2025-11-19T12:04:14.174201

Laser Fault Injection in Memristor-Based Accelerators for AI/ML and Neuromorphic Computing

Rahman, Burleson
Memristive crossbar arrays (MCA) are emerging as efficient building blocks for in-memory computing and neuromorphic hardware due to their high density and parallel analog matrix-vector multiplication capabilities. However, the physical properties of their nonvolatile memory elements introduce new attack surfaces, particularly under fault injection scenarios. This work explores Laser Fault Injection as a means of inducing analog perturbations in MCA-based architectures. We present a detailed threat model in which adversaries target memristive cells to subtly alter their physical properties or outputs using laser beams. Through HSPICE simulations of a large MCA on 45 nm CMOS tech. node, we show how laser-induced photocurrent manifests in output current distributions, enabling differential fault analysis to infer internal weights with up to 99.7% accuracy, replicate the model, and compromise computational integrity through targeted weight alterations by approximately 143%.
academic

Inyección de Fallos por Láser en Aceleradores Basados en Memristores para IA/ML e Informática Neuromórfica

Información Básica

  • ID del Artículo: 2510.14120
  • Título: Laser Fault Injection in Memristor-Based Accelerators for AI/ML and Neuromorphic Computing
  • Autores: Muhammad Faheemur Rahman, Wayne Burleson (Universidad de Massachusetts Amherst)
  • Clasificación: cs.ET cs.NE cs.SY eess.SY
  • Proyecto de Financiamiento: Acuerdo de Cooperación del Laboratorio de Investigación del Ejército Número W911NF-23-2-0014
  • Enlace del Artículo: https://arxiv.org/abs/2510.14120

Resumen

Los arreglos de barras cruzadas de memristores (MCA) se están convirtiendo en bloques de construcción eficientes para computación en memoria y hardware neuromórfico debido a su alta densidad y capacidad de multiplicación matriz-vector analógica paralela. Sin embargo, las características físicas de sus elementos de memoria no volátil introducen nuevas superficies de ataque, particularmente en escenarios de inyección de fallos. Este trabajo explora la inyección de fallos por láser (LFI) como medio para inducir perturbaciones analógicas en arquitecturas basadas en MCA. Los autores proponen un modelo de amenaza detallado en el cual un adversario utiliza un haz de láser dirigido a celdas de memristor para alterar sutilmente sus características físicas o salida. Mediante simulaciones HSPICE de MCA grandes en nodos de tecnología CMOS de 45nm, se demuestra cómo la fotocorriente inducida por láser se manifiesta en la distribución de corriente de salida, permitiendo que el análisis de fallos diferenciales infiera pesos internos con una precisión de hasta el 99,7%, replique modelos y comprometa la integridad computacional mediante cambios de peso objetivo de aproximadamente el 143%.

Antecedentes de Investigación y Motivación

Contexto del Problema

  1. Limitaciones de la Arquitectura von Neumann: La arquitectura de computación tradicional enfrenta cuellos de botella de eficiencia al procesar tareas de IA/ML, lo que impulsa el desarrollo de soluciones de computación en memoria
  2. Ventajas de la Tecnología de Memristores: Los arreglos de barras cruzadas de memristores ofrecen almacenamiento de alta densidad, computación paralela y características no volátiles, ideales para aceleradores de redes neuronales
  3. Amenazas de Seguridad Emergentes: Las características físicas de las arquitecturas de computación analógica presentan desafíos de seguridad sin precedentes

Motivación de la Investigación

  1. Identificación de Vulnerabilidades de Seguridad: La naturaleza analógica de los memristores los hace susceptibles a ataques físicos, particularmente inyección de fallos por láser
  2. Necesidad de Evaluación de Amenazas: Falta de investigación sistemática sobre la vulnerabilidad de arquitecturas MCA bajo ataques LFI
  3. Mejora de la Conciencia de Protección: Proporcionar orientación para el diseño seguro de futuros aceleradores analógicos

