Skip to main content
QUICK REVIEW

[論文レビュー] CSI Neural Network: Using Side-channels to Recover Your Artificial Neural Network Information

Lejla Batina, Shivam Bhasin|arXiv (Cornell University)|Oct 22, 2018
Advancements in Semiconductor Devices and Circuit Design被引用数 27
ひとこと要約

この論文は、電力消費の測定を用いた側帯域分析が、組み込みシステム上に実装された多層パーセプトロンニューラルネットワークを逆方向に解析可能であることを示しており、1回の測定で活性化関数、アーキテクチャの詳細、重み、さらには入力まで回復可能である。攻撃は実際のARM Cortex-M3ハードウェア上で実用的であり、側帯域保護が講じられていない場合、ニューラルネットワークのIPが露出することを示している。

ABSTRACT

Machine learning has become mainstream across industries. Numerous examples proved the validity of it for security applications. In this work, we investigate how to reverse engineer a neural network by using only power side-channel information. To this end, we consider a multilayer perceptron as the machine learning architecture of choice and assume a non-invasive and eavesdropping attacker capable of measuring only passive side-channel leakages like power consumption, electromagnetic radiation, and reaction time. We conduct all experiments on real data and common neural net architectures in order to properly assess the applicability and extendability of those attacks. Practical results are shown on an ARM CORTEX-M3 microcontroller. Our experiments show that the side-channel attacker is capable of obtaining the following information: the activation functions used in the architecture, the number of layers and neurons in the layers, the number of output classes, and weights in the neural network. Thus, the attacker can effectively reverse engineer the network using side-channel information. Next, we show that once the attacker has the knowledge about the neural network architecture, he/she could also recover the inputs to the network with only a single-shot measurement. Finally, we discuss several mitigations one could use to thwart such attacks.

研究の動機と目的

  • 電力消費などの受動的側帯域漏洩のみを用いてニューラルネットワークのパrameterを回復可能かどうかを調査すること。
  • 組み込みシステムに実装された実世界のニューラルネットワーク実装に対する側帯域攻撃の実用性を評価すること。
  • 攻撃者が、側帯域トレースから重みと活性化関数を含む完全なニューラルネットワークアーキテクチャを再構築可能かどうかを示すこと。
  • アーキテクチャが再構築された後、1回の側帯域測定でネットワークへの入力を回復可能かどうかを示すこと。
  • マスキングや定常時間実装などの対策を提案・評価し、ニューラルネットワークのこうした側帯域漏洩を保護すること。

提案手法

  • 攻撃は、ARM Cortex-M3マイコン上でニューラルネットワーク推論中に発生する電力トレースから情報を抽出するために、単純電力分析(SPA)および微分電力分析(DPA)を用いる。
  • 指数関数演算における入力値に依存する非定常なタイミング挙動を分析することで、活性化関数を同定する。
  • 既知の入力を用いた乗算演算中に未知の重みに関する仮説と電力トレースを相関させることで、重みを回復する。
  • 電力トレース内の演算の構造と順序を分析することで、層の数、1層あたりのニューロン数、出力クラス数を特定する。
  • ネットワークアーキテクチャが再構築された後、高精度攻撃(HPA)を適用して、1つの側帯域トレースのみで秘密の入力を回復する。
  • 対策には、計算中に感受性のあるデータをランダム化するマスキング、およびデータ依存の漏洩を排除する演算の定常時間実装が含まれる。

実験結果

リサーチクエスチョン

  • RQ1組み込みシステムに展開された多層パーセプトロンニューラルネットワークのアーキテクチャを、側帯域電力トレースから回復可能か?
  • RQ2電力消費測定から、活性化関数と重みをどの程度まで逆方向に解析可能か?
  • RQ3ネットワークが再構築された後、1つの側帯域トレースのみでネットワークへの入力を回復可能か?
  • RQ4マスキングや定常時間実装といった標準的な側帯域対策が、ニューラルネットワークの保護にどの程度有効か?
  • RQ5ARM Cortex-M3のような現代のマイコンは、こうした側帯域攻撃の実行可能性と実用性にどのように影響を与えるか?

主な発見

  • 攻撃者は、指数関数演算におけるデータ依存のタイミング変動を検出することで、ニューラルネットワークで使用された活性化関数を成功裏に回復した。
  • 電力トレース内の演算の順序と構造を分析することで、層の数、1層あたりのニューロン数、出力クラス数が再構築された。
  • 乗算演算中の未知の重みに関する仮説と電力トレースの相関をとることで、ネットワーク内のすべての重みが回復された。
  • 高精度攻撃(HPA)を適用することで、アーキテクチャが再構築された後、1つの側帯域測定のみでネットワークへの入力を回復した。
  • 攻撃には追加で約20秒の測定時間が必要であり、ネットワークサイズに比例してスケーラブルであり、線形スケーラビリティを示した。
  • マスキングや定常時間実装といった対策は有効であるが、顕著なパフォーマンスおよび面積のオーバーヘッドを伴うことが示された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。