2025-11-19T12:04:14.174201

Laser Fault Injection in Memristor-Based Accelerators for AI/ML and Neuromorphic Computing

Rahman, Burleson
Memristive crossbar arrays (MCA) are emerging as efficient building blocks for in-memory computing and neuromorphic hardware due to their high density and parallel analog matrix-vector multiplication capabilities. However, the physical properties of their nonvolatile memory elements introduce new attack surfaces, particularly under fault injection scenarios. This work explores Laser Fault Injection as a means of inducing analog perturbations in MCA-based architectures. We present a detailed threat model in which adversaries target memristive cells to subtly alter their physical properties or outputs using laser beams. Through HSPICE simulations of a large MCA on 45 nm CMOS tech. node, we show how laser-induced photocurrent manifests in output current distributions, enabling differential fault analysis to infer internal weights with up to 99.7% accuracy, replicate the model, and compromise computational integrity through targeted weight alterations by approximately 143%.
academic

Laser-Fehlerinjektion in Memristor-basierten Beschleunigern für KI/ML und Neuromorphes Rechnen

Grundinformationen

  • Paper-ID: 2510.14120
  • Titel: Laser Fault Injection in Memristor-Based Accelerators for AI/ML and Neuromorphic Computing
  • Autoren: Muhammad Faheemur Rahman, Wayne Burleson (University of Massachusetts Amherst)
  • Klassifizierung: cs.ET cs.NE cs.SY eess.SY
  • Förderungsprojekt: Army Research Laboratory Cooperative Agreement Number W911NF-23-2-0014
  • Paper-Link: https://arxiv.org/abs/2510.14120

Zusammenfassung

Memristor-Crossbar-Arrays (MCA) entwickeln sich aufgrund ihrer hohen Dichte und parallelen analogen Matrix-Vektor-Multiplikationsfähigkeiten zu effizienten Bausteinen für In-Memory-Computing und neuromorphe Hardware. Die physikalischen Eigenschaften ihrer nichtflüchtigen Speicherelemente führen jedoch zu neuen Angriffsflächen, insbesondere in Fehlerinjektionsszenarien. Diese Arbeit untersucht die Laser-Fehlerinjektion (LFI) als Mittel zur Induktion analoger Störungen in MCA-basierten Architekturen. Die Autoren präsentieren ein detailliertes Bedrohungsmodell, in dem ein Angreifer Laserstrahlen auf Memristor-Zellen richtet, um deren physikalische Eigenschaften oder Ausgaben subtil zu verändern. Durch HSPICE-Simulationen großer MCAs auf dem 45-nm-CMOS-Technologieknoten wird demonstriert, wie laserinduzierte Photoströme in der Ausgabestromverteilung auftreten, was eine differentielle Fehleranalyse mit einer Genauigkeit von bis zu 99,7% ermöglicht, um interne Gewichte abzuleiten, Modelle zu replizieren und die Rechenintegrität durch gezielte Gewichtsänderungen um etwa 143% zu beeinträchtigen.

Forschungshintergrund und Motivation

Problemhintergrund

  1. Beschränkungen der Von-Neumann-Architektur: Traditionelle Computerarchitekturen stoßen bei der Verarbeitung von KI/ML-Aufgaben auf Effizienzengpässe, was zur Entwicklung von In-Memory-Computing-Lösungen führte
  2. Vorteile der Memristor-Technologie: Memristor-Crossbar-Arrays bieten hohe Speicherdichte, paralleles Rechnen und nichtflüchtige Eigenschaften, ideal für Beschleuniger neuronaler Netze
  3. Neu entstehende Sicherheitsbedrohungen: Die physikalischen Eigenschaften analoger Computerarchitekturen bringen beispiellose Sicherheitsherausforderungen mit sich

Forschungsmotivation

  1. Identifizierung von Sicherheitslücken: Die analogen Eigenschaften von Memristoren machen sie anfällig für physikalische Angriffe, insbesondere Laser-Fehlerinjektion
  2. Bedarf an Bedrohungsbewertung: Mangel an systematischer Forschung zur Anfälligkeit von MCA-Architekturen unter LFI-Angriffen
  3. Erhöhtes Sicherheitsbewusstsein: Bereitstellung von Richtlinien für sichere Designs zukünftiger analoger Beschleuniger

