Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] I Know What You See: Power Side-Channel Attack on Convolutional Neural Network Accelerators

Lingxiao Wei, Bo Luo|arXiv (Cornell University)|Mar 5, 2018
Adversarial Robustness in Machine Learning参考文献 30被引用数 51
ひとこと要約

この論文はCNNアクセラレータに対する初の電力サイドチャネル攻撃を提示し、ファーストレイヤー畳み込み中の電力波形から入力画像を復元、 FPGAベース攻撃下でMNIST認識精度を最大89%に達成。

ABSTRACT

Deep learning has become the de-facto computational paradigm for various kinds of perception problems, including many privacy-sensitive applications such as online medical image analysis. No doubt to say, the data privacy of these deep learning systems is a serious concern. Different from previous research focusing on exploiting privacy leakage from deep learning models, in this paper, we present the first attack on the implementation of deep learning models. To be specific, we perform the attack on an FPGA-based convolutional neural network accelerator and we manage to recover the input image from the collected power traces without knowing the detailed parameters in the neural network. For the MNIST dataset, our power side-channel attack is able to achieve up to 89% recognition accuracy.

研究の動機と目的

  • ハードウェア実装で入力の機密性を保護しているときの深層学習のプライバシーリスクを動機づけ、検討する。
  • 電力サイドチャネルがCNNアクセラレータからプライベートな推論入力を漏らすことができることを、モデルパラメータにアクセスできなくても示す。
  • ノイズの多いトレースから実電力を抽出し、入力ピクセルを再構成する実用的な技術を開発する。
  • MNISTで評価を示し、背景検出と再構成能力を定量化する。

提案手法

  • 第一層畳み込み中のFPGAベースCNNアクセラレータから高分解能電力波形を収集する。
  • ノイズ/RCフィルタリングされた波形からDC成分の復元、低域通過フィルタ、電力整列、曲線フィッティングを用いて実測の毎サイクル電力を抽出する。
  • 受動的攻撃者向けに、サイクル電力の大きさに基づいて背景ピクセルを識別する背景検出を実行する。
  • 能動的攻撃者向けに、複数のカーネルを用いて電力とピクセル値の対応を表す電力テンプレートを構築し、サイクルごとにピクセル候補を生成できるようにする。
  • 任意で、生成セットから最良のピクセル候補を選択して入力画像全体を再構成する。

実験結果

リサーチクエスチョン

  • RQ1推論中にモデルパラメータの知識がなくても、CNNアクセラレータからプライベートな入力画像を復元する電力サイドチャネル攻撃は可能か?
  • RQ2背景ピクセルをどれくらい正確に復元できるか、またカーネルサイズがMNISTの再構成品質にどう影響するか?
  • RQ3電力テンプレートを用いて入力画像のピクセル値を推測する能動的攻撃者の有効性はどうか?
  • RQ4FPGAベースのCNNアクセラレータでの電力抽出と再構成の実用的な限界と性能特性は何か?

主な発見

  • 攻撃は入力のシルエットを復元でき、背景検出と組み合わせればMNIST画像の前景形状を露出させることができる。
  • カーネルサイズと閾値選択はピクセルレベルと認識精度に影響し、報告された実験では3×3が5×5より高い精度を示した。
  • 背景検出は意味のあるシルエット復元を達成し、電力テンプレートを用いた能動的攻撃は推論用のピクセル候補を再構成できる。
  • 電力抽出技術はRCフィルタリングとノイズにもかかわらずサイクル精度の電力推定を達成し、サイクルごとの分析を可能にしている。
  • 総じてMNISTベースの実験はCNNアクセラレータにおける電力サイドチャネルによる顕著なプライバシー漏洩を示している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。