Skip to main content
QUICK REVIEW

[论文解读] Practical Fault Attack on Deep Neural Networks

Jakub Breier, Xiaolu Hou|arXiv (Cornell University)|Jun 15, 2018
Adversarial Robustness in Machine Learning被引用 2
一句话总结

本文首次提出了一种针对嵌入式系统中深度神经网络的实用化物理故障攻击,采用激光注入技术,针对ReLU、Sigmoid、Tanh和Softmax等激活函数。通过向隐藏层注入故障,该攻击在极小物理侵入下实现误分类,展示了在自动驾驶等关键安全系统中的现实可行性。

ABSTRACT

As deep learning systems are widely adopted in safety- and security-critical applications, such as autonomous vehicles, banking systems, etc., malicious faults and attacks become a tremendous concern, which potentially could lead to catastrophic consequences. In this paper, we initiate the first study of leveraging physical fault injection attacks on Deep Neural Networks (DNNs), by using laser injection technique on embedded systems. In particular, our exploratory study targets four widely used activation functions in DNNs development, that are the general main building block of DNNs that creates non-linear behaviors -- ReLu, softmax, sigmoid, and tanh. Our results show that by targeting these functions, it is possible to achieve a misclassification by injecting faults into the hidden layer of the network. Such result can have practical implications for real-world applications, where faults can be introduced by simpler means (such as altering the supply voltage).

研究动机与目标

  • 研究在现实世界关键安全系统中对深度神经网络实施物理故障注入攻击的可行性。
  • 评估故障注入对DNN中广泛使用的激活函数——ReLU、Sigmoid、Tanh和Softmax的影响。
  • 证明简单的物理故障注入技术可在无需复杂攻击基础设施的情况下诱导DNN发生误分类。
  • 探讨在电压调节或激光注入可行的嵌入式系统中,此类攻击的实际影响。

提出的方法

  • 使用激光注入在运行于嵌入式系统的DNN隐藏层中诱导瞬态故障。
  • 攻击特别针对激活函数,这些函数在DNN中起引入非线性的重要作用。
  • 通过将激光束聚焦于芯片上,改变计算过程中的电学状态来实现故障注入。
  • 监控系统的输出,以检测故障注入后发生的误分类事件。
  • 在四种常见激活函数上进行了实验,以评估故障敏感度和成功率。
  • 研究使用了部署在嵌入式平台上的真实DNN模型,以确保实际相关性。

实验结果

研究问题

  • RQ1通过针对激活函数的激光物理故障注入是否会导致DNN发生误分类?
  • RQ2故障注入攻击在ReLU、Sigmoid、Tanh和Softmax等不同激活函数上的有效性如何?
  • RQ3在嵌入式DNN系统中,故障注入成功实施的实际条件是什么?
  • RQ4像电压调节或激光注入这样的简单物理方法是否能导致DNN推理中的可利用故障?
  • RQ5此类攻击对自动驾驶等关键安全应用有何影响?

主要发现

  • 针对激活函数的故障注入在运行于嵌入式系统的DNN中成功诱导了误分类。
  • 该攻击在多个测试用例中均表现出一致的误分类,显示出高度可利用性。
  • ReLU、Sigmoid、Tanh和Softmax均对故障注入表现出脆弱性,但敏感度水平不同。
  • 该攻击仅需极少的物理访问,且可使用低成本激光设备完成。
  • 电压调节被证明是激光注入的可行替代方案,可用于故障诱导。
  • 结果表明,关键安全系统中的DNN易受实际物理故障攻击的影响。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。