2025-11-19T12:04:14.174201

Laser Fault Injection in Memristor-Based Accelerators for AI/ML and Neuromorphic Computing

Rahman, Burleson
Memristive crossbar arrays (MCA) are emerging as efficient building blocks for in-memory computing and neuromorphic hardware due to their high density and parallel analog matrix-vector multiplication capabilities. However, the physical properties of their nonvolatile memory elements introduce new attack surfaces, particularly under fault injection scenarios. This work explores Laser Fault Injection as a means of inducing analog perturbations in MCA-based architectures. We present a detailed threat model in which adversaries target memristive cells to subtly alter their physical properties or outputs using laser beams. Through HSPICE simulations of a large MCA on 45 nm CMOS tech. node, we show how laser-induced photocurrent manifests in output current distributions, enabling differential fault analysis to infer internal weights with up to 99.7% accuracy, replicate the model, and compromise computational integrity through targeted weight alterations by approximately 143%.
academic

Лазерная инъекция ошибок в ускорители на основе мемристоров для ИИ/МО и нейроморфных вычислений

Основная информация

  • ID статьи: 2510.14120
  • Название: Laser Fault Injection in Memristor-Based Accelerators for AI/ML and Neuromorphic Computing
  • Авторы: Muhammad Faheemur Rahman, Wayne Burleson (Университет Массачусетса, Амхёрст)
  • Классификация: cs.ET cs.NE cs.SY eess.SY
  • Финансирующий проект: Соглашение о сотрудничестве Армейской исследовательской лаборатории № W911NF-23-2-0014
  • Ссылка на статью: https://arxiv.org/abs/2510.14120

Аннотация

Мемристорные кроссбар-массивы (МКМ) становятся эффективными строительными блоками для вычислений в памяти и нейроморфного оборудования благодаря их высокой плотности и способности к параллельному аналоговому матрично-векторному умножению. Однако физические характеристики их энергонезависимых элементов памяти создают новую поверхность атак, особенно в сценариях инъекции ошибок. Данная работа исследует лазерную инъекцию ошибок (ЛИО) как средство индуцирования аналоговых возмущений в архитектурах на основе МКМ. Авторы предлагают детальную модель угроз, в которой противник использует лазерный луч для воздействия на мемристорные ячейки, тонко изменяя их физические характеристики или выходные параметры. Посредством HSPICE-моделирования больших МКМ на технологическом узле 45 нм CMOS продемонстрировано, как лазер-индуцированный фототок проявляется в распределении выходного тока, позволяя дифференциальному анализу ошибок выводить внутренние веса с точностью до 99,7%, репродуцировать модель и нарушить целостность вычислений путём целевого изменения весов примерно на 143%.

Исследовательский контекст и мотивация

Предпосылки проблемы

  1. Ограничения архитектуры фон Неймана: Традиционные вычислительные архитектуры сталкиваются с узкими местами эффективности при обработке задач ИИ/МО, что стимулирует развитие решений для вычислений в памяти
  2. Преимущества мемристорной технологии: Мемристорные кроссбар-массивы обеспечивают высокую плотность хранения, параллельные вычисления и энергонезависимость, что идеально подходит для ускорителей нейронных сетей
  3. Возникающие угрозы безопасности: Физические характеристики аналоговых вычислительных архитектур создают беспрецедентные проблемы безопасности

Исследовательская мотивация

  1. Выявление уязвимостей безопасности: Аналоговая природа мемристоров делает их восприимчивыми к физическим атакам, особенно к лазерной инъекции ошибок
  2. Необходимость оценки угроз: Отсутствие систематического исследования уязвимости архитектур МКМ к атакам ЛИО
  3. Повышение осведомлённости о защите: Предоставление руководства для безопасного проектирования будущих аналоговых ускорителей

Ограничения существующих методов

  • Традиционная ЛИО в основном ориентирована на переворот битов или временные ошибки в цифровых схемах
  • Недостаток исследований инъекции ошибок в аналоговые системы хранения и вычислений
  • Недостаточное понимание поведения физических характеристик мемристоров в сценариях атак

Основной вклад

  1. Первое систематическое исследование: Комплексный анализ атак лазерной инъекции ошибок на мемристорные кроссбар-массивы
  2. Детальная модель угроз: Установление полной структуры атак, включающей пассивное извлечение весов и активное подделку весов
  3. Высокоточный вывод весов: Достижение извлечения весов с точностью до 99,7% посредством дифференциального анализа ошибок
  4. Значительная подделка весов: Демонстрация того, что ЛИО может изменять сопротивление мемристора примерно на 143%, серьёзно влияя на целостность модели
  5. Практическая модель атаки: Учёт реальных ограничений, таких как размер лазерного луча и отсутствие прямого доступа к входам строк

Подробное описание методов

Определение задач

Данное исследование определяет два класса атак:

  • Пассивные атаки: Вывод значений весов, хранящихся в мемристорах, путём наблюдения изменений выходного тока при лазерном возмущении
  • Активные атаки: Постоянное изменение сопротивления мемристора посредством более мощной лазерной инъекции для нарушения модели нейронной сети

Архитектура модели угроз

Механизм физической атаки

  1. Взаимодействие лазера с полупроводником: Лазерный луч, воздействующий на кремниевую подложку, генерирует пары электрон-дырка, формирующие переходный фототок
  2. Возмущение состояния мемристора: Фототок изменяет миграцию ионов внутри мемристора или формирование проводящих филаментов, модифицируя сопротивление
  3. Изменение выходного тока: Изменение сопротивления приводит к измеримому смещению выходного тока столбца

Ограничения атаки

  • Противник может контролировать выходной ток столбца, но не может управлять входами строк
  • Размер лазерного луча составляет 1-50 мкм, что недостаточно для точного воздействия на отдельные наномасштабные мемристоры
  • Требуется перекрывающееся сканирование для охвата целевой области

Детали технической реализации

Пассивное извлечение весов

  1. Дифференциальный анализ: Сравнение различий выходного тока столбца до и после лазерной инъекции
  2. Моделирование линейной регрессии: Установление связи между инъецированным током и изменением выходного тока
  3. Формула оценки сопротивления: Rest=1.501×slope1.47R_{est} = 1.501 \times |slope|^{-1.47}

Активная подделка весов

  1. Применение модели TEAM: Использование модели мемристора с адаптивным пороговым значением, управляемой током
  2. Модификация переменной состояния: Постоянное изменение внутреннего состояния посредством инъекции большого тока (100 мкА-1,2 мА)
  3. Использование гистерезисных характеристик: Использование гистерезисного цикла мемристора для переключения состояния

Экспериментальная установка

Среда моделирования

  • Инструмент: Симулятор схем HSPICE
  • Архитектура: Кроссбар-массив 256×128 1T1R
  • Технологический узел: 45 нм CMOS
  • Модель устройства: Каждая ячейка содержит один мемристор и транзистор NMOS для выбора

Параметры мемристора

  • Диапазон сопротивления: 5-20 кОм (линейная модель)
  • Параметры модели TEAM: Включают пороговое значение и нелинейные характеристики
  • Паразитные эффекты: Включают паразитные сопротивление и ёмкость металлических соединений

Параметры инъекции ошибок

  • Диапазон инъецированного тока: 10-40 мкА (вывод весов), 100 мкА-1,2 мА (подделка весов)
  • Размер лазерного луча: 1-50 мкм с управлением
  • Место инъекции: Локальная инъекция тока в определённые точки кроссбара

Результаты экспериментов

Результаты вывода весов

Основные показатели производительности

Согласно экспериментальным данным таблицы I:

Инъецированный ток (мкА)ΔI при 5 кОм (мкА)ΔI при 10 кОм (мкА)ΔI при 12 кОм (мкА)ΔI при 15 кОм (мкА)ΔI при 20 кОм (мкА)
102,291,281,090,890,68
153,431,931,641,341,03
204,592,582,191,791,37
306,913,883,312,702,07
409,255,214,433,622,78

Проверка точности вывода

  • Мемристор 17 кОм: Оценка 17,4 кОм (ошибка 2,35%) → 16,94 кОм (ошибка 0,35% после добавления точек тестирования)
  • Мемристор 10 кОм: Ошибка тестирования в пределах диапазона обучения всего 0,3%, ошибка возрастает до 5,75% при выходе за пределы диапазона

Результаты подделки весов

Величина изменения сопротивления

  • Базовое сопротивление: 138 Ом
  • После инъекции 1,2 мА: 336 Ом
  • Величина изменения: Рост примерно на 143%
  • Переход состояния: Устройство переводится в состояние OFF, сопротивление значительно увеличивается

Эффект порога тока

  • Инъекция 10 мкА: Минимальное влияние, практически без изменений
  • Инъекция свыше 100 мкА: Начинают проявляться измеримые изменения состояния
  • Инъекция 1,2 мА: Достигается значительное постоянное изменение

Экспериментальные выводы

  1. Линейная зависимость: Хорошая линейная связь между инъецированным током и изменением выходного тока
  2. Чувствительность сопротивления: Мемристоры с высоким сопротивлением производят большие изменения выходного тока при одинаковой инъекции тока
  3. Важность точек тестирования: Большее количество точек тестирования и подходящий диапазон инъекции значительно повышают точность вывода
  4. Постоянное изменение: Достаточно большая инъекция тока может постоянно изменить состояние мемристора

Связанные работы

Фундаментальные исследования мемристоров

  • Chua (1971): Первоначально предложил концепцию мемристора как четвёртого фундаментального элемента схемы
  • Strukov и др. (2008): Опубликовали физическую реализацию мемристора в Nature

Механизмы защиты безопасности

  • Rahman & Burleson (2025): Предложили механизм переключателя ключей и другие технологии защиты на уровне архитектуры
  • Традиционные исследования ЛИО: В основном сосредоточены на временных атаках и переворотах битов в цифровых схемах

Моделирование мемристоров

  • Модель TEAM (Kvatinsky и др., 2013): Предоставляет модель поведения мемристора с адаптивным пороговым значением
  • Технология Redshift: Соответствующие исследования манипуляции задержкой распространения сигнала с использованием непрерывного лазера

Заключение и обсуждение

Основные выводы

  1. Осуществимость атаки: Лазерная инъекция ошибок представляет реальную угрозу для мемристорных кроссбар-массивов
  2. Двойная угроза: Может использоваться как для извлечения весов (шпионаж), так и для подделки весов (саботаж)
  3. Высокоточный вывод: При подходящих условиях может быть достигнута точность вывода весов до 99,7%
  4. Значительная способность подделки: Может изменять сопротивление мемристора более чем на 140%

Ограничения

  1. Среда моделирования: Исследование основано на HSPICE-моделировании, не хватает проверки на реальном оборудовании
  2. Идеализированные предположения: Предполагается, что противник может точно управлять параметрами лазера и контролировать выходные данные
  3. Один технологический узел: Проверка проведена только на технологическом узле 45 нм CMOS
  4. Статический анализ: Не учитываются обнаружение атак и защита во время динамического выполнения

Будущие направления

  1. Разработка механизмов защиты: Разработка аппаратных и алгоритмических защит от атак ЛИО
  2. Проверка на реальном оборудовании: Проверка эффективности атак на реальных мемристорных устройствах
  3. Технологии обнаружения: Исследование методов обнаружения атак во время выполнения и выявления аномалий
  4. Повышение устойчивости: Проектирование архитектур нейронных сетей, более устойчивых к инъекции ошибок

Глубокая оценка

Преимущества

  1. Новаторское исследование: Первое систематическое исследование атак лазерной инъекции ошибок на мемристорные массивы
  2. Полная модель угроз: Установление полной структуры анализа от механизма атаки до практических эффектов
  3. Учёт практичности: Рассмотрение реальных ограничений, таких как размер лазерного луча и ограничения доступа
  4. Количественный анализ: Предоставление точных числовых результатов и анализа ошибок
  5. Двойные пути атаки: Одновременное исследование сценариев пассивных и активных атак

Недостатки

  1. Отсутствие проверки на реальном оборудовании: Полностью основано на моделировании, не проверено на реальном оборудовании
  2. Недостаточное обсуждение защиты: Относительно ограниченное обсуждение того, как защищаться от такого рода атак
  3. Отсутствие анализа стоимости атаки: Не анализируется фактическая стоимость и технический порог реализации таких атак
  4. Недостаточное рассмотрение динамических сценариев: В основном сосредоточено на статических весах, меньше анализа влияния на динамические процессы вычислений

Влияние

  1. Академическая ценность: Открытие нового направления исследований безопасности для возникающих вычислительных архитектур
  2. Практическое значение: Предоставление важного предупреждения о безопасности для производителей и пользователей мемристорных устройств
  3. Политическое влияние: Возможное влияние на разработку соответствующих стандартов безопасности и критериев оценки
  4. Технологический прогресс: Стимулирование разработки защищённых архитектур мемристоров и технологий защиты

Применимые сценарии

  1. Граничные устройства ИИ: Граничные вычислительные устройства с высокими требованиями к физической безопасности
  2. Военные/космические системы: Критически важные приложения, требующие высокой надёжности и безопасности
  3. Финансовые/медицинские ИИ: Ускорители ИИ, обрабатывающие конфиденциальные данные
  4. Руководство по НИОКР: Проектирование и оценка безопасности микросхем мемристоров

Библиография

1 L. O. Chua, "Memristor—The Missing Circuit Element," IEEE Transactions on Circuit Theory, vol. 18, no. 5, pp. 507–519, 1971.

2 D. B. Strukov, G. S. Snider, D. R. Stewart, and R. S. Williams, "The missing memristor found," Nature, vol. 453, pp. 80–83, 2008.

3 S. Kvatinsky, E. G. Friedman, A. Kolodny and U. C. Weiser, "TEAM: ThrEshold Adaptive Memristor Model," in IEEE Transactions on Circuits and Systems I: Regular Papers, vol. 60, no. 1, pp. 211-221, Jan. 2013.

Резюме: Данная статья выявляет новые угрозы безопасности, с которыми сталкиваются мемристорные кроссбар-массивы, и закладывает важную основу для исследований безопасности в этой области. Несмотря на некоторые ограничения, её новаторское содержание и практическая модель угроз предоставляют ценные ориентиры для будущего проектирования защищённых систем на основе мемристоров.