Skip to main content
QUICK REVIEW

[논문 리뷰] Securing Input Data of Deep Learning Inference Systems via Partitioned Enclave Execution.

Zhongshu Gu, Heqing Huang|arXiv (Cornell University)|2018. 07. 03.
Adversarial Robustness in Machine Learning참고 문헌 42인용 수 46
한 줄 요약

이 논문은 클라우드 인프라에서 보안 에인클레이브 내에서 민감한 컴ponent를 실행함으로써 딥러닝 추론의 프라이버시를 향상시키기 위해 네트워크를 분할하는 DeepEnclave 시스템을 제안한다. 정보 泄露를 재구성 공격으로 모델링함으로써 적의 능력을 정량화하고, 전략적 모델 분할을 통해 프라이버시와 성능 사이의 균형을 사용자가 조정할 수 있도록 한다.

ABSTRACT

Deep learning systems have been widely deployed as backend engines of artificial intelligence (AI) services for their approaching-human performance in cognitive tasks. However, end users always have some concerns about the confidentiality of their provisioned input data, even for those reputable AI service providers. Accidental disclosures of sensitive user data might unexpectedly happen due to security breaches, exploited vulnerabilities, neglect, or insiders. In this paper, we systematically investigate the potential information exposure in deep learning based AI inference systems. Based on our observation, we develop DeepEnclave, a privacy-enhancing system to mitigate sensitive information disclosure in deep learning inference pipelines. The key innovation is to partition deep learning models and leverage secure enclave techniques on cloud infrastructures to cryptographically protect the confidentiality and integrity of user inputs. We formulate the information exposure problem as a reconstruction privacy attack and quantify the adversary's capabilities with different attack strategies. Our comprehensive security analysis and performance measurement can act as a guideline for end users to determine their principle of partitioning deep neural networks, thus to achieve maximum privacy guarantee with acceptable performance overhead.

연구 동기 및 목표

  • 유명한 제공자조차도 사용자 입력 데이터 기밀성에 대한 우려가 증가하고 있는 딥러닝 기반 AI 서비스의 문제를 다루기 위해.
  • 유출, 취약점 또는 내부자 위협으로 인해 딥러닝 추론 파이프라인에서 정보 노출이 발생할 수 있는지를 조사하기 위해.
  • 보안 에인클레이브를 사용하여 암호화된 방식으로 사용자 입력 기밀성과 모델 무결성을 보호하는 시스템을 개발하기 위해.
  • 정보 泄露의 위험을 재구성 프라이버시 공격으로 정의하여 적의 능력을 정량화하기 위해.
  • 성능 오버헤드를 수용 가능한 수준으로 유지하면서 최대한의 프라이버시를 확보할 수 있도록 전략적 딥 네트워크 분할을 위한 원칙적인 지침을 제공하기 위해.

제안 방법

  • 딥 네트워크를 보안 에인클레이브에서 실행되는 컴포넌트와 신뢰할 수 없는 환경에서 실행되는 컴포넌트로 분할하기 위해.
  • 하드웨어 기반 보안 에인클레이브 기술(예: Intel SGX)을 활용하여 민감한 모델 컴포넌트와 입력 데이터의 기밀성과 무결성을 보장하기 위해.
  • 정보 노출을 재구성 공격으로 모델링하여, 적이 중간 출력에서 입력 데이터를 복원하려는 시도를 한다고 가정하기 위해.
  • 화이트박스, 블랙박스, GRAY박스 시나리오를 포함한 다양한 공격 전략 하에서 적의 성공 확률을 정량화하기 위해.
  • 유출를 최소화하면서 수용 가능한 추론 지연 시간과 자원 사용량을 유지하는 분할 전략을 설계하기 위해.
  • 사용자가 원하는 프라이버시와 성능의 상호 교환 관계를 고려하여 최적의 분할 경계를 선택할 수 있도록 위협 모델링을 활용하기 위해.

실험 결과

연구 질문

  • RQ1딥러닝 추론 시스템은 중간 활성화를 악용하여 민감한 입력 데이터를 복원하는 재구성 공격에 얼마나 취약한가?
  • RQ2신뢰할 수 없는 환경에서 실행될 경우 표준 딥러닝 추론 파이프라인에서 정보 유출의 정도는 어느 정도인가?
  • RQ3어떻게 하면 보안 에인클레이브를 딥러닝 추론에 효과적으로 통합하여 입력 데이터의 기밀성과 무결성을 보호할 수 있는가?
  • RQ4실제 배포 환경에서 성능 오버헤드를 수용 가능한 수준으로 유지하면서 프라이버시 유출를 최소화할 수 있는 분할 전략은 무엇인가?
  • RQ5다양한 적의 능력(예: 화이트박스 대비 블랙박스 액세스)은 모델 입력에 대한 재구성 공격의 성공에 어떤 영향을 미치는가?

주요 결과

  • 딥러닝 추론 시스템은 중간 모델 출력에서 민감한 입력 데이터를 복원할 수 있는 재구성 공격에 취약하다.
  • 제안된 DeepEnclave 시스템은 핵심 모델 컴포넌트를 보안 에인클레이브 내에 격리시킴으로써 정보 유출을 크게 감소시킨다.
  • 위협 모델링을 기반으로 한 전략적 모델 분할을 통해 사용자는 강력한 프라이버시 보장을 달성할 수 있다.
  • 성능 오버헤드는 정량화 가능하며 많은 실세계 AI 추론 워크로드에 대해 수용 가능한 수준이어서 배포에 실용적이다.
  • 분할 결정에 기반한 측정 가능한 교환 관계를 제공하는 원칙적인 프라이버시-성능 균형 접근 방식을 제공한다.
  • 정량적 분석 결과, 특히 초기 및 중간 단계의 레이어를 분할하면 가장 높은 프라이버시 이득을 얻을 수 있다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.