Beschränkungen bestehender Methoden

  • Traditionelle LFI konzentriert sich hauptsächlich auf Bitumkehrungen oder Timing-Fehler in digitalen Schaltkreisen
  • Mangelnde Forschung zur Fehlerinjektion in analogen Speicher- und Computersystemen
  • Unzureichendes Verständnis des Verhaltens von Memristor-Eigenschaften in Angriffsszenarien

Kernbeiträge

  1. Erste systematische Studie: Umfassende Analyse von Laser-Fehlerinjektionsangriffen auf Memristor-Crossbar-Arrays
  2. Detailliertes Bedrohungsmodell: Etablierung eines vollständigen Angriffrahmens mit passiver Gewichtsextraktion und aktiver Gewichtstamperung
  3. Hochpräzise Gewichtsableitung: Erreichung einer Gewichtsextraktionsgenauigkeit von bis zu 99,7% durch differentielle Fehleranalyse
  4. Signifikante Gewichtstamperung: Nachweis, dass LFI Memristor-Widerstände um etwa 143% verändern kann, was die Modellintegrität schwerwiegend beeinträchtigt
  5. Praktisches Angriffsmodell: Berücksichtigung realistischer Einschränkungen wie Laserstrahldurchmesser und fehlender direkter Zeileneingabezugriff

Methodische Details

Aufgabendefinition

Diese Forschung definiert zwei Angriffsklassen:

  • Passive Angriffe: Ableitung von in Memristoren gespeicherten Gewichtswerten durch Beobachtung von Ausgabestromänderungen unter Laserstörung
  • Aktive Angriffe: Permanente Änderung des Memristor-Widerstands durch stärkere Laserinjektionen zur Beschädigung des neuronalen Netzwerkmodells

Bedrohungsmodellarchitektur

Physikalischer Angriffsmechanismus

  1. Laser-Halbleiter-Wechselwirkung: Laserstrahlung auf Siliziumsubstrat erzeugt Elektron-Loch-Paare und bildet transienten Photostrom
  2. Memristor-Zustandsstörung: Photostrom verändert ionische Migration oder Bildung leitfähiger Filamente im Memristor und modifiziert den Widerstand
  3. Ausgabestromänderung: Widerstandsänderung führt zu messbarem Versatz im Spaltenausgabestrom

Angriffsbeschränkungen

  • Angreifer können Spaltenausgabestrom überwachen, aber nicht die Zeileneingaben kontrollieren
  • Laserstrahldurchmesser von 1-50 μm ermöglicht keine präzise Ausrichtung auf einzelne Nano-Memristoren
  • Erfordert Überlappscannen zur Abdeckung des Zielbereichs

Technische Implementierungsdetails

Passive Gewichtsextraktion

  1. Differentielle Analyse: Vergleich von Spaltenstromanweichungen vor und nach Laserinjektionen
  2. Lineare Regressionsmodellierung: Etablierung der Beziehung zwischen Injektionsstrom und Ausgabestromänderung
  3. Widerstandsschätzungsformel: Rest=1.501×slope1.47R_{est} = 1.501 \times |slope|^{-1.47}

Aktive Gewichtstamperung

  1. TEAM-Modell-Anwendung: Verwendung des stromgesteuerten Schwellenwert-adaptiven Memristor-Modells
  2. Zustandsvariablenmodifikation: Permanente Änderung des internen Zustands durch große Strominjektionen (100 μA–1,2 mA)
  3. Hysterese-Charakteristik-Nutzung: Ausnutzung der Hystereseschleife des Memristors zur Zustandsumschaltung

Experimentelle Einrichtung

Simulationsumgebung

  • Werkzeug: HSPICE-Schaltkreissimulator
  • Architektur: 256×128 1T1R-Crossbar-Array
  • Technologieknoten: 45-nm-CMOS-Technologie
  • Gerätemodell: Jede Zelle enthält einen Memristor und einen NMOS-Schalttransistor

Memristor-Parameter

  • Widerstandsbereich: 5–20 kΩ (lineares Modell)
  • TEAM-Modellparameter: Enthält Schwellenwert- und nichtlineare Charakteristiken
  • Parasitäre Effekte: Einschließlich parasitärer Widerstände und Kapazitäten von Metallverbindungen

Fehlerinjektionsparameter

  • Injektionsstrombereich: 10–40 μA (Gewichtsableitung), 100 μA–1,2 mA (Gewichtstamperung)
  • Laserstrahldurchmesser: 1–50 μm steuerbar
  • Injektionsstelle: Lokale Strominjektionen an spezifischen Punkten im Crossbar

Experimentelle Ergebnisse

Gewichtsableitungsergebnisse

Hauptleistungsindikatoren

Gemäß experimentellen Daten aus Tabelle I:

Injektionsstrom (μA)ΔI bei 5kΩ (μA)ΔI bei 10kΩ (μA)ΔI bei 12kΩ (μA)ΔI bei 15kΩ (μA)ΔI bei 20kΩ (μA)
102,291,281,090,890,68
153,431,931,641,341,03
204,592,582,191,791,37
306,913,883,312,702,07
409,255,214,433,622,78

Validierung der Ableitungsgenauigkeit

  • 17-kΩ-Memristor: Geschätzt auf 17,4 kΩ (2,35% Fehler) → 16,94 kΩ (0,35% Fehler nach Erhöhung der Testpunkte)
  • 10-kΩ-Memristor: Testfehler innerhalb des Trainingsbereichs nur 0,3%, Fehler steigt auf 5,75% außerhalb des Bereichs

Gewichtstamperungsergebnisse

Widerstandsänderungsgröße

  • Basis-Widerstand: 138 Ω
  • Nach 1,2-mA-Injektion: 336 Ω
  • Änderungsgröße: Etwa 143% Anstieg
  • Zustandsübergang: Gerät wird in AUS-Zustand verschoben, Widerstand nimmt signifikant zu

Stromschwell-Effekt

  • 10-μA-Injektion: Minimale Auswirkung, fast keine Änderung
  • 100 μA und höher: Messbarer Zustandswechsel beginnt
  • 1,2 mA: Erreicht signifikante permanente Änderung

Experimentelle Erkenntnisse

  1. Lineare Beziehung: Ausgabestromänderung zeigt gute lineare Beziehung zum Injektionsstrom
  2. Widerstandsempfindlichkeit: Hochohmige Memristoren erzeugen größere Ausgabestromänderungen bei gleicher Injektionsstromstärke
  3. Bedeutung von Testpunkten: Mehr Testpunkte und angemessener Injektionsbereich verbessern die Ableitungsgenauigkeit erheblich
  4. Permanente Modifikation: Ausreichend große Injektionsströme können den Memristor-Zustand dauerhaft verändern

Verwandte Arbeiten

Memristor-Grundlagenforschung

  • Chua (1971): Erstmals das Memristor-Konzept als viertes grundlegendes Schaltungselement vorgeschlagen
  • Strukov et al. (2008): Veröffentlichung der physikalischen Realisierung von Memristoren in Nature

Sicherheitsschutzmechanismen

  • Rahman & Burleson (2025): Vorschlag von Schlüsselumschalter-Mechanismen und anderen Schutzmaßnahmen auf Architekturebene
  • Traditionelle LFI-Forschung: Hauptsächlich konzentriert auf Timing-Angriffe und Bitumkehrungen in digitalen Schaltkreisen

Memristor-Modellierung

  • TEAM-Modell (Kvatinsky et al., 2013): Bietet schwellenwertadaptives Memristor-Verhaltensmodell
  • Redshift-Technologie: Verwandte Forschung zur Manipulation der Signalausbreitungsverzögerung durch kontinuierliche Laser

Schlussfolgerungen und Diskussion

Hauptschlussfolgerungen

  1. Angriffsdurchführbarkeit: Laser-Fehlerinjektion stellt eine realistische Bedrohung für Memristor-Crossbar-Arrays dar
  2. Duale Bedrohung: Kann sowohl für Gewichtsextraktion (Spionage) als auch für Gewichtstamperung (Sabotage) verwendet werden
  3. Hochpräzise Ableitung: Unter geeigneten Bedingungen kann eine Gewichtsableitungsgenauigkeit von 99,7% erreicht werden
  4. Signifikante Tamper-Fähigkeit: Kann Memristor-Widerstände um über 140% verändern

Einschränkungen

  1. Simulationsumgebung: Forschung basiert auf HSPICE-Simulation, fehlt praktische Hardwareverifikation
  2. Idealisierte Annahmen: Annahme, dass Angreifer Laserparameter präzise kontrollieren und Ausgaben überwachen können
  3. Einzelner Technologieknoten: Verifikation nur auf 45-nm-CMOS-Knoten durchgeführt
  4. Statische Analyse: Berücksichtigung dynamischer Laufzeit-Angriffserkennungs- und Schutzmechanismen nicht ausreichend

