[論文レビュー] Practical Fault Attack on Deep Neural Networks
この論文は、埋め込みシステムのレイトル注入を用いた、深層ニューラルネットワークにおける最初の実用的物理的フォールト攻撃を提示している。攻撃は、ReLU、シグモイド、tanh、ソフトマックスなどの活性化関数を標的としており、隠れ層にフォールトを注入することで、最小限の物理的侵入で誤分類を引き起こす。これは、自動運転車のような安全上の重要なシステムにおける現実世界での実現可能性を示している。
As deep learning systems are widely adopted in safety- and security-critical applications, such as autonomous vehicles, banking systems, etc., malicious faults and attacks become a tremendous concern, which potentially could lead to catastrophic consequences. In this paper, we initiate the first study of leveraging physical fault injection attacks on Deep Neural Networks (DNNs), by using laser injection technique on embedded systems. In particular, our exploratory study targets four widely used activation functions in DNNs development, that are the general main building block of DNNs that creates non-linear behaviors -- ReLu, softmax, sigmoid, and tanh. Our results show that by targeting these functions, it is possible to achieve a misclassification by injecting faults into the hidden layer of the network. Such result can have practical implications for real-world applications, where faults can be introduced by simpler means (such as altering the supply voltage).
研究の動機と目的
- 実世界の安全上の重要なシステムにおける深層ニューラルネットワークに対する物理的フォールト注入攻撃の実現可能性を調査すること。
- DNN内での広く使われている活性化関数(ReLU、シグモイド、tanh、ソフトマックス)におけるフォールト注入の影響を評価すること。
- 複雑な攻撃インfraストラクチャを必要とせずに、単純な物理的フォールト注入技術がDNNにおける誤分類を引き起こせることを実証すること。
- 電圧操作やレーザー注入が可能である埋め込みシステムにおける、このような攻撃の実用的影響を検討すること。
提案手法
- DNNが埋め込みシステム上で実行されている隠れ層に、レーザー注入を用いて一時的なフォールトを誘発した。
- 攻撃は、DNNにおける非線形性を導入する上で重要な活性化関数を標的にした。
- 計算中にチップの特定部位にレーザービームを焦点合わせることで、電気的状態を変更することでフォールトを注入した。
- フォールト注入後のシステム出力を監視し、誤分類イベントを検出した。
- フォールト感受性と成功確率を評価するために、4つの一般的な活性化関数で実験を実施した。
- 実用的関連性を確保するため、埋め込みプラットフォームにデプロイされた実際のDNNモデルを用いた。
実験結果
リサーチクエスチョン
- RQ1活性化関数を標的にしたレーザーによる物理的フォールト注入が、DNNにおける誤分類を引き起こせるか?
- RQ2ReLU、シグモイド、tanh、ソフトマックスのような異なる活性化関数におけるフォールト注入攻撃の有効性はいかほどか?
- RQ3埋め込みDNNシステムにフォールト注入を成功させるために必要な実用的条件は何か?
- RQ4電圧操作やレーザー注入のような単純な物理的手法が、DNN推論における利用可能なフォールトを引き起こせるか?
- RQ5このような攻撃が、自動運転車のような安全上の重要なアプリケーションに与える影響は何か?
主な発見
- 活性化関数を標的にしたフォールト注入は、埋め込みシステム上で実行中のDNNにおける誤分類を成功裏に誘発した。
- 多数のテストケースにおいて一貫した誤分類が発生し、高い利用可能性が示された。
- ReLU、シグモイド、tanh、ソフトマックスはすべてフォールト注入に対して脆弱であり、感受性のレベルにばらつきが見られた。
- 攻撃には最小限の物理的アクセスでよく、低コストのレーザー装置で実行可能であった。
- 電圧操作が、レーザー注入の代替として実現可能であることが示された。
- 結果から、安全上の重要なシステムにおけるDNNは、実用的な物理的フォールト攻撃に対して脆弱であることが示された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。