的训练后，测试集以混淆矩阵输出分类结果，其中数字代表分类精度如0.96代表96％准确度，图6为对图像识别模型分类结果，图7为对信号识别模型分类结果，图8为对节点分类模型分类结果。

S6:将模型分类的结果和图像模型攻击方法、信号模型攻击的方法、节点模型攻击的方法相结合，可以对本地服务器运行的深度学习模型进行专门的攻击，以提高攻击的准确度。

本说明书实施例所述的内容仅仅是对发明构思的实现形式的列举，本发明的保护范围不应当被视为仅限于实施例所陈述的具体形式，本发明的保护范围也及于本领域技术人员根据本发明构思所能够想到的等同技术手段。