Skip to main content
QUICK REVIEW

[논문 리뷰] Privado: Practical and Secure DNN Inference with Enclaves

Karan Grover, Shruti Tople|arXiv (Cornell University)|2018. 10. 01.
Network Security and Intrusion Detection참고 문헌 66인용 수 29
한 줄 요약

Privado는 DNN 추론을 위한 실용적이고 안전한 방법을 제공하는 시스템으로, Intel SGX 에이전트를 사용하여 입력에 의존하는 메모리 액세스 패턴을 제거함으로써 자동으로 프레임워크에 종속되지 않는 변환을 수행한다. 이는 11개의 현대 DNN에서 평균 17.18%의 성능 오버헤드를 기록하면서도, 액세스 패턴을 관찰하여 MNIST와 CIFAR-10에서 각각 97% 및 71%의 정확도를 달성하는 사이드채널 공격을 방지한다.

ABSTRACT

Cloud providers are extending support for trusted hardware primitives such as Intel SGX. Simultaneously, the field of deep learning is seeing enormous innovation as well as an increase in adoption. In this paper, we ask a timely question: "Can third-party cloud services use Intel SGX enclaves to provide practical, yet secure DNN Inference-as-a-service?" We first demonstrate that DNN models executing inside enclaves are vulnerable to access pattern based attacks. We show that by simply observing access patterns, an attacker can classify encrypted inputs with 97% and 71% attack accuracy for MNIST and CIFAR10 datasets on models trained to achieve 99% and 79% original accuracy respectively. This motivates the need for PRIVADO, a system we have designed for secure, easy-to-use, and performance efficient inference-as-a-service. PRIVADO is input-oblivious: it transforms any deep learning framework that is written in C/C++ to be free of input-dependent access patterns thus eliminating the leakage. PRIVADO is fully-automated and has a low TCB: with zero developer effort, given an ONNX description of a model, it generates compact and enclave-compatible code which can be deployed on an SGX cloud platform. PRIVADO incurs low performance overhead: we use PRIVADO with Torch framework and show its overhead to be 17.18% on average on 11 different contemporary neural networks.

연구 동기 및 목표

  • 신뢰할 수 없는 클라우드 플랫폼에서 모델 가중치와 입력 데이터가 기밀을 유지해야 하는 보안 DNN 추론-서비스에 대한 핵심적 격차를 해결하기 위해.
  • 암호화된 입력이 존재하더라도, 메모리 액세스 패턴에 기반한 사이드채널 공격으로 인해 SGX 에이전트 내부의 DNN 추론이 취약할 수 있음을 입증하기 위해.
  • 개발자 노력이 전혀 없고 신뢰할 수 있는 컴퓨팅 기반(TCB)이 낮은 조건에서 입력 무관성(즉, 데이터에 의존하지 않는 액세스 패턴)을 보장하는 시스템을 설계하기 위해.
  • 강력한 적대자(에이전트 메모리 액세스 패턴을 관찰하는 자)에 대비하여 강력한 보안 보장을 유지하면서도 성능 오버헤드를 최소화함으로써 실용적인 성능을 달성하기 위해.
  • ONNX 모델을 에이전트 호환 가능한 무관성 코드로 변환하여 SGX 플랫폼에 배포할 수 있도록 완전히 자동화된 엔드 투 엔드 솔루션을 제공하기 위해.

제안 방법

  • Privado는 두 가지 구성 요소로 이루어진 아키텍처를 사용한다: DNN 계산 그래프를 데이터 무관 코드로 변환하는 Privado-Converter와, 압축되고 에이전트 호환 가능한 C/C++ 코드를 생성하는 Privado-Generator이다.
  • 조건부 브랜치가 값 할당 또는 즉각 종료만 하는 '할당 또는 아무것도 없음' 액세스 패턴을 식별함으로써, 데이터에 의존하는 메모리 액세스 패턴을 자동으로 제거할 수 있다.
  • 데이터에 의존하는 액세스 패턴을 가림으로써 모든 메모리 액세스가 입력 값과 무관하게 이루어지도록 보장하기 위해, 무관성 원시 기능(예: 무관성 셔플링 및 메모리 액세스 팯딩)을 적용한다.
  • ONNX를 통해 어떤 DNN 프레임워크와도 호환되며, 모델 재학습이나 수동 코드 수정 없이 기존 모델 및 도구(예: PyTorch (Torch))에 영향 없이 통합할 수 있다.
  • 에이전트의 공격 표면을 최소화하여 낮은 TCB를 확보한다. 에이전트 내부에는 필수적인 추론 논리만 실행하고 I/O 및 시스템 작업은 신뢰할 수 없는 호스트에 위임한다.
  • Intel SGX의 하드웨어 격리를 활용하여 클라우드 관리자와 손상된 소프트웨어 스택으로부터 모델 가중치와 입력을 보호하며, 인증 및 안전한 채널을 통해 종단 간 신뢰를 확보한다.

실험 결과

연구 질문

  • RQ1암호화된 입력이 존재하더라도, 메모리 액세스 패턴에 기반한 사이드채널 공격으로 인해 SGX 에이전트 내부의 DNN 추론이 악용될 수 있는가?
  • RQ2DNN 내에서 입력에 의존하는 액세스 패턴을 얼마나 자동으로 제거할 수 있을까? 이를 통해 입력 무관 실행을 달성할 수 있는가?
  • RQ3개발자 노력이 전혀 없고 성능 오버헤드가 최소화되며 강력한 보안을 제공하는 시스템을 구축할 수 있는가?
  • RQ4현대적이고 실제 적용 가능한 DNN 아키텍처에서, 완전히 자동화된 무관성 DNN 추론 시스템의 성능은 기존 솔루션과 어떻게 비교되는가?
  • RQ5신뢰할 수 있는 하드웨어를 사용하여 DNN 추론-서비스에서 강력한 보안과 실용적인 성능를 동시에 달성할 수 있는가? 이는 사용 용이성의 손실 없이도 가능한가?

주요 결과

  • DNN 추론 중에 메모리 액세스 패턴을 관찰하는 공격자는 암호화된 입력을 MNIST에서 97%의 정확도로 분류할 수 있으며, CIFAR-10에서는 71%의 정확도를 달성한다. 이는 각각 원래 정확도 99% 및 79%를 기록한 모델과 비교할 때도 성립한다.
  • Privado는 DNN 계산 그래프의 자동 변환을 통해 모든 입력에 의존하는 액세스 패턴을 제거함으로써, 수동 코드 수정 없이도 입력 무관성(execution)을 달성한다.
  • PyTorch 프레임워크와 함께 사용할 경우, 11개의 현대적 DNN에서 평균 17.18%의 성능 오버헤드만 발생시켜 실질적인 배포 가능성과 실용성을 입증한다.
  • Privado는 ONNX 형식으로 기술된 어떤 모델이라도 지원하여 기존 딥러닝 프레임워크 및 도구와의 원활한 통합을 가능하게 하며, 개발자 노력이 전혀 없다.
  • 에이전트의 공격 표면을 최소화함으로써 낮은 TCB를 유지하며, 에이전트 내부에는 필수적인 추론 논리만 격리한다.
  • Privado는 SGX에서 DNN 추론을 위한 입력 무관성, 낮은 TCB, 사용 용이성, 낮은 성능 오버헤드를 동시에 해결하는 최초의 시스템으로, 하나의 완전히 자동화된 파이프라인을 제공한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.