Zukünftige Richtungen

  1. Schutzmaßnahmen-Design: Entwicklung von Hardware- und Algorithmus-Schutzmaßnahmen gegen LFI-Angriffe
  2. Praktische Hardwareverifikation: Verifikation der Angriffseffekte auf echten Memristor-Geräten
  3. Erkennungstechniken: Forschung zu Laufzeit-Angriffserkennungs- und Anomalieerkennung
  4. Robustheitssteigerung: Entwurf von neuronalen Netzwerk-Architekturen mit höherer Fehlerinjektions-Robustheit

Tiefgreifende Bewertung

Stärken

  1. Bahnbrechende Forschung: Erste systematische Untersuchung von Laser-Fehlerinjektionsangriffen auf Memristor-Arrays
  2. Vollständiges Bedrohungsmodell: Etablierung eines umfassenden Analyserahmens vom Angriffsmechanismus bis zu praktischen Auswirkungen
  3. Praktische Überlegungen: Berücksichtigung realistischer Einschränkungen wie Laserstrahldurchmesser und Zugriffsbeschränkungen
  4. Quantitative Analyse: Bereitstellung präziser numerischer Ergebnisse und Fehleranalysen
  5. Duale Angriffspfade: Untersuchung sowohl passiver als auch aktiver Angriffsszenarien

Mängel

  1. Fehlende praktische Verifikation: Vollständig auf Simulation basierend, keine Verifikation auf echter Hardware
  2. Unzureichende Schutzmaßnahmen-Diskussion: Begrenzte Diskussion zur Abwehr solcher Angriffe
  3. Fehlende Angriffskosten-Analyse: Keine Analyse der praktischen Kosten und technischen Hürden für die Durchführung solcher Angriffe
  4. Unzureichende Berücksichtigung dynamischer Szenarien: Hauptsächlich statische Gewichte, begrenzte Analyse der Auswirkungen auf dynamische Rechenprozesse

Auswirkungen

  1. Akademischer Wert: Eröffnung neuer Forschungsrichtungen für die Sicherheit neu entstehender Computerarchitekturen
  2. Praktische Bedeutung: Wichtige Sicherheitswarnungen für Memristor-Gerätehersteller und Benutzer
  3. Politische Auswirkungen: Kann die Entwicklung relevanter Sicherheitsstandards und Bewertungskriterien beeinflussen
  4. Technologischer Fortschritt: Förderung der Entwicklung sicherer Memristor-Architekturen und Schutztechnologien

Anwendungsszenarien

  1. Edge-AI-Geräte: Edge-Computing-Geräte mit hohen physikalischen Sicherheitsanforderungen
  2. Militär-/Raumfahrtsysteme: Kritische Anwendungen mit hohen Zuverlässigkeits- und Sicherheitsanforderungen
  3. Finanz-/Medizin-KI: KI-Beschleuniger, die sensible Daten verarbeiten
  4. Forschungsleitfaden: Richtlinien für Memristor-Chip-Design und Sicherheitsbewertung

Literaturverzeichnis

1 L. O. Chua, "Memristor—The Missing Circuit Element," IEEE Transactions on Circuit Theory, vol. 18, no. 5, pp. 507–519, 1971.

2 D. B. Strukov, G. S. Snider, D. R. Stewart, and R. S. Williams, "The missing memristor found," Nature, vol. 453, pp. 80–83, 2008.

3 S. Kvatinsky, E. G. Friedman, A. Kolodny and U. C. Weiser, "TEAM: ThrEshold Adaptive Memristor Model," in IEEE Transactions on Circuits and Systems I: Regular Papers, vol. 60, no. 1, pp. 211-221, Jan. 2013.

Zusammenfassung: Dieses Papier enthüllt neue Sicherheitsbedrohungen für Memristor-Crossbar-Arrays und legt eine wichtige Grundlage für die Sicherheitsforschung in diesem Bereich. Trotz einiger Einschränkungen bieten die bahnbrechenden Forschungsinhalte und das praktische Bedrohungsmodell wertvolle Referenzen für das zukünftige Design sicherer Memristor-Systeme.