侧信道分析中神经网络的可解释性与可移植性研究

### 侧信道分析中神经网络的可解释性与可移植性研究 在侧信道分析（SCA）领域，神经网络的内部表示和可移植性是重要的研究方向。本文将探讨如何使用奇异向量规范相关分析（SVCCA）来研究神经网络的内部表示，并分析在不同场景下神经网络的可移植性问题。 #### 1. SVCCA在神经网络内部表示比较中的应用 在某些情况下，如特定映射总是对应汉明重量“3”时，SVCCA分析显示，对于两种不同的分析模型，其第一个分量值与汉明重量（HW）类标签之间存在高度相关性，例如 $\rho_{A4Y, 1} = -0.9895$，$\rho_{A4Y, 2} = -0.9885$。然而，在其他场景中，第一个SVCCA分量与标签之间的相关性较低。当与针对DPAv4 HW标签训练的分析模型进行比较时（忽略掩码），分量值与类标签之间没有显著关系，如 $\rho_{A5Y, 1} = 0.0371$，$\rho_{A5Y, 2} = 0.0356$。 基于这些结果，我们可以得到以下观察： - **数据和初始化的影响**：改变训练数据的部分或初始化值对内部表示的影响较小，因此不必过于担心这些变化。 - **泄漏模型的影响**：使用HW泄漏模型和中间值泄漏模型训练的网络，其内部表示可能相似。 - **掩码对策的影响**：是否存在掩码对策会显著影响分析模型的内部表示。 - **数据集相关性**：即使比较非常不同的数据集，也可能存在一定的相关性。仅仅查看相关值可能会产生误导，因为从领域角度更接近的数据集（如带掩码和不带掩码的DPAv4）可能比完全不相关的数据集（如DPAv4和CIFAR - 10）差异更大。 - **SVCCA与标签的关系**：尽管SVCCA独立于类标签，但其分量可能与标签高度相关。 - **知识共享的判断**：难以确定共同知识高是因为小网络的知识（表达能力）一般较少，还是因为它们确实共享了信息。 - **SVCCA的局限性**：可以使用SVCCA比较不同分析模型的内部表示，但它不是比较任意数据集的可靠指标，因为我们可以看到相关性差异，但无法估计这种差异在实际中的显著程度。 #### 2. 可移植性研究 在实际的SCA场景中，通常使用两个不同的设备进行分析和攻击（即可移植性），这些设备应该是相似的，因此获取的数据集也应该相似。 ##### 2.1 数据集和实验设置 使用运行AES - 128软件的多个设备的数据，目标设备是一个运行频率为16MHz的8位AVR微控制器，设备未采取任何防护措施，攻击第一轮的第一个S盒。每个设备有50000条轨迹，每条轨迹有600个特征。使用三个数据集，它们之间的关系如下： | 数据集关系 | 说明 | | ---- | ---- | | 数据集1和2 | 来自不同设备，但密钥相同 | | 数据集1和3 | 来自不同设备，使用不同密钥 | | 数据集2和3 | 来自同一设备，但使用不同密钥 | 使用以下神经网络架构进行实验： - **MLP**：一个小型多层感知器，有三个隐藏层，分别有50、25和50个神经元。输入层由基于皮尔逊相关性选择的50个特征组成。 - **MLP2**：一个多层感知器，有四个隐藏层，每个隐藏层有500个神经元，使用所有600个特征。 - **CNN**：一个卷积神经网络，有一个卷积块和两个全连接层。卷积层的滤波器大小为64，内核为11，使用平均池化层，池化大小为2，步长为2。全连接层各有128个神经元，使用所有600个特征。 所有算法旨在优化分类交叉熵，批量大小为256，使用RMSProp优化器。对于多层感知器，训练50个周期，学习率为0.001；对于CNN，训练125个周期，学习率为0.0001。根据不同场景，使用10000或40000个训练示例进行训练。 使用猜测熵（GE）指标来评估攻击效果，GE是确定秘密密钥真实值所需的连续猜测的平均次数，低GE表示低熵，即