Skip to main content
QUICK REVIEW

[论文解读] Securing Input Data of Deep Learning Inference Systems via Partitioned Enclave Execution.

Zhongshu Gu, Heqing Huang|arXiv (Cornell University)|Jul 3, 2018
Adversarial Robustness in Machine Learning参考文献 42被引用 46
一句话总结

本文提出 DeepEnclave,一种通过将神经网络分割并在云基础设施的可信执行环境(secure enclaves)中执行敏感组件来增强深度学习推理隐私性的系统。通过将信息泄露建模为重建攻击,量化攻击者的潜在能力,并使用户能够通过策略性模型分割在隐私与性能之间实现平衡。

ABSTRACT

Deep learning systems have been widely deployed as backend engines of artificial intelligence (AI) services for their approaching-human performance in cognitive tasks. However, end users always have some concerns about the confidentiality of their provisioned input data, even for those reputable AI service providers. Accidental disclosures of sensitive user data might unexpectedly happen due to security breaches, exploited vulnerabilities, neglect, or insiders. In this paper, we systematically investigate the potential information exposure in deep learning based AI inference systems. Based on our observation, we develop DeepEnclave, a privacy-enhancing system to mitigate sensitive information disclosure in deep learning inference pipelines. The key innovation is to partition deep learning models and leverage secure enclave techniques on cloud infrastructures to cryptographically protect the confidentiality and integrity of user inputs. We formulate the information exposure problem as a reconstruction privacy attack and quantify the adversary's capabilities with different attack strategies. Our comprehensive security analysis and performance measurement can act as a guideline for end users to determine their principle of partitioning deep neural networks, thus to achieve maximum privacy guarantee with acceptable performance overhead.

研究动机与目标

  • 解决在使用知名服务提供商时,深度学习型 AI 服务中输入数据机密性日益增长的担忧。
  • 研究由于安全漏洞、系统被攻破或内部威胁导致的深度学习推理流水线中潜在的信息泄露。
  • 开发一种利用可信执行环境实现用户输入机密性与模型完整性的密码学保护机制。
  • 将信息泄露风险建模为重建隐私攻击,以量化攻击者的潜在能力。
  • 为用户提供一种系统化的方法,通过模型分割策略在可接受的性能开销下最大化隐私保护。

提出的方法

  • 将深度神经网络划分为在可信执行环境中执行的组件与在不受信环境中执行的组件。
  • 利用基于硬件的可信执行环境技术(如 Intel SGX)来保障敏感模型组件和输入数据的机密性与完整性。
  • 将信息暴露建模为重建攻击,即攻击者试图从中间输出恢复原始输入数据。
  • 量化不同攻击策略下(包括白盒、黑盒和灰盒场景)攻击者的成功概率。
  • 设计一种最小化信息泄露的同时保持可接受推理延迟与资源消耗的模型分割策略。
  • 利用威胁建模指导用户根据期望的隐私与性能权衡选择最优的分割边界。

实验结果

研究问题

  • RQ1深度学习推理系统在利用中间激活值恢复敏感输入数据的重建攻击下有多脆弱?
  • RQ2当组件在不受信环境中执行时,标准深度学习推理流水线中的信息泄露程度如何?
  • RQ3如何有效将可信执行环境集成到深度学习推理中,以保护输入数据的机密性与完整性?
  • RQ4哪些模型分割策略能在真实部署中最小化隐私泄露,同时保持可接受的性能开销?
  • RQ5不同攻击者能力(如白盒与黑盒访问)如何影响对模型输入的重建攻击成功率?

主要发现

  • 深度学习推理系统容易受到重建攻击,攻击者可从中间模型输出恢复敏感输入数据。
  • 所提出的 DeepEnclave 系统通过在可信执行环境中隔离关键模型组件,显著减少了信息泄露。
  • 该系统通过基于威胁建模的策略性模型分割,使用户能够实现强隐私保障。
  • 性能开销可量化且对许多真实世界 AI 推理工作负载而言可接受,使该方案具备实际部署可行性。
  • 该框架提供了一种系统化的方法来平衡隐私与性能,其权衡关系可通过分割决策进行量化评估。
  • 定量分析表明,对关键层(尤其是早期和中间层)进行分割可获得最高的隐私增益。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。