Skip to main content
QUICK REVIEW

[論文レビュー] DeepLaser: Practical Fault Attack on Deep Neural Networks

Jakub Breier, Xiaolu Hou|arXiv (Cornell University)|Jun 15, 2018
Adversarial Robustness in Machine Learning参考文献 18被引用数 18
ひとこと要約

本稿では、組み込みシステムにおける活性化関数(ReLu、シグモイド、tanh、ソフトマックス)を標的としたレーザー注入を用いた、深層ニューラルネットワークに対する最初の実用的物理的フォールト攻撃であるDeepLaserを提示する。隠れ層にフォールトを注入することで、ReLUでは少なくとも4つのニューロンの3つ以上、シグモイド・tanhでは半数以上を標的とすると、50%を超える成功確率で誤分類を達成し、低価格のマイコン上でも実用的実現可能性を示した。

ABSTRACT

As deep learning systems are widely adopted in safety- and security-critical applications, such as autonomous vehicles, banking systems, etc., malicious faults and attacks become a tremendous concern, which potentially could lead to catastrophic consequences. In this paper, we initiate the first study of leveraging physical fault injection attacks on Deep Neural Networks (DNNs), by using laser injection technique on embedded systems. In particular, our exploratory study targets four widely used activation functions in DNNs development, that are the general main building block of DNNs that creates non-linear behaviors -- ReLu, softmax, sigmoid, and tanh. Our results show that by targeting these functions, it is possible to achieve a misclassification by injecting faults into the hidden layer of the network. Such result can have practical implications for real-world applications, where faults can be introduced by simpler means (such as altering the supply voltage).

研究の動機と目的

  • 実世界の組み込みシステムにおける深層ニューラルネットワークの物理的フォールトインジェクション攻撃への脆弱性を調査すること。
  • 主な活性化関数(ReLu、シグモイド、tanh、ソフトマックス)が実用的環境下でフォールトインジェクションに対してどれほど感受性を示すかを評価すること。
  • フォールトインジェクションが推論中に信頼性のある誤分類を引き起こす可能性があることを示し、安全を要するAIアプリケーションの信頼性を損なうこと。
  • 低価格マイコンとレーザーを用いたフォールトインジェクション技術を用いた攻撃の実現可能性を調査すること。
  • 深層学習システムにおける悪意あるフォールト攻撃に対する今後の対策の基盤を築くこと。

提案手法

  • IoTデバイスを代表する8ビットマイコンに、一般的な活性化関数(ReLu、シグモイド、tanh、ソフトマックス)を実装した。
  • 近赤外ダイオードパルスレーザーを用い、活性化関数の計算中に正確かつ標的的にフォールトをインジェクションした。
  • DNNの隠れ層にフォールトを注入し、出力分類行動の変化を観察した。
  • 複数の入力と異なるフォールト数を想定した状況で、誤分類の成功確率を測定した。
  • フォールトパターンを分析し、特にソフトマックスのIEEE 754 32ビット浮動小数点表現における指数部および符号ビットへのビット反転効果を特定した。
  • 異なる活性化関数における制御されたフォールトインジェクション下での攻撃成功確率をシミュレーションおよび検証した。

実験結果

リサーチクエスチョン

  • RQ1DNNの活性化関数を標的にしたレーザーによる物理的フォールトインジェクションが、実世界の組み込みシステムで信頼性のある誤分類を引き起こせるか?
  • RQ2実用的条件下で、ReLU、シグモイド、tanh、ソフトマックス関数に対するフォールトインジェクション攻撃の成功確率はどの程度か?
  • RQ3異なる活性化関数において、50%を超える成功確率を達成するには、何個のニューロンを標的とすればよいか?
  • RQ4ソフトマックス層へのフォールトインジェクションを用いて、出力確率を操作し、特定の誤分類を強制できるか?
  • RQ5このような攻撃が、自動運転車のような安全を要するAIシステムに及える実用的影響は何か?

主な発見

  • ReLU活性化層において、少なくとも4つのニューロンの3つ以上を標的とすると、誤分類成功確率が50%を超えた。
  • シグモイドおよびtanh関数では、層内の半数以上をフォールトさせた場合、50%を超える成功確率が達成された。
  • 主なフォールトメカニズムは、累乗計算における否定演算のスキップであり、これはシグモイドおよびtanh関数において一貫した出力値の変更を引き起こした。
  • ソフトマックス関数では、ターゲット出力ニューロンの浮動小数点表現における指数部に1ビットの反転が生じると、その確率が上昇し、誤分類が強制された。
  • 低価格の8ビットマイコンを用いたレーザーインジェクションにより、攻撃が実際に成功した。これは、低コストの組み込みプラットフォームでも実用的実現可能であることを証明した。
  • 結果から、DNNに対するフォールトインジェクション攻撃は理論的に可能であるだけでなく、入手可能なハードウェアと技術を用いて実用的かつ攻撃可能であることが示された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。