深度神经网络模型是人工智能技术中应用最为广泛的学习模型,其安全研究也越来越受到重视。模型逆向攻击旨在恢复部署在推理终端的神经网络模型的结构和权重值,是AI安全中的基础问题,为对抗样本等高阶攻击提供数据支撑。文章从侧信道的角度出发,将模型推理过程中产生的内存消耗与推理时间等数据作为攻击者可以获取的数据源,通过分析侧信道数据,文章对模型逆向的结构逆向和权重逆向两个方面进行了研究。在模型结构逆向方面,本文使用基于GBDT与网络层约束模型的方法对侧信道数据进行了分析。使用GBDT模型对网络层类型进行了逆向,并结合网络层计算约束逆向了网络层参数。最后通过字符串匹配算法寻找网络中可能存在的残差块从而恢复了网络的拓扑结构。文章提出的模型结构逆向方法在测试集上的LER指标为0.0911。在逆向出模型结构后,本文将逆向模型作为替代模型生成了对抗样本,使用这些对抗样本对原始目标模型进行了对抗样本攻击,称为灰盒对抗样本攻击。其中,PGD,FGSM,BIM三种对抗样本攻击成功率分别为29%,23%,25%,均高于随机选取的替代模型或选用经典模型作为的替代模型,证明了模型逆向攻击的实用性和有效性。在模型权重逆向方面,常规方法采用CPA方法,该方法要求攻击者构造准确的泄露模型,而在实际的终端环境下,攻击者往往无法构造出准确的泄露模型。本文在量化技术的背景下对权重逆向进行研究,提出了一种名为Cluster-based SCA的新型模型权重逆向方法,该方法不要求攻击者构造泄露模型。Cluster-based SCA方法以量化推理中存在的安全隐患为出发点,利用了量化推理中的分类不等价现象,以此来猜测权重值并进行验证,从而恢复权重值。文章实验使用汉明重模型来模拟AI芯片的泄露模型,对于目标CNN网络,Cluster-based SCA方法以70.14%的TOP2恢复率恢复了其第一层卷积层所有卷积核权重,对于取值位于显著区的权重,TOP2的恢复率均达到了100%。