Evil from Within: Machine Learning Backdoors through Hardware Trojans

要約

タイトル：Evil from Within: Machine Learning Backdoors through Hardware Trojans
要約：

– ハードウェアのトロイの木馬が配備されることによって、悪意あるバックドア攻撃が発生し、自動運転車などのセキュリティクリティカルなシステムの完全性が脅かされる。
– 様々な防衛手段が提案されているが、これらすべては、学習モデルが推論中に実行されるハードウェアが信頼されているという前提に依存している。
– 本論文では、学習モデルやソフトウェアが操作されていないハードウェアアクセラレータ内に完全に留まるバックドア攻撃を紹介する。
– 次に、この攻撃を実用的にするために、2つの課題を克服する。最初に、ハードウェアアクセラレータのメモリが極めて限られているため、元のモデルからできるだけ逸脱しない最小のバックドアの概念を導入し、モデルパラメータをわずかに置換するだけで活性化する。次に、バックドアを装着でき、対象モデルが処理されるときにのみ置換を実行する設定可能なハードウェアトロイの開発を行う。
– 最後に、市販の機械学習アクセラレータであるXilinx Vitis AI DPUにハードウェアトロイを実装し、トラフィックサイン認識システムの最小バックドアを設定します。バックドアは、わずか30（0.069％）のモデルパラメータのみを置き換え、バックドアトリガーが含まれる入力がある場合に信号の認識を確実に操作します。我々の攻撃は加速器のハードウェア回路を0.24％拡大し、ランタイムオーバーヘッドを引き起こさず、検出がほとんど不可能になります。

要約(オリジナル)

Backdoors pose a serious threat to machine learning, as they can compromise the integrity of security-critical systems, such as self-driving cars. While different defenses have been proposed to address this threat, they all rely on the assumption that the hardware on which the learning models are executed during inference is trusted. In this paper, we challenge this assumption and introduce a backdoor attack that completely resides within a common hardware accelerator for machine learning. Outside of the accelerator, neither the learning model nor the software is manipulated, so that current defenses fail. To make this attack practical, we overcome two challenges: First, as memory on a hardware accelerator is severely limited, we introduce the concept of a minimal backdoor that deviates as little as possible from the original model and is activated by replacing a few model parameters only. Second, we develop a configurable hardware trojan that can be provisioned with the backdoor and performs a replacement only when the specific target model is processed. We demonstrate the practical feasibility of our attack by implanting our hardware trojan into the Xilinx Vitis AI DPU, a commercial machine-learning accelerator. We configure the trojan with a minimal backdoor for a traffic-sign recognition system. The backdoor replaces only 30 (0.069%) model parameters, yet it reliably manipulates the recognition once the input contains a backdoor trigger. Our attack expands the hardware circuit of the accelerator by 0.24% and induces no run-time overhead, rendering a detection hardly possible. Given the complex and highly distributed manufacturing process of current hardware, our work points to a new threat in machine learning that is inaccessible to current security mechanisms and calls for hardware to be manufactured only in fully trusted environments.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI