Skip to main content
QUICK REVIEW

[논문 리뷰] Practical Fault Attack on Deep Neural Networks

Jakub Breier, Xiaolu Hou|arXiv (Cornell University)|2018. 06. 15.
Adversarial Robustness in Machine Learning인용 수 2
한 줄 요약

이 논문은 자동차와 같은 안전이 중요한 시스템에서 실현 가능한 물리적 결함 공격 기법을 제안한다. 이 공격은 임베디드 시스템에 레이저를 이용해 결함을 주입함으로써, ReLU, 시그모이드, 탄젠트 하이퍼볼릭, 소프트맥스와 같은 활성화 함수를 공격 대상으로 삼는다. 은닉층에 결함을 주입함으로써 최소한의 물리적 간섭으로도 잘못된 분류를 유도하며, 실제 적용 가능성을 입증한다.

ABSTRACT

As deep learning systems are widely adopted in safety- and security-critical applications, such as autonomous vehicles, banking systems, etc., malicious faults and attacks become a tremendous concern, which potentially could lead to catastrophic consequences. In this paper, we initiate the first study of leveraging physical fault injection attacks on Deep Neural Networks (DNNs), by using laser injection technique on embedded systems. In particular, our exploratory study targets four widely used activation functions in DNNs development, that are the general main building block of DNNs that creates non-linear behaviors -- ReLu, softmax, sigmoid, and tanh. Our results show that by targeting these functions, it is possible to achieve a misclassification by injecting faults into the hidden layer of the network. Such result can have practical implications for real-world applications, where faults can be introduced by simpler means (such as altering the supply voltage).

연구 동기 및 목표

  • 실제 안전이 중요한 시스템에서 딥 네ural 웹에 대한 물리적 결함 주입 공격의 실현 가능성을 조사한다.
  • DNN 내에서 널리 사용되는 활성화 함수—ReLU, 시그모이드, 탄젠트 하이퍼볼릭, 소프트맥스—에 대한 결함 주입의 영향을 평가한다.
  • 복잡한 공격 인프라 없이도 단순한 물리적 결함 주입 기법이 DNN의 잘못된 분류를 유도할 수 있음을 입증한다.
  • 전압 조작이나 레이저 주입이 가능한 임베디드 시스템에서 이러한 공격의 실용적 영향을 탐색한다.

제안 방법

  • 임베디드 시스템에서 실행 중인 DNN의 은닉층에 레이저 주입을 통해 일시적인 결함을 유도하였다.
  • 공격는 DNN의 비선형성을 도입하는 데 핵심적인 역할을 하는 활성화 함수를 대상으로 하였다.
  • 결함 주입은 칩에 레이저 빛을 집중시켜 계산 중 전기적 상태를 변경함으로써 수행되었다.
  • 결함 주입 이후 잘못된 분류 사건을 감지하기 위해 시스템의 출력을 모니터링하였다.
  • 결함 민감도와 성공률 평가를 위해 네 가지 일반적인 활성화 함수에서 실험을 수행하였다.
  • 실제 DNN 모델을 임베디드 플랫폼에 구현하여 실용적 관련성을 확보하였다.

실험 결과

연구 질문

  • RQ1레이저를 이용한 활성화 함수 대상의 물리적 결함 주입이 DNN에서 잘못된 분류를 유도할 수 있는가?
  • RQ2ReLU, 시그모이드, 탄젠트 하이퍼볼릭, 소프트맥스와 같은 다양한 활성화 함수에 대한 결함 주입 공격는 얼마나 효과적인가?
  • RQ3임베디드 DNN 시스템에 결함 주입을 성공적으로 수행할 수 있는 실용적 조건은 무엇인가?
  • RQ4전압 조작이나 레이저 주입과 같은 단순한 물리적 방법이 DNN 추론에서 악용 가능한 결함을 유도할 수 있는가?
  • RQ5자율 주행 차량과 같은 안전이 중요한 응용 분야에 이러한 공격의 영향은 무엇인가?

주요 결과

  • 활성화 함수를 대상으로 한 결함 주입이 임베디드 시스템에서 실행 중인 DNN에서 잘못된 분류를 성공적으로 유도하였다.
  • 다양한 테스트 케이스에서 일관된 잘못된 분류가 발생하여 공격의 높은 이용 가능성(exploitability)을 입증하였다.
  • ReLU, 시그모이드, 탄젠트 하이퍼볼릭, 소프트맥스 모두 결함 주입에 취약했으며, 민감도 수준은 다소 다름.
  • 공격는 최소한의 물리적 접근이 필요했으며, 저비용 레이저 장비로도 실행 가능했다.
  • 전압 조작이 레이저 주입의 타당한 대안으로 밝혀졌다.
  • 결과적으로 안전이 중요한 시스템에 구현된 DNN는 실용적인 물리적 결함 공격에 취약하다는 것이 확인되었다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.