Limitaciones de Métodos Existentes

  • LFI tradicional se enfoca principalmente en volteos de bits o fallos de temporización en circuitos digitales
  • Falta de investigación sobre inyección de fallos en sistemas de almacenamiento y computación analógica
  • Comprensión insuficiente del comportamiento de características físicas de memristores en escenarios de ataque

Contribuciones Principales

  1. Primer Estudio Sistemático: Análisis exhaustivo de ataques de inyección de fallos por láser contra arreglos de barras cruzadas de memristores
  2. Modelo de Amenaza Detallado: Establecimiento de un marco de ataque completo que incluye extracción pasiva de pesos y manipulación activa de pesos
  3. Inferencia de Pesos de Alta Precisión: Logro de extracción de pesos con precisión de hasta el 99,7% mediante análisis de fallos diferenciales
  4. Manipulación Significativa de Pesos: Demostración de que LFI puede cambiar la resistencia del memristor aproximadamente el 143%, afectando gravemente la integridad del modelo
  5. Modelo de Ataque Práctico: Consideración de restricciones realistas, como limitaciones de tamaño de haz de láser e imposibilidad de acceso directo a entradas de fila

Explicación Detallada de Métodos

Definición de Tareas

Esta investigación define dos clases de tareas de ataque:

  • Ataque Pasivo: Inferencia de valores de peso almacenados en memristores mediante observación de cambios en corriente de salida bajo perturbación láser
  • Ataque Activo: Cambio permanente de la resistencia del memristor mediante inyección láser más fuerte para comprometer el modelo de red neuronal

Arquitectura del Modelo de Amenaza

Mecanismo de Ataque Físico

  1. Interacción Láser-Semiconductor: El haz de láser que incide en el sustrato de silicio genera pares electrón-hueco, formando fotocorriente transitoria
  2. Perturbación del Estado del Memristor: La fotocorriente modifica la migración de iones interna del memristor o la formación de filamentos conductores, alterando la resistencia
  3. Cambio de Corriente de Salida: El cambio de resistencia resulta en desplazamiento medible de la corriente de salida de columna

Restricciones de Ataque

  • El atacante puede monitorear la corriente de salida de columna pero no puede controlar entradas de fila
  • El tamaño del haz de láser es de 1-50μm, insuficiente para apuntar con precisión a memristores individuales a escala nanométrica
  • Se requiere cobertura de área objetivo mediante escaneo superpuesto

Detalles de Implementación Técnica

Extracción Pasiva de Pesos

  1. Análisis Diferencial: Comparación de diferencias de corriente de columna antes y después de inyección láser
  2. Modelado de Regresión Lineal: Establecimiento de relación entre corriente inyectada y cambio de corriente de salida
  3. Fórmula de Estimación de Resistencia: Rest=1.501×slope1.47R_{est} = 1.501 \times |slope|^{-1.47}

Manipulación Activa de Pesos

  1. Aplicación del Modelo TEAM: Adopción del modelo de memristor adaptativo de umbral controlado por corriente
  2. Modificación de Variable de Estado: Cambio permanente de estado interno mediante inyección de corriente grande (100μA-1.2mA)
  3. Utilización de Características de Histéresis: Aprovechamiento de propiedades de bucle de histéresis del memristor para conmutación de estado

Configuración Experimental

Entorno de Simulación

  • Herramienta: Simulador de circuitos HSPICE
  • Arquitectura: Arreglo de barras cruzadas 1T1R de 256×128
  • Nodo de Tecnología: Tecnología CMOS de 45nm
  • Modelo de Dispositivo: Cada celda contiene un memristor y un transistor de selección NMOS

Parámetros del Memristor

  • Rango de Resistencia: 5-20kΩ (modelo lineal)
  • Parámetros del Modelo TEAM: Incluye características de umbral y no linealidad
  • Efectos Parásitos: Incluye resistencia parásita y capacitancia de interconexiones metálicas

