[논문 리뷰] DeepLaser: Practical Fault Attack on Deep Neural Networks
이 논문은 깊이 신경망에 대한 실질적인 물리적 결함 공격인 DeepLaser를 제안한다. 이 공격는 임베디드 시스템에서 활성화 함수—ReLu, 시그모이드, 탄함, 소프트맥스—를 대상으로 레이저 주입을 통해 수행된다. 은닉층에 결함을 주입함으로써, ReLU의 경우 최소 3/4 이상, 시그모이드/탄함의 경우 최소 절반 이상의 뉴런을 공격할 경우 50%를 초월하는 성공률로 오분류를 유도하며, 저가의 마이크로컨트롤러에서도 실제 가능성을 입증한다.
As deep learning systems are widely adopted in safety- and security-critical applications, such as autonomous vehicles, banking systems, etc., malicious faults and attacks become a tremendous concern, which potentially could lead to catastrophic consequences. In this paper, we initiate the first study of leveraging physical fault injection attacks on Deep Neural Networks (DNNs), by using laser injection technique on embedded systems. In particular, our exploratory study targets four widely used activation functions in DNNs development, that are the general main building block of DNNs that creates non-linear behaviors -- ReLu, softmax, sigmoid, and tanh. Our results show that by targeting these functions, it is possible to achieve a misclassification by injecting faults into the hidden layer of the network. Such result can have practical implications for real-world applications, where faults can be introduced by simpler means (such as altering the supply voltage).
연구 동기 및 목표
- 실세계 임베디드 시스템에서 깊이 신경망의 물리적 결함 주입 공격에 대한 취약성을 조사하기 위해.
- 주요 활성화 함수—ReLu, 시그모이드, 탄함, 소프트맥스—가 실질적인 환경에서 결함 주입에 얼마나 취약한지 평가하기 위해.
- 결함 주입이 추론 중에 신뢰할 수 있는 오분류로 이어질 수 있음을 입증하여, 안전이 중요한 AI 응용 분야의 기반을 훼손하기 위해.
- 저가 마이크로컨트롤러와 레이저 기반 결함 주입 기술을 사용한 공격의 실현 가능성을 탐색하기 위해.
- 딥러닝 시스템에서 악성 결함 공격에 대비한 향후 대응 조치의 기초를 마련하기 위해.
제안 방법
- IoT 기기의 대표주체인 8비트 마이크로컨트롤러에 일반적인 활성화 함수(ReLu, 시그모이드, 탄함, 소프트맥스)를 구현하였다.
- 활성화 함수 계산 중 정밀하고 대상 지정 가능한 결함 주입을 위해 근적외선 다이오드 펄스 레이저를 사용하였다.
- DNN의 은닉층에 결함을 주입하여 출력 분류 행동의 변화를 관찰하였다.
- 다양한 입력과 주입된 결함의 수를 바꿔가며 오분류 성공률을 측정하였다.
- 특히 IEEE 754 32비트 부동소수점 표현에서 소프트맥스의 지수 필드 및 부호 비트에 대한 비트 플립 효과를 분석하였다.
- 다양한 활성화 함수에서 제어된 결함 주입 조건 하에서 공격 성공률을 시뮬레이션하고 검증하였다.
실험 결과
연구 질문
- RQ1DNN의 활성화 함수를 대상으로 레이저를 사용한 물리적 결함 주입이 실세계 임베디드 시스템에서 신뢰할 수 있는 오분류를 유도할 수 있는가?
- RQ2실제 조건에서 ReLU, 시그모이드, 탄함, 소프트맥스 함수에 대한 결함 주입 공격의 성공률은 얼마인가?
- RQ3다른 활성화 함수에 대해 50% 이상의 성공률을 달성하기 위해 얼마나 많은 뉴런을 대상으로 해야 하는가?
- RQ4소프트맥스 층에 결함을 주입하여 출력 확률을 조작하여 특정 오분류를 유도할 수 있는가?
- RQ5자율주행 차량과 같은 안전이 중요한 AI 시스템에 이러한 공격이 실질적인 영향을 미칠 수 있는가?
주요 결과
- ReLU 활성화 층에서 최소 3/4 이상의 뉴런을 대상으로 공격할 경우 오분류 성공률가 50%를 초월하였다.
- 시그모이드 및 탄함 함수의 경우, 층 내 최소 절반 이상의 뉴런에 결함을 주입할 경우 성공률가 50%를 초월하였다.
- 주요 결함 메커니즘은 지수 계산에서 부정의 생략이었으며, 이는 시그모이드 및 탄함 함수에서 일관되게 출력 값을 변화시켰다.
- 소프트맥스의 경우, 대상 출력 뉴런의 부동소수점 표현에서 지수 필드의 단일 비트 플립이 그 뉴런의 확률을 증가시켜 오분류를 유도할 수 있었다.
- 저가의 8비트 마이크로컨트롤러를 사용하여 레이저 주입을 통한 공격이 성공적으로 구현되었으며, 저비용 임베디드 플랫폼에서도 실현 가능성을 입증하였다.
- 결과적으로, DNN에 대한 결함 주입 공격는 이론적으로만 가능한 것이 아니라, 접근 가능한 하드웨어와 기술을 사용해 실질적으로 악용 가능하다는 점을 시사한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.