Evaluation of Parameter-based Attacks against Embedded Neural Networks with Laser Injection

要約

タイトル：レーザー注入による埋め込みニューラルネットワークに対するパラメータベース攻撃の評価

要約：
– 機械学習（ML）ベースのシステムのセキュリティに関連する認定行動の近日中の予定があり、多くのハードウェアプラットフォームでモデルを大規模に展開することによって増大する評価の課題が生じている。
– 従来は、MLモデルを純粋にアルゴリズム的な抽象化として考えるAPIベースの攻撃に関連する研究が多かったが、実装ベースの新しい脅威が明らかになり、モデルの堅牢性を適切に評価するための実践的なシミュレーションベースの手法を提案することの緊迫性が高まっている。
– 主要な関心事は、内部パラメータがメモリに保存されている典型的なディープニューラルネットワークモデルが正確で最適な変更に対して弱いことを示すパラメータベース攻撃（ビットフリップアタックなど）である。
– セキュリティテスト目的で、本研究では、32ビットCortex-Mマイクロコントローラー上でのBFAの成功したバリアントをレーザーフォールト注入を使用して初めて報告する。
– これはセキュリティ評価のための標準的なフォールトインジェクション手段であり、空間的および時間的に正確なフォールトを注入することができる。
– ブルートフォース戦略を回避するために、我々はシミュレーションがレーザーフォールトモデルを考慮に入れ、パラメータから最も敏感なビットセットを選択するのにどのように役立つかを示す。

要約(オリジナル)

Upcoming certification actions related to the security of machine learning (ML) based systems raise major evaluation challenges that are amplified by the large-scale deployment of models in many hardware platforms. Until recently, most of research works focused on API-based attacks that consider a ML model as a pure algorithmic abstraction. However, new implementation-based threats have been revealed, emphasizing the urgency to propose both practical and simulation-based methods to properly evaluate the robustness of models. A major concern is parameter-based attacks (such as the Bit-Flip Attack, BFA) that highlight the lack of robustness of typical deep neural network models when confronted by accurate and optimal alterations of their internal parameters stored in memory. Setting in a security testing purpose, this work practically reports, for the first time, a successful variant of the BFA on a 32-bit Cortex-M microcontroller using laser fault injection. It is a standard fault injection means for security evaluation, that enables to inject spatially and temporally accurate faults. To avoid unrealistic brute-force strategies, we show how simulations help selecting the most sensitive set of bits from the parameters taking into account the laser fault model.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI