Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] YerbaBuena: Securing Deep Learning Inference Data via Enclave-based Ternary Model Partitioning

Zhongshu Gu, Heqing Huang|arXiv (Cornell University)|2018. 07. 03.
Adversarial Robustness in Machine Learning참고 문헌 70인용 수 27
한 줄 요약

YerbaBuena는 신뢰할 수 있는 실행 환경에서 민감한 입력 데이터를 안전하게 격리하기 위해 삼분법 모델 분할 기반의 에이클레이트 기반 딥러닝 추론 시스템을 제안한다. 모델을 보안 에이클레이트에서 실행되는 구성요소와 외부에서 가속화되는 구성요소로 분할함으로써, 최소한의 성능 오버헤드로 강력한 기밀성 확보를 달성한다.

ABSTRACT

Deploying and serving deep learning (DL) models in the public cloud facilitates the process to bootstrap artificial intelligence (AI) services. Yet, preserving the confidentiality of sensitive input data remains a concern to most service users. Accidental disclosures of user input data may breach increasingly stringent data protection regulations and inflict reputation damage. In this paper, we systematically investigate the life cycles of input data in deep learning image classification pipelines and further identify the potential places for information disclosures. Based on the discovered insights, we build YerbaBuena, an enclave-based model serving system to protect the confidentiality and integrity of user input data. To accommodate the performance and capacity limitations of today's enclave technology, we employ a Ternary Model Partitioning strategy that allows service users to securely partition their proprietary DL models on local machines. Therefore, we can (I) enclose sensitive computation in a secure enclave to mitigate input information disclosures and (II) delegate non-sensitive workloads to run out of enclave with hardware-assisted DL acceleration. Our comprehensive partitioning analysis and workload measurement demonstrate how users can automatically determine the optimal partitioning for their models, thus to maximize confidentiality guarantees with low performance costs.

연구 동기 및 목표

  • 공용 클라우드 기반 딥러닝 추론 파이프라인에서 사용자 입력 데이터의 기밀성 위험을 해결한다.
  • 민감한 정보가 노출될 수 있는 입력 데이터 라이프사이클의 핵심 단계를 규명한다.
  • 하드웨어 보호된 에이클레이트 내에서 민감한 계산을 격리할 수 있는 보안 모델 분할을 개발한다.
  • 비민감한 워크로드를 하드웨어 가속 장치에 위임하여 성능 비용을 최소화한다.

제안 방법

  • 딥러닝 이미지 분류 파이프라인에서 입력 데이터의 전반적인 라이프사이클을 분석하여 유출 공격 표면을 규명한다.
  • 모델을 세 부분으로 분할하는 삼분법 모델 분할 전략을 설계한다: 에이클레이트 내 주입, 외부 처리, 공유 레이어.
  • 하드웨어 강제 신뢰 실행 환경(SGX 등, 예: Intel SGX)을 사용하여 민감한 계산을 실행하고 입력 데이터 기밀성을 보호한다.
  • 비민감한 구성요소를 위한 하드웨어 가속 추론을 활용하여 에이클레이트 실행의 성능 저하를 완화한다.
  • 워크로드 및 보안 분석을 기반으로 최적의 분할을 결정하는 자동화된 분할 프로세스를 구현한다. 이는 기밀성 확보를 극대화하고 성능 비용을 최소화한다.
  • 기존 딥러닝 프레임워크와 통합하여 분할된 모델의 원활한 배포 및 실행을 가능하게 한다.

실험 결과

연구 질문

  • RQ1딥러닝 추론 파이프라인에서 사용자 입력 데이터가 기밀성 유출 위험에 가장 노출되는 단계는 어디인가?
  • RQ2어떻게 전략적으로 모델 분할을 적용하여 하드웨어 보호된 에이클레이트 내에서 민감한 계산을 격리할 수 있는가?
  • RQ3신뢰할 수 있는 및 신뢰할 수 없는 실행 환경 간에 딥러닝 모델을 분할함으로써 발생하는 성능 및 보안의 상충 관계는 무엇인가?
  • RQ4자동화된 분할 전략은 실제 워크로드에서 수용 가능한 성능 오버헤드로 높은 기밀성을 달성할 수 있는가?

주요 결과

  • 입력 데이터 기밀성 유출 위험은 추론 파이프라인의 여러 단계에서 존재하며, 특히 중간 텐서 계산 단계에서 뚜렷하다.
  • 삼분법 모델 분할은 하드웨어 보호된 에이클레이트 내에서 민감한 모델 구성요소를 안전하게 실행할 수 있도록 하며, 비민감한 부분은 가속 장치에 위임한다.
  • 제안된 시스템은 원시 입력 데이터가 에이클레이트 환경을 벗어나지 않도록 보장함으로써 강력한 기밀성 보장을 달성한다.
  • 워크로드 측정 결과, 지능적인 분할 및 하드웨어 가속을 통해 에이클레이트 실행의 성능 오버헤드가 최소화됨을 확인했다.
  • 자동화된 분할 전략은 보안과 성능을 효과적으로 균형 잡아 클라우드 기반 AI 서비스에서 실용적인 배포를 가능하게 한다.
  • 신뢰할 수 없는 실행 환경을 대상으로 한 악성 공격 조건에서도 시스템은 무결성과 기밀성을 유지한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.