21、侧信道分析中神经网络可解释性与可移植性研究

侧信道分析中神经网络可解释性与可移植性研究

1. SVCCA在神经网络内部表示比较中的应用

在侧信道分析（SCA）中，SVCCA可用于比较不同轮廓模型的内部表示。在某些情况下，SVCCA的第一分量值与类标签有较高的相关性，如在特定的轮廓模型中，第一分量值与汉明重量（HW）类标签的相关性分别为 $\rho_{A4Y, 1} = -0.9895$，$\rho_{A4Y, 2} = -0.9885$。但在其他场景下，相关性较低，例如与针对DPAv4 HW标签训练的轮廓模型比较时，忽略掩码后，第一分量值与类标签无显著关系（$\rho_{A5Y, 1} = 0.0371$，$\rho_{A5Y, 2} = 0.0356$）。

基于实验结果，有以下几点观察：
- 改变训练数据集的部分内容与改变初始化值效果相似，对内部表示影响较小。
- 基于HW泄漏模型和中间值泄漏模型训练的网络，内部表示可能相似。
- 是否有掩码对策对轮廓模型的内部表示影响显著。
- 即使比较非常不同的数据集，也可能存在一定相关性。
- 仅看相关值可能产生误导，领域相近的数据集差异可能比完全不相关的数据集更大。
- 尽管SVCCA独立于类标签，但其分量可能与标签高度相关。
- 难以判断共同知识高是因为小网络表达能力有限，还是确实存在共享信息。
- SVCCA可用于比较不同轮廓模型的内部表示，但不是比较任意数据集的可靠方法，虽能看到相关性差异，但难以估计实际差异的显著性。

2. 可移植性研究

在实际的SCA场景中，通常使用两个相似设备进行轮廓分析和攻击，即所谓的可移植性问题。已有研究表明，可移植性会影响深度学习攻击的性能。