Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] I Know What You See: Power Side-Channel Attack on Convolutional Neural Network Accelerators

Lingxiao Wei, Bo Luo|arXiv (Cornell University)|2018. 03. 05.
Adversarial Robustness in Machine Learning참고 문헌 30인용 수 51
한 줄 요약

이 논문은 CNN 가속기에 대한 최초의 전력 사이드 채널 공격으로, 첫 번째 계층 컨볼루션 동안 전력 트레이스로부터 입력 이미지를 복구하고, FPGA 기반 공격 하에서 최대 89%의 MNIST 인식 정확도를 달성한다.

ABSTRACT

Deep learning has become the de-facto computational paradigm for various kinds of perception problems, including many privacy-sensitive applications such as online medical image analysis. No doubt to say, the data privacy of these deep learning systems is a serious concern. Different from previous research focusing on exploiting privacy leakage from deep learning models, in this paper, we present the first attack on the implementation of deep learning models. To be specific, we perform the attack on an FPGA-based convolutional neural network accelerator and we manage to recover the input image from the collected power traces without knowing the detailed parameters in the neural network. For the MNIST dataset, our power side-channel attack is able to achieve up to 89% recognition accuracy.

연구 동기 및 목표

  • 하드웨어 구현에서 입력의 보호가 보장될 때 딥 러닝의 개인정보 보호 위험을 동기 부여하고 연구한다.
  • 모델 매개변수에 대한 접근 없이도 전력 사이드 채널이 CNN 가속기에서 프라이빗한 추론 입력을 누출할 수 있음을 입증한다.
  • 잡음이 있는 트레이스로부터 실제 전력을 추출하고 입력 픽셀을 재구성하기 위한 실용적인 기법을 개발한다.
  • 배경 탐지 및 재구성 능력을 정량화하기 위해 MNIST에 대한 평가를 보여준다.

제안 방법

  • 첫 번째 계층 컨볼루션 동안 FPGA-based CNN 가속기로부터 고해상도 전력 트레이스를 수집한다.
  • DC 성분 복원, 로우패스 필터링, 전력 정렬, 곡선 피팅을 통해 노이즈/RC 필터링된 트레이스로부터 사이클당 실제 전력 소모를 추출한다.
  • 패시브 어태커의 경우, 주기-전력의 크기를 기반으로 배경 픽셀을 식별하기 위해 배경 탐지를 수행한다.
  • 액티브 어태커의 경우, 여러 커널을 사용하여 전력을 픽셀 값으로 매핑하는 전력 템플릿을 구축하고, 주기당 픽셀 값 후보 생성을 가능하게 한다.
  • 생성된 집합에서 최상의 픽셀 후보를 선택하여 전체 입력 이미지를 선택적으로 재구성한다.

실험 결과

연구 질문

  • RQ1모델 매개변수 지식 없이도 추론 중에 CNN 가속기로부터 프라이빗한 입력 이미지를 전력 사이드 채널 공격으로 복구할 수 있는가?
  • RQ2배경 픽셀을 얼마나 정확하게 복구할 수 있으며 커널 크기가 MNIST의 재구성 품질에 어떤 영향을 미치는가?
  • RQ3전력 템플릿을 이용해 픽셀 값을 추정하는 활성 공격자의 실행 가능성은 어떤가?
  • RQ4FPGA 기반 CNN 가속기에서 전력 추출 및 재구성의 실용적 한계와 성능 특성은 무엇인가?

주요 결과

  • 공격은 입력 실루엣을 복구할 수 있으며, 배경 탐지를 통해 MNIST 이미지에서 전경 모양을 드러낼 수 있다.
  • 커널 크기와 임계값 선택은 픽셀 수준 및 인식 정확도에 영향을 미치며, 보고된 실험에서 3×3이 5×5보다 더 높은 정확도를 보인다.
  • 배경 탐지는 의미 있는 실루엣 회복을 달성하는 반면, 전력 템플릿을 사용하는 활성 공격은 추론을 위한 픽셀 후보를 재구성할 수 있다.
  • RC 필터링과 노이즈에도 불구하고 사이클-정확한 전력 추정치를 달성하는 전력 추출 기법은 하나의 주기당 분석이 가능하도록 한다.
  • 전반적으로 MNIST 기반 실험은 CNN 가속기에서의 전력 사이드 채널을 통한 상당한 프라이버시 누출을 보여준다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.