2025-11-19T12:04:14.174201

Laser Fault Injection in Memristor-Based Accelerators for AI/ML and Neuromorphic Computing

Rahman, Burleson
Memristive crossbar arrays (MCA) are emerging as efficient building blocks for in-memory computing and neuromorphic hardware due to their high density and parallel analog matrix-vector multiplication capabilities. However, the physical properties of their nonvolatile memory elements introduce new attack surfaces, particularly under fault injection scenarios. This work explores Laser Fault Injection as a means of inducing analog perturbations in MCA-based architectures. We present a detailed threat model in which adversaries target memristive cells to subtly alter their physical properties or outputs using laser beams. Through HSPICE simulations of a large MCA on 45 nm CMOS tech. node, we show how laser-induced photocurrent manifests in output current distributions, enabling differential fault analysis to infer internal weights with up to 99.7% accuracy, replicate the model, and compromise computational integrity through targeted weight alterations by approximately 143%.
academic

Laser Fault Injection in Memristor-Based Accelerators for AI/ML and Neuromorphic Computing

基本信息

  • 论文ID: 2510.14120
  • 标题: Laser Fault Injection in Memristor-Based Accelerators for AI/ML and Neuromorphic Computing
  • 作者: Muhammad Faheemur Rahman, Wayne Burleson (University of Massachusetts Amherst)
  • 分类: cs.ET cs.NE cs.SY eess.SY
  • 资助项目: Army Research Laboratory Cooperative Agreement Number W911NF-23-2-0014
  • 论文链接: https://arxiv.org/abs/2510.14120

摘要

忆阻器交叉杆阵列(MCA)因其高密度和并行模拟矩阵-向量乘法能力,正在成为内存计算和神经形态硬件的高效构建模块。然而,其非易失性存储器元件的物理特性引入了新的攻击面,特别是在故障注入场景下。本工作探索了激光故障注入(LFI)作为在基于MCA架构中诱导模拟扰动的手段。作者提出了详细的威胁模型,其中对手使用激光束瞄准忆阻器单元,微妙地改变其物理特性或输出。通过对45nm CMOS技术节点上大型MCA的HSPICE仿真,展示了激光诱导的光电流如何在输出电流分布中表现,使差分故障分析能够以高达99.7%的准确率推断内部权重,复制模型,并通过目标权重改变约143%来损害计算完整性。

研究背景与动机

问题背景

  1. 冯·诺依曼架构限制:传统计算架构在处理AI/ML任务时面临效率瓶颈,促使了内存计算解决方案的发展
  2. 忆阻器技术优势:忆阻器交叉杆阵列提供高密度存储、并行计算和非易失性特性,非常适合神经网络加速器
  3. 新兴安全威胁:模拟计算架构的物理特性带来了前所未有的安全挑战

研究动机

  1. 安全漏洞识别:忆阻器的模拟特性使其容易受到物理攻击,特别是激光故障注入
  2. 威胁评估需求:缺乏对MCA架构在LFI攻击下脆弱性的系统性研究
  3. 防护意识提升:为未来模拟加速器的安全设计提供指导

现有方法局限性

  • 传统LFI主要针对数字电路的位翻转或时序故障
  • 缺乏针对模拟存储和计算系统的故障注入研究
  • 对忆阻器物理特性在攻击场景下的行为理解不足

核心贡献

  1. 首次系统性研究:针对忆阻器交叉杆阵列的激光故障注入攻击进行了全面分析
  2. 详细威胁模型:建立了包含被动权重提取和主动权重篡改的完整攻击框架
  3. 高精度权重推断:通过差分故障分析实现了高达99.7%准确率的权重提取
  4. 显著权重篡改:证明了LFI可以使忆阻器阻值改变约143%,严重影响模型完整性
  5. 实用攻击模型:考虑了现实约束条件,如激光束尺寸限制和无法直接访问行输入

方法详解

任务定义

本研究定义了两类攻击任务:

  • 被动攻击:通过观察激光扰动下的输出电流变化,推断存储在忆阻器中的权重值
  • 主动攻击:通过更强的激光注入永久改变忆阻器的阻值,破坏神经网络模型

威胁模型架构

物理攻击机制

  1. 激光-半导体相互作用:激光束照射硅基底产生电子-空穴对,形成瞬态光电流
  2. 忆阻器状态扰动:光电流改变忆阻器内部离子迁移或导电细丝形成,修改阻值
  3. 输出电流变化:阻值变化导致列输出电流发生可测量的偏移

攻击约束条件

  • 攻击者可监控列输出电流但无法控制行输入
  • 激光束尺寸为1-50μm,无法精确瞄准单个纳米级忆阻器
  • 需要通过重叠扫描覆盖目标区域

技术实现细节

被动权重提取

  1. 差分分析:比较激光注入前后的列电流差异
  2. 线性回归建模:建立注入电流与输出电流变化的关系
  3. 阻值估算公式Rest=1.501×slope1.47R_{est} = 1.501 \times |slope|^{-1.47}

主动权重篡改

  1. TEAM模型应用:采用电流控制的阈值自适应忆阻器模型
  2. 状态变量修改:通过大电流注入(100μA-1.2mA)永久改变内部状态
  3. 滞回特性利用:利用忆阻器的滞回环特性实现状态切换

实验设置

仿真环境

  • 工具:HSPICE电路仿真器
  • 架构:256×128 1T1R交叉杆阵列
  • 工艺节点:45nm CMOS技术
  • 器件模型:每个单元包含一个忆阻器和NMOS选择晶体管

忆阻器参数

  • 阻值范围:5-20kΩ(线性模型)
  • TEAM模型参数:包含阈值和非线性特性
  • 寄生效应:包含金属互连线的寄生电阻和电容

故障注入参数

  • 注入电流范围:10-40μA(权重推断),100μA-1.2mA(权重篡改)
  • 激光束尺寸:1-50μm可控
  • 注入位置:交叉杆内特定点的局部电流注入

实验结果

权重推断结果

主要性能指标

根据表I的实验数据:

注入电流(μA)5kΩ时ΔI(μA)10kΩ时ΔI(μA)12kΩ时ΔI(μA)15kΩ时ΔI(μA)20kΩ时ΔI(μA)
102.291.281.090.890.68
153.431.931.641.341.03
204.592.582.191.791.37
306.913.883.312.702.07
409.255.214.433.622.78

推断精度验证

  • 17kΩ忆阻器:估算为17.4kΩ(2.35%误差)→ 16.94kΩ(0.35%误差,增加测试点后)
  • 10kΩ忆阻器:训练范围内测试误差仅0.3%,超出范围时误差上升至5.75%

权重篡改结果

阻值变化幅度

  • 基线阻值:138Ω
  • 1.2mA注入后:336Ω
  • 变化幅度:约143%增长
  • 状态转换:器件被推向OFF状态,阻值显著增加

电流阈值效应

  • 10μA注入:影响微小,几乎无变化
  • 100μA以上:开始产生可测量的状态变化
  • 1.2mA:达到显著的永久性改变

实验发现

  1. 线性关系:输出电流变化与注入电流呈良好的线性关系
  2. 阻值敏感性:高阻值忆阻器对相同注入电流产生更大的输出变化
  3. 测试点重要性:更多测试点和合适的注入范围显著提高推断精度
  4. 永久性修改:足够大的注入电流可以永久改变忆阻器状态

相关工作

忆阻器基础研究

  • Chua (1971):首次提出忆阻器概念作为第四种基本电路元件
  • Strukov等 (2008):在Nature发表忆阻器的物理实现

安全防护机制

  • Rahman & Burleson (2025):提出了密钥置换器机制等架构级保护技术
  • 传统LFI研究:主要集中在数字电路的时序攻击和位翻转

忆阻器建模

  • TEAM模型 (Kvatinsky等, 2013):提供了阈值自适应的忆阻器行为模型
  • Redshift技术:连续波激光操纵信号传播延迟的相关研究

结论与讨论

主要结论

  1. 攻击可行性:激光故障注入对忆阻器交叉杆阵列构成现实威胁
  2. 双重威胁:既可用于权重提取(间谍活动)也可用于权重篡改(破坏活动)
  3. 高精度推断:在合适条件下可实现99.7%的权重推断准确率
  4. 显著篡改能力:可使忆阻器阻值改变超过140%

局限性

  1. 仿真环境:研究基于HSPICE仿真,缺乏实际硬件验证
  2. 理想化假设:假设攻击者可以精确控制激光参数和监控输出
  3. 单一工艺节点:仅在45nm CMOS节点上进行了验证
  4. 静态分析:未考虑动态运行时的攻击检测和防护

未来方向

  1. 防护机制设计:开发针对LFI攻击的硬件和算法级防护措施
  2. 实际硬件验证:在真实忆阻器器件上验证攻击效果
  3. 检测技术:研究运行时攻击检测和异常识别方法
  4. 鲁棒性增强:设计对故障注入更鲁棒的神经网络架构

深度评价

优点

  1. 开创性研究:首次系统性地研究了忆阻器阵列的激光故障注入攻击
  2. 完整威胁模型:建立了从攻击机制到实际效果的完整分析框架
  3. 实用性考虑:考虑了现实约束条件,如激光束尺寸和访问限制
  4. 定量分析:提供了精确的数值结果和误差分析
  5. 双重攻击路径:同时研究了被动和主动攻击场景

不足

  1. 缺乏实际验证:完全基于仿真,未在真实硬件上验证
  2. 防护讨论不足:对如何防御此类攻击的讨论相对有限
  3. 攻击成本分析缺失:未分析实施此类攻击的实际成本和技术门槛
  4. 动态场景考虑不足:主要关注静态权重,对动态计算过程的影响分析较少

影响力

  1. 学术价值:为新兴计算架构的安全研究开辟了新方向
  2. 实用意义:为忆阻器设备制造商和用户提供了重要的安全警示
  3. 政策影响:可能影响相关安全标准和评估准则的制定
  4. 技术推动:促进了安全忆阻器架构和防护技术的发展

适用场景

  1. 边缘AI设备:对物理安全要求高的边缘计算设备
  2. 军用/航天系统:需要高可靠性和安全性的关键应用
  3. 金融/医疗AI:处理敏感数据的AI加速器
  4. 研发指导:忆阻器芯片设计和安全评估

参考文献

1 L. O. Chua, "Memristor—The Missing Circuit Element," IEEE Transactions on Circuit Theory, vol. 18, no. 5, pp. 507–519, 1971.

2 D. B. Strukov, G. S. Snider, D. R. Stewart, and R. S. Williams, "The missing memristor found," Nature, vol. 453, pp. 80–83, 2008.

3 S. Kvatinsky, E. G. Friedman, A. Kolodny and U. C. Weiser, "TEAM: ThrEshold Adaptive Memristor Model," in IEEE Transactions on Circuits and Systems I: Regular Papers, vol. 60, no. 1, pp. 211-221, Jan. 2013.

总结:本论文揭示了忆阻器交叉杆阵列面临的新型安全威胁,为该领域的安全研究奠定了重要基础。尽管存在一些局限性,但其开创性的研究内容和实用的威胁模型为未来的安全忆阻器系统设计提供了宝贵的参考。