《表1 样本网络所有层结构参数范围》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《一种针对多核神经网络处理器的窃取攻击》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

注:N表示该层不需要这个参数，D表示参数会根据上一层的结果自动生成

所以可以将它们分别看作卷积层和Add层的一个结构参数；Add层代表了目前网络中常用的残差结构[32]，在本文中默认采用的残差结构都类似于文献[32]中的结构，批量标准化（Batch Normalization，BN）层一般都会融合到它的上一层卷积层中，所以在这不作为单独的结构参数，此外，由于CNN网络多用于分类和识别任务，典型的结构[32]是最后一层为全连接层（Fully Connected Layers，FC），因此攻击者也可以假设样本网络的最后一层为FC；最后得到样本网络所有层结构参数的范围如表1所示，攻击将这些结构参数随机组合，将得到的所有有效的组合结果组成一个集合，攻击者在构建样本网络时，该网络的每一层都从这个集合中采用随机采样的方式选出，最后组合起来形成一个样本网络，由于采用了随机采样的方式选取，在构建样本网络时可能会出现结构不正确的情况，比如Add层的两个输入数据在深度上不匹配，那么在生成样本时就要去除掉这种样本。