Parámetros de Inyección de Fallos

  • Rango de Corriente Inyectada: 10-40μA (inferencia de pesos), 100μA-1.2mA (manipulación de pesos)
  • Tamaño del Haz de Láser: 1-50μm controlable
  • Ubicación de Inyección: Inyección de corriente local en puntos específicos dentro de la barra cruzada

Resultados Experimentales

Resultados de Inferencia de Pesos

Indicadores de Desempeño Principal

Según datos experimentales de la Tabla I:

Corriente Inyectada (μA)ΔI a 5kΩ (μA)ΔI a 10kΩ (μA)ΔI a 12kΩ (μA)ΔI a 15kΩ (μA)ΔI a 20kΩ (μA)
102.291.281.090.890.68
153.431.931.641.341.03
204.592.582.191.791.37
306.913.883.312.702.07
409.255.214.433.622.78

Verificación de Precisión de Inferencia

  • Memristor de 17kΩ: Estimado como 17.4kΩ (error del 2.35%) → 16.94kΩ (error del 0.35%, después de aumentar puntos de prueba)
  • Memristor de 10kΩ: Error de prueba dentro del rango de entrenamiento solo del 0.3%, error aumenta a 5.75% fuera del rango

Resultados de Manipulación de Pesos

Magnitud de Cambio de Resistencia

  • Resistencia de Línea Base: 138Ω
  • Después de Inyección de 1.2mA: 336Ω
  • Magnitud de Cambio: Crecimiento de aproximadamente el 143%
  • Transición de Estado: Dispositivo empujado hacia estado OFF, resistencia significativamente aumentada

Efecto de Umbral de Corriente

  • Inyección de 10μA: Impacto mínimo, casi sin cambio
  • 100μA en adelante: Comienza a producir cambio de estado medible
  • 1.2mA: Logra cambio permanente significativo

Hallazgos Experimentales

  1. Relación Lineal: Cambio de corriente de salida muestra buena relación lineal con corriente inyectada
  2. Sensibilidad de Resistencia: Memristores de resistencia alta producen cambios de salida más grandes para la misma corriente inyectada
  3. Importancia de Puntos de Prueba: Más puntos de prueba y rango de inyección apropiado mejoran significativamente la precisión de inferencia
  4. Modificación Permanente: Corriente inyectada suficientemente grande puede cambiar permanentemente el estado del memristor

Trabajo Relacionado

Investigación Fundamental de Memristores

  • Chua (1971): Propuesta inicial del concepto de memristor como cuarto elemento de circuito fundamental
  • Strukov et al. (2008): Publicación en Nature de la implementación física del memristor

Mecanismos de Protección de Seguridad

  • Rahman & Burleson (2025): Propuesta de mecanismos de intercambiador de claves y otras técnicas de protección a nivel de arquitectura
  • Investigación LFI Tradicional: Enfoque principalmente en ataques de temporización y volteos de bits en circuitos digitales

Modelado de Memristores

  • Modelo TEAM (Kvatinsky et al., 2013): Proporciona modelo de comportamiento de memristor adaptativo de umbral
  • Tecnología Redshift: Investigación relacionada sobre manipulación de retraso de propagación de señal con láser de onda continua

Conclusiones y Discusión

Conclusiones Principales

  1. Viabilidad de Ataque: La inyección de fallos por láser constituye una amenaza realista para arreglos de barras cruzadas de memristores
  2. Amenaza Dual: Puede utilizarse tanto para extracción de pesos (espionaje) como para manipulación de pesos (sabotaje)
  3. Inferencia de Alta Precisión: Bajo condiciones apropiadas, puede lograr precisión de inferencia de pesos del 99,7%
  4. Capacidad de Manipulación Significativa: Puede cambiar la resistencia del memristor más del 140%

Limitaciones

  1. Entorno de Simulación: Investigación basada en simulación HSPICE, carece de verificación en hardware real
  2. Suposiciones Idealizadas: Asume que el atacante puede controlar con precisión parámetros láser y monitorear salida
  3. Nodo de Tecnología Único: Verificación solo en nodo CMOS de 45nm
  4. Análisis Estático: No considera detección de ataque y protección en tiempo de ejecución dinámico

Direcciones Futuras

  1. Diseño de Mecanismos de Protección: Desarrollo de medidas de protección a nivel de hardware y algoritmo contra ataques LFI
  2. Verificación en Hardware Real: Validación de efectos de ataque en dispositivos de memristor reales
  3. Técnicas de Detección: Investigación de detección de ataque en tiempo de ejecución y métodos de identificación de anomalías
  4. Mejora de Robustez: Diseño de arquitecturas de redes neuronales más robustas a inyección de fallos

Evaluación Profunda

Fortalezas

  1. Investigación Pionera: Primer estudio sistemático de ataques de inyección de fallos por láser en arreglos de memristores
  2. Modelo de Amenaza Completo: Establecimiento de marco de análisis completo desde mecanismo de ataque hasta efectos reales
  3. Consideración de Practicidad: Consideración de restricciones realistas, como tamaño de haz de láser y limitaciones de acceso
  4. Análisis Cuantitativo: Proporciona resultados numéricos precisos y análisis de errores
  5. Rutas de Ataque Dual: Investigación simultánea de escenarios de ataque pasivo y activo

Deficiencias

  1. Falta de Verificación Práctica: Completamente basado en simulación, sin verificación en hardware real
  2. Discusión Insuficiente de Protección: Discusión relativamente limitada sobre cómo defenderse contra este tipo de ataques
  3. Falta de Análisis de Costo de Ataque: No analiza el costo práctico e umbral técnico de implementar tales ataques
  4. Consideración Insuficiente de Escenarios Dinámicos: Enfoque principalmente en pesos estáticos, análisis limitado del impacto en procesos de computación dinámica

Impacto

  1. Valor Académico: Abre nuevas direcciones para investigación de seguridad en arquitecturas de computación emergentes
  2. Significado Práctico: Proporciona advertencia de seguridad importante para fabricantes y usuarios de dispositivos de memristor
  3. Impacto en Políticas: Puede influir en la formulación de estándares de seguridad relevantes y criterios de evaluación
  4. Impulso Tecnológico: Promueve desarrollo de arquitecturas de memristor seguras y tecnologías de protección

Escenarios Aplicables

  1. Dispositivos de IA Periféricos: Dispositivos de computación periférica con requisitos de seguridad física alta
  2. Sistemas Militares/Aeroespaciales: Aplicaciones críticas que requieren alta confiabilidad y seguridad
  3. IA Financiera/Médica: Aceleradores de IA que procesan datos sensibles
  4. Orientación de Investigación y Desarrollo: Diseño de chips de memristor y evaluación de seguridad

Referencias

1 L. O. Chua, "Memristor—The Missing Circuit Element," IEEE Transactions on Circuit Theory, vol. 18, no. 5, pp. 507–519, 1971.

2 D. B. Strukov, G. S. Snider, D. R. Stewart, and R. S. Williams, "The missing memristor found," Nature, vol. 453, pp. 80–83, 2008.

3 S. Kvatinsky, E. G. Friedman, A. Kolodny and U. C. Weiser, "TEAM: ThrEshold Adaptive Memristor Model," in IEEE Transactions on Circuits and Systems I: Regular Papers, vol. 60, no. 1, pp. 211-221, Jan. 2013.

Resumen: Este artículo revela nuevas amenazas de seguridad enfrentadas por arreglos de barras cruzadas de memristores, sentando una base importante para investigación de seguridad en este campo. A pesar de algunas limitaciones, su contenido de investigación pionero y modelo de amenaza práctico proporcionan referencias valiosas para el diseño futuro de sistemas de memristor seguros.