Evil from Within: Machine Learning Backdoors through Hardware Trojans

要約

タイトル：内部からの悪意：ハードウェアトロイのマシンラーニングバックドア

要約：

– バックドアはセキュリティに重要な自動運転車などのシステムのインテグリティを危険にさらすことができ、マシンラーニングにとって深刻な脅威である。
– さまざまな防御策が提案されているが、そのすべてが、推論中に学習モデルが実行されるハードウェアが信頼できるという前提に依存している。
– 本論文では、この前提に挑戦し、一般的なマシンラーニング用のハードウェアアクセラレータ内に完全に存在するバックドア攻撃を紹介する。
– アクセラレータの外では、学習モデルやソフトウェアは操作されないため、現在の防御策は失敗する。
– この攻撃を実用化するために、2つの課題を克服します。
– ハードウェアアクセラレータ上のメモリが非常に限られているため、オリジナルモデルからできるだけ逸脱しない最小のバックドアの概念を紹介する。
– バックドアを搭載でき、特定のターゲットモデルが処理される場合にのみ置換を実行するように設定可能なハードウェアトロイを開発します。
– 商用マシンラーニングアクセラレータのXilinx Vitis AI DPUにハードウェアトロイを埋め込み、交通標識認識システムの最小バックドアでトロイを構成します。
– バックドアは30（0.069％）のモデルパラメータのみを置換し、バックドアトリガが含まれる入力があると認識を確実に操作します。
– 攻撃はアクセラレータのハードウェア回路を0.24％拡大し、ランタイムオーバーヘッドはなく、検出がほとんど不可能になります。
– 現在のハードウェアの複雑で高度に分散した製造プロセスを考慮すると、我々の研究は、現在のセキュリティメカニズムではアクセスできないマシンラーニングの新しい脅威を指摘し、ハードウェアを完全に信頼できる環境で製造する必要があることを示唆している。

要約(オリジナル)

Backdoors pose a serious threat to machine learning, as they can compromise the integrity of security-critical systems, such as self-driving cars. While different defenses have been proposed to address this threat, they all rely on the assumption that the hardware on which the learning models are executed during inference is trusted. In this paper, we challenge this assumption and introduce a backdoor attack that completely resides within a common hardware accelerator for machine learning. Outside of the accelerator, neither the learning model nor the software is manipulated, so that current defenses fail. To make this attack practical, we overcome two challenges: First, as memory on a hardware accelerator is severely limited, we introduce the concept of a minimal backdoor that deviates as little as possible from the original model and is activated by replacing a few model parameters only. Second, we develop a configurable hardware trojan that can be provisioned with the backdoor and performs a replacement only when the specific target model is processed. We demonstrate the practical feasibility of our attack by implanting our hardware trojan into the Xilinx Vitis AI DPU, a commercial machine-learning accelerator. We configure the trojan with a minimal backdoor for a traffic-sign recognition system. The backdoor replaces only 30 (0.069%) model parameters, yet it reliably manipulates the recognition once the input contains a backdoor trigger. Our attack expands the hardware circuit of the accelerator by 0.24% and induces no run-time overhead, rendering a detection hardly possible. Given the complex and highly distributed manufacturing process of current hardware, our work points to a new threat in machine learning that is inaccessible to current security mechanisms and calls for hardware to be manufactured only in fully trusted environments.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI