[论文解读] I Know What You See: Power Side-Channel Attack on Convolutional Neural Network Accelerators
本文提出了针对卷积神经网络加速器的首个功耗侧信道攻击,在第一层卷积期间从功耗轨迹中恢复输入图像,在基于 FPGA 的攻击下,MNIST 识别准确率高达 89%。
Deep learning has become the de-facto computational paradigm for various kinds of perception problems, including many privacy-sensitive applications such as online medical image analysis. No doubt to say, the data privacy of these deep learning systems is a serious concern. Different from previous research focusing on exploiting privacy leakage from deep learning models, in this paper, we present the first attack on the implementation of deep learning models. To be specific, we perform the attack on an FPGA-based convolutional neural network accelerator and we manage to recover the input image from the collected power traces without knowing the detailed parameters in the neural network. For the MNIST dataset, our power side-channel attack is able to achieve up to 89% recognition accuracy.
研究动机与目标
- 在硬件实现中保护输入机密性的前提下,激励并研究深度学习的隐私风险。
- 证明功耗侧信道即使在无法访问模型参数的情况下,也能从 CNN 加速器泄漏私有推理输入。
- 开发实用技术,从噪声轨迹中提取真实功耗并重建输入像素。
- 在 MNIST 上进行评估以量化背景检测和重建能力。
提出的方法
- 在第一层卷积期间,从基于 FPGA 的 CNN 加速器收集高分辨率功耗轨迹。
- 通过直流分量还原、低通滤波、功耗对齐和曲线拟合,从噪声/ RC 过滤的轨迹中提取每周期的真实功耗。
- 对于被动攻击者,执行背景检测以基于周期功率幅值识别背景像素。
- 对于主动攻击者,使用多个卷积核构建将功耗映射到像素值的功率模板,从而在每个周期生成像素值候选。
- 可选地通过从生成集合中选择最佳像素候选来重建完整输入图像。
实验结果
研究问题
- RQ1在推理阶段,功率侧信道攻击是否能够在不知晓模型参数的情况下从 CNN 加速器恢复私有输入图像?
- RQ2背景像素能够多准确地恢复,以及内核大小如何影响 MNIST 上的重建质量?
- RQ3使用功率模板推断输入图像像素值的主动攻击者的可行性如何?
- RQ4在基于 FPGA 的 CNN 加速器上进行功耗提取与重建的实际限制和性能特性是什么?
主要发现
- 攻击可以恢复输入轮廓,并在背景检测的辅助下揭示 MNIST 图像的前景形状。
- 卷积核大小和阈值选择影响像素级和识别准确率,在所报道的实验中,3×3 的准确率高于 5×5。
- 背景检测实现了有意义的轮廓恢复,而使用功率模板的主动攻击可以重建用于推理的像素候选。
- 功耗提取技术在 RC 过滤和噪声的情况下实现逐周期精确的功耗估计,从而支持逐周期分析。
- 总体而言,基于 MNIST 的实验表明,通过功率侧信道在 CNN 加速器中存在显著的隐私泄露。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。